avatar
Keystone 中文
9,458个推特粉丝
关注
@MetaMask 官方硬件钱包合作伙伴。 DM always open! Telegram: https://t.co/TvX4tfjQ3W Discord: https://t.co/7bzhU2Sg8t 中国大陆购买: https://t.co/B7Nq8ZT3nX
动态
avatar
Keystone 中文
12-26
🎄平安夜惊魂!Trust Wallet攻击事件一览 He who controls the spice controls the universe 谁掌握了香料,谁就掌握了宇宙。 这是 Trust Wallet 最新攻击事件中,涉及到的域名 metrics-trustwallet[.]com 页面上留下的一段话,出自电影《沙丘》。 它看起来像是一句黑客的嘲讽,但也是一则残酷的提醒,助记词就像电影中的香料,一旦被掌控,就意味着绝对的资产控制权。 对于许多 Trust Wallet 用户来说,这个平安夜注定并不平安。原本一家人其乐融融的节日时刻,却因为钱包资产被清空,瞬间跌入谷底。 这究竟是怎么发生的?作为普通用户,真的只能束手就擒吗? 🔹事件回放:一场精心策划的洗劫 12 月 24 日前后,Trust Wallet 浏览器扩展推送了 2.68 版本更新。 在浏览器扩展的自动更新机制下,许多用户并未进行任何主动操作,便完成了升级。原本用于提升安全性的更新流程,这一次却成为恶意代码进入用户设备的通道。 没有弹窗警告,也没有异常行为提示,一切看起来与往常无异。 12 月 25 日清晨,当人们醒来查看钱包时,噩梦开始了。 越来越多的用户在社交媒体和社区中发出警告:钱包资产在毫无征兆的情况下被转走,比特币、以太坊、Solana 等多条链上的资产同时受到影响。 12 月 26 日,Trust Wallet 官方发布公告,确认浏览器扩展2.68 版本存在安全风险,并紧急建议用户立即禁用该版本,升级至2.69。 但对于许多用户而言,一切已经来不及了。根据社区与链上统计,已有超过 600 万美元的加密资产在这次事件中被盗。 🔹攻击手法:暗藏在更新中的毒药 安全研究人员在2.6.8版本中名为4482.js的JavaScript文件中发现了猫腻,这段恶意代码伪装成常见的"数据分析"或"性能监控"功能。 触发条件多样: 不仅在用户导入助记词时触发,甚至在用户仅输入密码解锁扩展时,也会将已存储的助记词一并窃取并发送 目标域名高度伪装: metrics-trustwallet[.]com 看起来极像官方的数据统计或监控域名 一旦用户在2.68版本中输入助记词,或者仅仅是用密码解锁钱包,这段代码就悄无声息地捕获助记词数据,发送到黑客服务器。用户浑然不觉,直到资产被清空才反应过来。 关于恶意代码是如何进入官方更新的,社区目前存在争议: 是外部供应链被污染?还是内部人员直接注入?抑或是开发账号被黑?Trust Wallet官方至今未公开详细调查结果。 但无论真相如何,结果是一样的:通过官方渠道发布的更新,携带了恶意代码,用户毫无防备地中招了。 🔹热钱包的使用困境 这次事件仍然反映了软件钱包的根本问题: 助记词存储在联网设备上,一旦软件被污染,资产就失去了保护。 Trust Wallet 用户并没有做错什么事情,他们使用知名钱包、从官方商店下载、接受官方更新,却依然被盗,那么问题出在哪? 热钱包的助记词必须存在设备内存或加密文件中才能签名交易。只要助记词需要在软件层面被"解密-使用-加密",就存在被恶意代码拦截的风险。 浏览器扩展包含数万行代码,依赖数十个第三方库,自动更新没有缓冲期。任何一个环节出问题,都可能成为攻击入口。 当软件本身成为攻击载体时,依赖软件保护助记词的热钱包,就像在流沙上建造城堡。 🔹冷钱包的安全机制 硬件冷钱包如 Keystone 的解决方案很简单: 物理隔离,永不触网。 助记词在 Keystone 内部生成后,永远不会出现在联网环境中。即使你的电脑被黑客控制,浏览器扩展被污染,威胁都无法跨越物理隔离。 而在发送交易时:电脑生成交易数据 → 通过二维码传到 Keystone → 设备内完成签名 → 传回签名结果 → 广播到区块链。 整个过程中,助记词和私钥从未离开设备,传输的只是"交易数据"和"签名结果"。 即使用户因各种原因安装了带有恶意代码的钱包插件,在使用 Keystone 连接时,助记词依然安全,不会被发送到外部服务器,因为它从未存在于热钱包环境中。 这就是冷钱包的核心价值:将助记词从攻击面中彻底移除,用物理隔离替代软件防护。 与其对每一次热钱包更新提心吊胆,还不如更新你的安全方案,将助记词置入更安全的环境中,安心的享受与家人的每一个假期。🎄 twitter.com/KeystoneCN/status/...
TWT
5.61%
avatar
Keystone 中文
12-24
PolyMarket用户被盗事件快速了解 在过去的 24 小时内,Reddit 社区出现了一则引发恐慌的反馈。一名 PolyMarket 用户发帖称,自己的账户资金被瞬间清空。在查看后台日志后,该用户发现了三次不明的登录尝试。 随着帖子的热度上升,评论区陆续有其他用户表示遭遇了几乎完全相同的情况:账户被盗,资金不知去向。 据不完全统计,声称遭受损失的用户累计金额已超过 30,000 美元。 而经过比对,受害者们都有一个极为关键的共同点: 他们均使用了 MagicLink(即通过邮箱收到的一次性链接)的方式进行登录。 🔹什么是 MagicLink 登录? MagicLink 是一种无密码登录技术。在 PolyMarket 中,它允许用户无需管理复杂的助记词或私钥,仅通过输入电子邮箱并点击邮件中的“魔力链接”(Magic Link),即可生成并访问一个与其邮箱绑定的加密钱包。 这种方式极大地降低了 Web2 用户进入 Web3 的门槛,但也引入了安全风险,尽管MagicLink使用了复杂的加密方式来确保安全,但没有改变私钥是托管在中心化服务的本质。 🔹事件的原因查明了吗? 目前分析认为,本次攻击极可能与MagicLink登录机制存在漏洞有关。 一方面,有用户发现Polymarket登录时的一次性验证码(OTP)曾经只有3位,事发后才紧急增加到6位,这表明此前3位数验证码过于简单,可能被恶意暴力破解; 另一方面,有受害者的资金直接被Polymarket平台自有的Relay合约提走,过程并未通过任何外部钓鱼网站或用户主动确认,暗示攻击者可能利用了平台自身的签名或权限验证漏洞。 综合来看,攻击可能源于MagicLink服务或邮件流程存在安全缺陷,例如服务被入侵、邮件服务器被劫持,或平台的授权流程被绕过。 但目前Polymarket仅在Discord中发布消息称问题来自第三方验证供应商,尚未给出官方的正式说明,具体原因仍有待揭晓。 🔹给用户的安全建议 为了您的资产安全,我们有以下几点建议: 🛡️警惕中心化/托管式登录: 依赖邮箱或中心化服务生成钱包的登录方式(如 MagicLink),虽然便捷,但在安全性上存在单点故障风险。切勿长期使用此类账户存放,或在其中保留大额资金。 🛡️优先选用完全去中心化钱包: PolyMarket 支持多种连接方式。建议用户立刻转移资金,改用 MetaMask等完全由用户掌握私钥(Self-Custody)的去中心化钱包进行登录。 🛡️进阶防护:使用硬件钱包: 对于资金量较大的用户,软件钱包仍有被联网攻击的风险。最安全的方案是使Keystone 将私钥离线存储,以杜绝私钥被黑客获取后在你不知情的情况下转移资产。 twitter.com/KeystoneCN/status/...
avatar
Keystone 中文
12-18
记住:不管对方说是客服、说钱包要安全升级、说有空投领取、说需要验证账户,只要是让你把助记词输入到网站、表单、聊天框里的要求都别信。 助记词只在本地、离线、可信的钱包环境中进行恢复,链上交互本身永远不需要也不可能索要助记词。 助记词一旦分享给骗子,资产的控制权也不再属于你了。
Cos(余弦)
@evilcos
01-15
记住:不管多么变幻无穷的社工套路,只要让你下载 .exe/.scr/.com/.cmd/.bat/.ps1/.vbs/.js/.lnk/.dmg/.app 等等后缀的文件都千万别直接运行(单纯下载没什么问题,别误点),想运行就扔进对应的虚拟机或废弃电脑里运行。如果是文档,一切都让对方发 Google Docs 给你,不发就是没诚意。 x.com/0xM4R10/status…
loading indicator
Loading..