avatar
Keystone 中文
9,458個推特粉絲
關注
@MetaMask 官方硬件钱包合作伙伴。 DM always open! Telegram: https://t.co/TvX4tfjQ3W Discord: https://t.co/7bzhU2Sg8t 中国大陆购买: https://t.co/B7Nq8ZT3nX
動態
avatar
Keystone 中文
12-26
🎄平安夜驚魂!Trust Wallet攻擊事件一覽 He who controls the spice controls the universe 誰掌握了香料,誰就掌握了宇宙。 這是 Trust Wallet 最新攻擊事件中,涉及到的域名 metrics-trustwallet[.]com 頁面上留下的一段話,出自電影《沙丘》。 它看起來像是一句黑客的嘲諷,但也是一則殘酷的提醒,助記詞就像電影中的香料,一旦被掌控,就意味著絕對的資產控制權。 對於許多 Trust Wallet 用戶來說,這個平安夜註定並不平安。原本一家人其樂融融的節日時刻,卻因為錢包資產被清空,瞬間跌入谷底。 這究竟是怎麼發生的?作為普通用戶,真的只能束手就擒嗎? 🔹事件回放:一場精心策劃的洗劫 12 月 24 日前後,Trust Wallet 瀏覽器擴展推送了 2.68 版本更新。 在瀏覽器擴展的自動更新機制下,許多用戶並未進行任何主動操作,便完成了升級。原本用於提升安全性的更新流程,這一次卻成為惡意代碼進入用戶設備的通道。 沒有彈窗警告,也沒有異常行為提示,一切看起來與往常無異。 12 月 25 日清晨,當人們醒來查看錢包時,噩夢開始了。 越來越多的用戶在社交媒體和社區中發出警告:錢包資產在毫無徵兆的情況下被轉走,比特幣、以太坊、Solana 等多條鏈上的資產同時受到影響。 12 月 26 日,Trust Wallet 官方發佈公告,確認瀏覽器擴展2.68 版本存在安全風險,並緊急建議用戶立即禁用該版本,升級至2.69。 但對於許多用戶而言,一切已經來不及了。根據社區與鏈上統計,已有超過 600 萬美元的加密資產在這次事件中被盜。 🔹攻擊手法:暗藏在更新中的毒藥 安全研究人員在2.6.8版本中名為4482.js的JavaScript文件中發現了貓膩,這段惡意代碼偽裝成常見的"數據分析"或"性能監控"功能。 觸發條件多樣: 不僅在用戶導入助記詞時觸發,甚至在用戶僅輸入密碼解鎖擴展時,也會將已存儲的助記詞一併竊取併發送 目標域名高度偽裝: metrics-trustwallet[.]com 看起來極像官方的數據統計或監控域名 一旦用戶在2.68版本中輸入助記詞,或者僅僅是用密碼解鎖錢包,這段代碼就悄無聲息地捕獲助記詞數據,發送到黑客服務器。用戶渾然不覺,直到資產被清空才反應過來。 關於惡意代碼是如何進入官方更新的,社區目前存在爭議: 是外部供應鏈被汙染?還是內部人員直接注入?抑或是開發賬號被黑?Trust Wallet官方至今未公開詳細調查結果。 但無論真相如何,結果是一樣的:通過官方渠道發佈的更新,攜帶了惡意代碼,用戶毫無防備地中招了。 🔹熱錢包的使用困境 這次事件仍然反映了軟件錢包的根本問題: 助記詞存儲在聯網設備上,一旦軟件被汙染,資產就失去了保護。 Trust Wallet 用戶並沒有做錯什麼事情,他們使用知名錢包、從官方商店下載、接受官方更新,卻依然被盜,那麼問題出在哪? 熱錢包的助記詞必須存在設備內存或加密文件中才能簽名交易。只要助記詞需要在軟件層面被"解密-使用-加密",就存在被惡意代碼攔截的風險。 瀏覽器擴展包含數萬行代碼,依賴數十個第三方庫,自動更新沒有緩衝期。任何一個環節出問題,都可能成為攻擊入口。 當軟件本身成為攻擊載體時,依賴軟件保護助記詞的熱錢包,就像在流沙上建造城堡。 🔹冷錢包的安全機制 硬件冷錢包如 Keystone 的解決方案很簡單: 物理隔離,永不觸網。 助記詞在 Keystone 內部生成後,永遠不會出現在聯網環境中。即使你的電腦被黑客控制,瀏覽器擴展被汙染,威脅都無法跨越物理隔離。 而在發送交易時:電腦生成交易數據 → 通過二維碼傳到 Keystone → 設備內完成簽名 → 傳回簽名結果 → 廣播到區塊鏈。 整個過程中,助記詞和私鑰從未離開設備,傳輸的只是"交易數據"和"簽名結果"。 即使用戶因各種原因安裝了帶有惡意代碼的錢包插件,在使用 Keystone 連接時,助記詞依然安全,不會被髮送到外部服務器,因為它從未存在於熱錢包環境中。 這就是冷錢包的核心價值:將助記詞從攻擊面中徹底移除,用物理隔離替代軟件防護。 與其對每一次熱錢包更新提心吊膽,還不如更新你的安全方案,將助記詞置入更安全的環境中,安心的享受與家人的每一個假期。🎄 twitter.com/KeystoneCN/status/...
TWT
3.97%
avatar
Keystone 中文
12-24
PolyMarket用戶被盜事件快速瞭解 在過去的 24 小時內,Reddit 社區出現了一則引發恐慌的反饋。一名 PolyMarket 用戶發帖稱,自己的賬戶資金被瞬間清空。在查看後臺日誌後,該用戶發現了三次不明的登錄嘗試。 隨著帖子的熱度上升,評論區陸續有其他用戶表示遭遇了幾乎完全相同的情況:賬戶被盜,資金不知去向。 據不完全統計,聲稱遭受損失的用戶累計金額已超過 30,000 美元。 而經過比對,受害者們都有一個極為關鍵的共同點: 他們均使用了 MagicLink(即通過郵箱收到的一次性鏈接)的方式進行登錄。 🔹什麼是 MagicLink 登錄? MagicLink 是一種無密碼登錄技術。在 PolyMarket 中,它允許用戶無需管理複雜的助記詞或私鑰,僅通過輸入電子郵箱並點擊郵件中的“魔力鏈接”(Magic Link),即可生成並訪問一個與其郵箱綁定的加密錢包。 這種方式極大地降低了 Web2 用戶進入 Web3 的門檻,但也引入了安全風險,儘管MagicLink使用了複雜的加密方式來確保安全,但沒有改變私鑰是託管在中心化服務的本質。 🔹事件的原因查明瞭嗎? 目前分析認為,本次攻擊極可能與MagicLink登錄機制存在漏洞有關。 一方面,有用戶發現Polymarket登錄時的一次性驗證碼(OTP)曾經只有3位,事發後才緊急增加到6位,這表明此前3位數驗證碼過於簡單,可能被惡意暴力破解; 另一方面,有受害者的資金直接被Polymarket平臺自有的Relay合約提走,過程並未通過任何外部釣魚網站或用戶主動確認,暗示攻擊者可能利用了平臺自身的簽名或權限驗證漏洞。 綜合來看,攻擊可能源於MagicLink服務或郵件流程存在安全缺陷,例如服務被入侵、郵件服務器被劫持,或平臺的授權流程被繞過。 但目前Polymarket僅在Discord中發佈消息稱問題來自第三方驗證供應商,尚未給出官方的正式說明,具體原因仍有待揭曉。 🔹給用戶的安全建議 為了您的資產安全,我們有以下幾點建議: 🛡️警惕中心化/託管式登錄: 依賴郵箱或中心化服務生成錢包的登錄方式(如 MagicLink),雖然便捷,但在安全性上存在單點故障風險。切勿長期使用此類賬戶存放,或在其中保留大額資金。 🛡️優先選用完全去中心化錢包: PolyMarket 支持多種連接方式。建議用戶立刻轉移資金,改用 MetaMask等完全由用戶掌握私鑰(Self-Custody)的去中心化錢包進行登錄。 🛡️進階防護:使用硬件錢包: 對於資金量較大的用戶,軟件錢包仍有被聯網攻擊的風險。最安全的方案是使Keystone 將私鑰離線存儲,以杜絕私鑰被黑客獲取後在你不知情的情況下轉移資產。 twitter.com/KeystoneCN/status/...
avatar
Keystone 中文
12-18
記住:不管對方說是客服、說錢包要安全升級、說有空投領取、說需要驗證賬戶,只要是讓你把助記詞輸入到網站、表單、聊天框裡的要求都別信。 助記詞只在本地、離線、可信的錢包環境中進行恢復,鏈上交互本身永遠不需要也不可能索要助記詞。 助記詞一旦分享給騙子,資產的控制權也不再屬於你了。
Cos(余弦)
@evilcos
01-15
记住:不管多么变幻无穷的社工套路,只要让你下载 .exe/.scr/.com/.cmd/.bat/.ps1/.vbs/.js/.lnk/.dmg/.app 等等后缀的文件都千万别直接运行(单纯下载没什么问题,别误点),想运行就扔进对应的虚拟机或废弃电脑里运行。如果是文档,一切都让对方发 Google Docs 给你,不发就是没诚意。 x.com/0xM4R10/status…
loading indicator
Loading..