金色观察丨Hugh Karp为何自己承担丢失37万枚NXM的责任?
金色财经 区块链12月22日讯 链上互助保险平台Nexus Mutual创始人Hugh Karp的个人钱包地址在世界标准时间12月14日星期一上午9点40分遭受到攻击。在这次攻击中,Hugh Karp被批准了一笔总计37万枚NXM代币的交易,这件事引发了加密社区的广泛关注。
据Hugh Karp描述,在事发三天前的一个上午,他正在写电子邮件,突然计算机屏幕变黑了2-3秒钟,但很快就恢复了,当时他以为电脑可能只是发生了一些奇怪的事情,因此并没有太在意。大约一个小时之后,他发现电脑上的磁盘受到感染,其中Metamask钱包扩展程序被黑客版本所替代。
但令人没料到的是,Hugh Karp实际上直到12月14日星期一的时候才通过Metamask钱包扩展程序进行加密货币交易。当他想去Nexus Mutual应用程序提取一些挖矿奖励的代币的时候,MetaMask像往常一样弹出提币申请确认信息。但这也没什么可奇怪的,因为每次交易都会弹出确认信息。但问题是,这个确认信息里包含了发送到Ledger的一笔欺诈性交易。结果,Hugh Karp不假思索地点击了“确认”。
很快,这笔交易就出现在了Ledger上,而Hugh Karp也自然而然地在勾选交易信息后点击了“批准”。实际上,如果Hugh Karp当时能检查一下“收件人”地址和其他交易信息就可能发现其中的问题,但是由于Ledger还没有直接支持NXM,因此交易信息中并没有默认带入收件人等相关可读信息。紧接着,Hugh Karp就收到了MetaMask的通知提醒,告知交易已经完成,但Nexus Mutual应用程序仍在等待确认交易。直到这里,Hugh Karp才发现情况不对,于是检查Etherscan,结果发现这笔钱转到了黑客的地址。
结果就是,Hugh Karp把自己挖矿奖励的钱直接发送给了黑客,这位黑客随后将窃取的NXM代币清算兑换成了比特币和以太坊,接着又把这些资金分散到不同的地址和交易所。
原因调查
Hugh Karp认为,自己犯错的地方在于没有检查“收件人”地址和其他交易信息就点击了“批准”,这起事件的主要责任在于自己,以后在交易时应该多加小心。不过,在这需要指出的是,除非交易人很熟悉加密货币技术,否则很难在转账时候仔细查看相关信息,毕竟十六进制格式的信息是很难阅读的。就Hugh Karp而言,他自己本身其实拥有足够的技术知识,也理解这些信息代表的含义,但还是犯错了,所以普通用户在这里很更容易疏忽,继而造成资金损失。
此外,他还表示自己之前一直在信任的网站获取加密货币奖励代币,比如Nexus Mutual APP,因为毕竟在官方平台上交易风险会比较低。但从本次黑客攻击事件中发现,不管是不是可信站点,也不管交易价值是多少,每次确认交易之前都必须仔细检查信息。
目前,Hugh Karp已经启动调查本次黑客事件,希望能在社区的帮助下追踪资金。根据Hugh Karp判断,由于当时使用的是连接到Ledger的Metamask钱包,通过Nexus Mutual应用程序进行交互,电脑是Windows操作系统,因此目前Ledger上的私钥是安全的,Nexus Mutual智能合约和资金也都没有受到影响,这次事件应该只是一次个人攻击。
此外,由于Hugh Karp不是开发人员,但他的浏览器已进入开发者模式,因此可以判断这个操作很可能是由黑客执行的。而在调查过程中,他们还发现其他受害者也遭到了类似的攻击,并与之进行了联系。不过,本次攻击似乎具有很高的针对性,因为黑客并没有拿走受害者可能拥有的全部NXM代币,所以Hugh Karp认为是黑客已事先为他专门部署了准备好的交易负载。
值得一提的是,这个黑客非常厉害,而且非常有才华,很可能是一个或多个来自大型技术团队的成员。通过调查人员在Telegram上与一位黑客的简短对话发现,基于他们的交易活动,这个黑客很可能身处在亚洲时区。而此后,估计攻击事件还可能会持续发生,而且会影响越来越多人。
不仅如此,与过去大多数MetaMask黑客攻击都是诱使用户下载包含恶意代码的虚假程序版本,然后窃走用户私钥不同的是,Hugh Karp的计算机已经损坏,磁盘里的MetaMask应用程序被篡改,这意味着浏览器扩展程序出现问题时不会出现警告信息。据了解,这个恶意扩展配置是从coinbene.team获取的,调查人员也从这个域名追踪到了一些IP地址。
来自Hugh Karp的忠告
一般来说,MetaMask的确是许多黑客攻击的目标,但即便Hugh Karp已经非常谨慎地从正规渠道下载程序了,但他的电脑还是被感染了。所以如果想规避此类问题发生,可以尽量将资金分配到不同账户,这样可以最大程度减少损失。此外,在签名之前务必检查一下硬件钱包的交易信息,尤其是在与智能合约交互的时候。可以参考下那些比较熟悉DeFi行业的用户的做法,他们由于不太信任MetaMask,甚至会专门拿出一台“干净”的计算机来运行MetaMask,这台设备只用来签署交易,其他什么都不做。
目前相关调查工作已经过去一周时间了,Hugh Karp甚至还不知道自己的计算机是如何被入侵的。而来自杀软件提供商卡巴斯基的专家已经在被感染的计算机上花费了大量时间允许完整诊断程序,不过目前还没有任何结果,这项工作仍在进行中。而且到目前为止,只是在Etherscan上标记了黑客地址,但没有任何有关黑客的开源情报,后续仍有许多事情要处理。
接下来,Hugh Karp将会拿出一部分募集到的资金,并将其捐赠为赏金,用于支持用户体验和安全性提升工作,以此鼓励更多人开发个人钱包安全解决方案,并推动技术进步。
有意思的是,Hugh Karp还向黑客写了一份公开信。在信中,Hugh Karp表达出了对黑客的敬意,同时劝说黑客可以利用自己出色的工作能力成为白帽黑客中的一员,出于正确的理由从加密货币社区中获得一些荣誉,并且通过合法途径赚钱,而不是把不义之财发送给幕后老板。
本文部分内容来自于Medium
很快,这笔交易就出现在了Ledger上,而Hugh Karp也自然而然地在勾选交易信息后点击了“批准”。实际上,如果Hugh Karp当时能检查一下“收件人”地址和其他交易信息就可能发现其中的问题,但是由于Ledger还没有直接支持NXM,因此交易信息中并没有默认带入收件人等相关可读信息。紧接着,Hugh Karp就收到了MetaMask的通知提醒,告知交易已经完成,但Nexus Mutual应用程序仍在等待确认交易。直到这里,Hugh Karp才发现情况不对,于是检查Etherscan,结果发现这笔钱转到了黑客的地址。
结果就是,Hugh Karp把自己挖矿奖励的钱直接发送给了黑客,这位黑客随后将窃取的NXM代币清算兑换成了比特币和以太坊,接着又把这些资金分散到不同的地址和交易所。
原因调查
来自Hugh Karp的忠告
有意思的是,Hugh Karp还向黑客写了一份公开信。在信中,Hugh Karp表达出了对黑客的敬意,同时劝说黑客可以利用自己出色的工作能力成为白帽黑客中的一员,出于正确的理由从加密货币社区中获得一些荣誉,并且通过合法途径赚钱,而不是把不义之财发送给幕后老板。
本文部分内容来自于Medium
金色晚报 | 10月2日晚间重要动态一览:12:00-21:00关键词:欧洲、特朗普、北京四板市场、BitMEX \n1. 美国总统特朗普和第一夫人新冠病检测阳性; \n2. 爱沙尼亚央行启动数字货币研究项目; \n3. 美官方采取行动后BitMEX的XBTUSD未平仓头寸减少20%; \n4. 欧洲央行将就数字欧元举行公开磋商和试验; \n5. V神更新以太坊路线图 以rollup构建为中心; \n6. 欧洲央行执委帕内塔:欧洲央行应该能够在必要时发行数字欧元; \n7. 区块链登记托管系统落地北京四板市场; \n8. 欧洲央行副行长:数字欧元变得更加有必要; \n9. Bybit:不在美国管辖范围内,不会面临BitMEX遭遇的风险。[2020/10/2]
金色热搜榜:LEND居于榜首:根据金色财经排行榜数据显示,过去24小时内,LEND搜索量高居榜首。具体前五名单如下:LEND、BHD、SYS、LINK、HT。[2020/7/31]
金色财经现场报道 Alex XU:现在的区块链各团队缺少协同 :金色财经现场报道,今日粤港澳大湾区新金融论坛上关于区块链的底层技术讨论中,去中心化交易协议Ox运营总监Alex XU谈到,关于未来的区块链和交换数字资产,世界各个地区都应该是开放的,人们在完全分散的条件下获得基础设施,在多个层次,免费开放使用,并在此基础上发展。而目前有一个“疯狂的环境”即,各个团队之间的协调相当松散,每个人都建立自己的开放软件,而不是联合找到统一的方法和途径。[2018/4/7]
标签:
区块链热门资讯
根据FinCEN(美国金融犯罪执法网络)现有规定,金融机构禁止向无家可归、没有固定住所的人和难民提供开户服务,因为这些人没有实体邮寄地址。如今,FinCEN提议颁布新规,对于有幸拥有账户的人来说,他们也不能向以上人群汇款,即便汇出款项是虚拟货币。 智能合约的目的是去除中介,消除昂贵费用,方便金融操作。但是在新规出台之后,金融机构不能向智能合约汇款。
2020/12/22 18:35:57目前,NFT 生态已经初具规模,主要涉及基础设施、去中心化域名、交易市场、虚拟世界、游戏、DeFi+NFT、收藏品七个类别,主流项目数量超过 200 个。
2020/12/22 18:25:06Tokenlon 作为项目代号起源于 2017 年,并在 2018 年 4 月上线首个版本,为去中心化钱包用户带来了安全便捷的币币兑换服务。团队在致力于实现去中心化钱包内交易的同时,也期待其所构建的流动性能够成为开放金融生态中的支付结算基础设施。因此,我们始终将 Tokenlon 定位为基于区块链网络实现的去中心化交易支付结算协议。
2020/12/22 17:58:20我们目前生活的世界,最有价值的资产不再是有形的。尽管虚拟资产已经存在多年,但直到最近这些数字商品才成为一种新的资产类别。 现在,随着区块链技术的结合,虚拟资产不再有机会仅限于传统用例,例如游戏。在当今的共享经济中,随着越来越多的资产(包括物理和虚拟资产)被标记化,一种新的协议对于确保安全性,透明度,所有权,流动性和共享使用是必不可少的。
2020/12/22 17:26:01如果要说今年的Defi市场,那便不得不提Compound,因为它一句“借贷即挖矿”的口号,而成了流动性挖矿爆发的起点。它的意义,就像打响了武装革命起义的第一一样重要。 当它的代币COMP横空出世时,市场的格局也悄然改变。
2020/12/22 17:15:09金色财经报道,12月21日,江苏区域性股权市场区块链建设试点系列成果在南京数字金融生态大会上发布。 通过江苏股交区块链业务平台,可实现大数据服务、多场景企业画像、链上线上会计和律所服务等,由于平台所有信息都建立在区块链技术上,并建立了安全数据标准,监管单位可对平台主体实现穿透式监管。 以往,企业筹备登陆资本市场,报送资料通常需要一个月以上时间。
2020/12/22 17:09:36