Dans la soirée du 3 mai, heure de Pékin, une certaine baleine a accidentellement transféré 1 155 BTC vers une adresse de portefeuille de phishing, d'une valeur d'environ 71 millions de dollars sur la base du prix actuel de la devise. Une telle somme de financement s’est évaporée presque instantanément, ce qui a donné une grande leçon à l’industrie.
Ce qui s'est passé
Voyons d’abord comment les choses ont évolué (le 3 mai, heure de Pékin) :
17:14:47, l'adresse du portefeuille 0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5 (baleine) transfère 0,5 ETH à l'adresse 0xd9A1b0B1e1aE382DbDc898Ea68012FfcB2853a91 et crée l'adresse ;
17:17:59, 0xd9A1C3788D81257612E2581A6ea0aDa244853a91 adresse de portefeuille (hacker) transféré 0 ETH à 0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5 adresse de portefeuille
18 : 31 : 35, 0x1E227979F0B5BC691A70DEAED2E0F39A6F538FD5 (baleine géante) En appelant le contrat WBTC au 0xd9A1C3788D81257612E2581A6EA0ADA244853A91, WBTC ;
Le 4 mai à 10:51:11, l'adresse 0xd9A1C3788D81257612E2581A6ea0aDa244853a91 (hacker) a transféré tous les WBTC vers la nouvelle adresse : 0xfB5bcA56A3824E58A2c77217fb667AE67000b7A6.
Vous ne comprenez peut-être pas ce qui se passe ici, alors expliquons-le du point de vue d’un hacker :
Le pirate informatique a continué à surveiller les activités de la baleine sur la chaîne ; au crépuscule du 3 mai, il a été découvert que la baleine avait créé une nouvelle adresse. Les hackers sont passés à l’action ;
Par force brute et génération aléatoire de clés privées et d'adresses, nous pouvons obtenir une adresse similaire à l'adresse nouvellement générée de la baleine géante (les lecteurs doivent vérifier attentivement les parties rouges des deux adresses dans les étapes 1 et 2 ci-dessus, ce sont exactement les mêmes). pareil, mais différent dans d'autres endroits). Et transférez 0 ETH à la baleine via l'adresse générée, dans le but de générer un historique des transactions dans le portefeuille de la baleine, qui contient l'adresse de phishing 0xd9A1C3788D81257612E2581A6ea0aDa244853a91 ;
Après que la baleine ait confirmé que son adresse avait reçu 0,5 ETH, elle a commencé à transférer le WBTC vers la nouvelle adresse. À ce moment-là, une erreur fatale s'est produite. La baleine géante a trouvé une adresse dans l'historique des transferts qui avait le même numéro d'adresse que son adresse cible, l'a copiée et collée et a saisi l'adresse de phishing par erreur ;
Le pirate informatique a surveillé son adresse de phishing et a été surpris de trouver une « énorme récolte » : 1 155 BTC. Je vais probablement sortir pour fêter ça tout de suite, boire une bière, dormir un peu, puis transférer le WBTC vers une autre nouvelle adresse.
Éclaircissement
Avez-vous remarqué un problème ? Jetez un œil à la chronologie. Après que la baleine ait généré une nouvelle adresse, le pirate informatique a préparé l'adresse de phishing et a terminé le transfert vers la baleine en 3 minutes environ. Cela illustre plusieurs points :
a. Les pirates sont préparés depuis longtemps, ils comprennent clairement l'ensemble du processus, les scripts sont prêts et l'ensemble du processus est automatisé ;
b. Les pirates ont une plus grande puissance de calcul. L'adresse générée ici comprend les 5 octets spécifiques qui sont exactement les mêmes (les deux premiers octets et les trois derniers octets), ce qui représente près de 2 ^ 40 opérations. Les GPU sont absolument nécessaires, et en grande quantité ;
c. Il ne s’agit donc probablement pas d’un comportement individuel, mais d’un comportement organisé.
La blockchain apporte la décentralisation, élimine les intermédiaires, contrôle votre propre richesse et les individus peuvent contrôler leurs propres données. Cependant, cela nécessite également que vous preniez le contrôle de votre propre sécurité. Les exigences en matière de sensibilisation et de connaissances en matière de sécurité personnelle sont très élevées.
Cette baleine géante a un fort sentiment de sécurité, qui se reflète dans : 1) Il change d'adresse de temps en temps 2) Teste et confirme avant de transférer des sommes importantes ; Cependant, un copier-coller détruit tout.
Quelques connaissances en matière de sécurité sur les transferts
Grâce à cette leçon de plus de 70 millions de dollars américains, tout détenteur d'actifs numériques doit être conscient que les pirates et le phishing sont partout, et que vous êtes la première et la seule personne responsable de votre propriété. Un certain bon sens en matière de sécurité doit être maîtrisé. Voici quelques options de sécurité du portefeuille pour les actifs plus importants pour votre référence :
·La clé privée et la phrase mnémonique doivent être générées hors ligne et enregistrées hors ligne.
— La plupart des portefeuilles disposent désormais de capacités de signature hors ligne ;
—Vous pouvez également utiliser un portefeuille matériel, mais lorsque vous utilisez un portefeuille matériel, vous devez également sauvegarder la clé privée.
·Une fois que vous soupçonnez que la clé privée ou la phrase mnémonique peut être exposée, remplacez-la dès que possible et transférez les actifs.
·L'adresse de transfert doit être stockée dans le carnet d'adresses et prise en note. Ne copiez pas l'adresse temporairement.
·Pour transférer de l'argent, sélectionnez une adresse dans le carnet d'adresses et assurez-vous d'effectuer un transfert test, puis confirmez le succès auprès du destinataire avant le transfert.
·Les transferts importants peuvent être effectués en plusieurs versements
·Ne cliquez pas directement sur le lien de transfert envoyé par l'autre partie pour transférer de l'argent ou effectuer des transactions en ligne
—Le phishing est souvent réalisé en créant des liens ou des adresses similaires
·Il est recommandé de gérer des montants de fonds plus importants grâce à la multi-signature
—Ceci convient à la gestion financière d'une entreprise ou d'une organisation
—Les actifs personnels peuvent également être traités de cette manière. Par exemple, vous pouvez maîtriser personnellement plusieurs clés privées et accorder des droits de signature à des amis qui ne se connaissent pas pour éviter la perte de vos clés privées personnelles et l'irrécupérabilité de vos actifs.
·Les adresses des sites Web CEX et DEX doivent être obtenues par des canaux formels, les adresses de dépôt doivent être confirmées à plusieurs reprises et les transferts tests sont également des étapes nécessaires.
Le marché haussier actuel est turbulent et nous avons la possibilité de partager des mots de passe chaque jour.
Encore une fois, je ne sais pas quoi faire dans le marché haussier. Cliquez sur mon avatar, suivez, planification du marché haussier, mot de passe du contrat et partage gratuit.
J'ai besoin de fans, tu as besoin de références. Il vaut mieux faire attention que deviner.
