tło
W poprzednim numerze Web3 Security Getting Started i Przewodnik po unikaniu pułapek wyjaśniliśmy głównie odpowiednią wiedzę na temat phishingu z wieloma podpisami, w tym o mechanizmie wielu podpisów, przyczynach stosowania wielu podpisów i sposobach uniknięcia złośliwego multipodpisu w portfelu . W tym numerze wyjaśnimy metodę marketingową uważaną za skuteczną zarówno w tradycyjnych branżach, jak i w dziedzinie szyfrowania - zrzuty.
Airdropy mogą w krótkim czasie wydobyć projekt z zapomnienia, szybko zgromadzić bazę użytkowników i zwiększyć wpływ na rynek. Gdy użytkownicy biorą udział w projekcie Web3, muszą kliknąć odpowiednie łącza i wejść w interakcję z zespołem projektowym, aby uzyskać tokeny zrzutów. Jednak w przypadku witryn zawierających dużą liczbę imitacji po narzędzia z tylnymi drzwiami hakerzy zastawili już pułapki przed i po procesie zrzutu. użytkownicy. Dlatego w tym numerze wyjaśnimy związane z tym ryzyko, analizując niektóre typowe oszustwa związane z airdropami i pomożemy każdemu uniknąć pułapek.

Przez: Johan
tło
TON (The Open Network) to zdecentralizowana platforma blockchain, pierwotnie zaprojektowana i opracowana przez zespół Telegram. Celem TON jest zapewnienie wysokowydajnej i skalowalnej platformy blockchain do obsługi zdecentralizowanych aplikacji na dużą skalę (DApps) i inteligentnych kontraktów.
TON jest tak wyjątkowy, jest łatwy w użyciu, jest głęboko zintegrowany z Telegramem, co ułatwia zwykłym ludziom korzystanie z tokenów; jest również skomplikowany, ma zupełnie inną architekturę niż inne blockchainy i wykorzystuje FunC spoza głównego nurtu Inteligentny język kontraktowy. Dzisiaj omówimy charakterystykę TON i zagadnień związanych z bezpieczeństwem zasobów użytkownika z perspektywy kont, tokenów i transakcji.

Niedawno Szkoła Administracji Biznesu Uniwersytetu Baptystów w Hongkongu opublikowała informację, że pani Cheung Yung Yung Mandy, wybitna studentka programu Master of Finance (Technologia finansowa i analiza finansowa), zdobyła nagrodę SlowMist Cybersecurity Award w konkursie akademickim 2023–24 Nagroda ta stanowi hołd dla pracy Mandy w ramach kursu „Wyróżnienie za wybitne wyniki w kursie FIN7900 Cybersecurity, Privacy and RegTech”. Jej praca nie tylko wyznacza standardy doskonałości akademickiej, ale także podkreśla znaczenie zabezpieczenia technologii finansowej w dzisiejszej erze cyfrowej.
Począwszy od roku akademickiego 2020–21 firma SlowMist zaczęła oferować nagrodę SlowMist Cybersecurity Award, która obejmuje nagrodę pieniężną w wysokości 4000 USD, zwycięzcom kursów finansów na Uniwersytecie Baptystów w Hongkongu. SlowMist przyznaje tę nagrodę, aby zachęcić wybitnych studentów, którzy ciężko pracują na rzecz rozwoju bezpieczeństwa sieci. Mamy nadzieję, że więcej osób zda sobie sprawę ze znaczenia bezpieczeństwa sieci w dzisiejszym środowisku cyfrowym. SlowMist zawsze angażował się w zapewnianie poczucia bezpieczeństwa ekosystemowi blockchain, niezależnie od tego, czy zapewniał społeczności blockchain bezpłatne usługi pomocy w ocenie przypadków, udostępniał wiedzę na temat bezpieczeństwa w formie AMA lub artykułów, czy też kontynuował działania następcze w przypadku zagrażających bloków Hakerzy w branży sieciowej to wszystko dlatego, że wiemy, że bezpieczeństwo sieci jest powiązane z bezpieczeństwem prywatności/mienia, a nawet z zaufaniem i zrównoważonym rozwojem branży. Dlatego SlowMist od wielu lat wykorzystuje swoje możliwości i doświadczenie w zakresie bezpieczeństwa blockchain, aby promować zdrowy rozwój branży blockchain.

5 sierpnia oficjalnie ukazała się indonezyjska wersja „Podręcznika samoratowania Blockchain Dark Forest”.
„Podręcznik samopomocy Blockchain Dark Forest” (zwany „Czarnym podręcznikiem”) został napisany przez Yu Xiana, założyciela SlowMist i zostanie wydany w 2022 roku. Pozycja „Podręcznika samoratowania w ciemnym lesie Blockchain” koncentruje się na bezpieczeństwie użytkownika i ma na celu stać się przewodnikiem samoratowania dla każdego użytkownika spacerującego po ciemnym lesie blockchain. Po wydaniu Czarnej Podręcznika spotkała się ona z dużym zainteresowaniem i silnym odzewem, została doceniona i polecona przez większość użytkowników Web3. Teraz wydanie wersji indonezyjskiej jeszcze bardziej rozszerzyło rozpowszechnianie Czarnej Księgi.

tło
W ostatnim numerze Przewodnika dotyczącego zabezpieczeń Web3 — wprowadzenie i unikanie pułapek wyjaśniliśmy głównie ryzyko związane z pobieraniem/zakupem portfeli, jak znaleźć prawdziwą oficjalną stronę internetową i zweryfikować autentyczność portfeli oraz ryzyko wycieku kluczy prywatnych/fraz mnemonicznych. Często mówimy „Nie twoje klucze, nie twoje monety”, ale zdarzają się również sytuacje, w których nawet jeśli masz klucz prywatny/frazę mnemoniczną, nie możesz kontrolować swoich aktywów, co oznacza, że ​​portfel został złośliwie podpisany wielokrotnie. W połączeniu ze skradzionymi formularzami MistTrack, które zebraliśmy, po złośliwym podaniu wielu podpisów w portfelach niektórych użytkowników nie rozumieli oni, dlaczego nadal mają saldo na swoich kontach w portfelu, ale nie mogą przelać środków. Dlatego w tym numerze jako przykład weźmiemy portfel TRON, aby wyjaśnić odpowiednią wiedzę na temat phishingu wielopodpisowego, w tym mechanizmu wielopodpisowego, regularnych działań hakerów i tego, jak unikać złośliwych wielopodpisów w portfelu.

tło
25 lipca 2024 r. firma MonoSwap (@monoswapio) opublikowała ostrzeżenie na Twitterze, że doszło do ataku hakerskiego na jej platformę. Wezwali użytkowników do zawieszenia dodawania środków do swoich pul płynności lub inwestowania w pule farm i wyjaśnili, że atak był spowodowany instalacją przez programistę MonoSwap oprogramowania trojana podczas przyjmowania zaproszenia na spotkanie od fałszywego VC na dzień przed incydentem (https [ :]//kakaocall[.]kr), hakerzy wykorzystują to do inwazji na komputery programistów MonoSwap, kontrolując w ten sposób powiązane portfele i umowy, a następnie wypłacają dużą ilość zadeklarowanych środków, powodując poważne straty.

Autor: Myślenie
tło
W miarę jak projekt ekologiczny TON nabiera tempa, gangi phishingowe Web3 również zaczęły wkraczać na pole bitwy ekologicznej TON. Obecnie TonConnect SDK jest używany w ekosystemie TON w celu rozwiązania problemu połączenia i interakcji między platformami/portfelami aplikacji. Takie rozwiązania nieuchronnie napotkają problem: jak rozwiązać weryfikację nazwy domeny podczas komunikacji między platformami/aplikacjami?
Ogólnie rzecz biorąc, aby umożliwić użytkownikom korzystanie z portfela w celu połączenia się z DApp lub potwierdzenia, czy źródło żądania podpisu jest wiarygodne, portfel wyświetli monit o podanie nazwy domeny źródła na stronie zatwierdzania żądania, dzięki czemu użytkownicy będą mogli lepiej zweryfikować i potwierdzają, czy źródło żądania jest zgodne ze źródłem ich działania. Pozwala to uniknąć oszustwa w postaci żądań podpisu pochodzących ze złośliwych źródeł.

By: 耀
Przegląd tła
Ostatnio często zdarzały się incydenty, w których skradziono konta X twórców/celebrytów projektów Web3 i wykorzystano je do wysyłania tweetów phishingowych. Hakerzy doskonale radzą sobie z kradzieżą kont użytkowników na różne sposoby. Do najpopularniejszych metod należą:
nakłanianie użytkowników do klikania fałszywych linków do rezerwacji spotkań Calendly/Kakao w celu kradzieży autoryzacji konta użytkownika lub kontrolowania urządzenia użytkownika;
Prywatne wiadomości nakłaniają użytkowników do pobierania programów zawierających trojany (fałszywe gry, programy konferencyjne itp. Oprócz kradzieży kluczy prywatnych/fraz mnemonicznych trojany mogą również kraść uprawnienia konta X;
Użyj ataku SIM Swap, aby ukraść uprawnienia konta X zależne od numeru telefonu komórkowego.

Przegląd
Według statystyk z archiwum Slowmist Blockchain Hacked Archive (https://hacked.slowmist.io) w lipcu 2024 r. miało miejsce łącznie 37 incydentów bezpieczeństwa, które spowodowały łączną stratę na poziomie około 279 mln USD, z czego 8,76 mln USD zostało zwrócone . Przyczynami incydentów związanych z bezpieczeństwem w tym miesiącu są luki w umowach, włamania na konta, ucieczki i przejmowanie nazw domen.

główne wydarzenie
Poproś o sor
2 lipca 2024 r. zaatakowano zdecentralizowany projekt AI Bittensor, w wyniku czego niektórzy użytkownicy portfela Bittensor zostali skradzieni około 32 000 TAO, co stanowi około 8 milionów dolarów według wartości rynkowej. Detektyw działający na łańcuchu ZachXBT zasugerował, że atak mógł być spowodowany wyciekiem klucza prywatnego, ale Bittensor stwierdził później, że dotknięci użytkownicy zostali w rzeczywistości zaatakowani, ponieważ złośliwy pakiet Bittensor został przesłany do menedżera pakietów PyPi w Pythonie.

Wraz z szybkim rozwojem technologii blockchain liczba incydentów związanych z bezpieczeństwem, takich jak kradzież monet, phishing i oszustwa wymierzone w użytkowników, rośnie z dnia na dzień, a metody ataków są zróżnicowane. SlowMist codziennie otrzymuje od ofiar dużą liczbę próśb o pomoc, mając nadzieję, że uda nam się zapewnić pomoc w wyśledzeniu i uratowaniu środków. Wśród nich jest wiele dużych ofiar, które straciły dziesiątki milionów dolarów. Na tej podstawie ta seria gromadzi statystyki i analizuje skradzione formularze otrzymywane co kwartał, mając na celu analizę powszechnych lub rzadkich metod zła w rzeczywistych przypadkach po odczuleniu i pomóc użytkownikom dowiedzieć się, jak lepiej chronić swoje aktywa.

Przedmowa
SlowMist Technology opublikowało „Raport dotyczący bezpieczeństwa Blockchain i przeciwdziałania praniu pieniędzy za pierwszą połowę 2024 r.” (zwany dalej „Raportem”). Raport ten podsumowuje kluczowe zasady zgodności z przepisami oraz rozwój branży blockchain w pierwszej połowie 2024 r 2024, w tym między innymi wielostronne stanowisko regulacyjne w sprawie kryptowalut i szereg podstawowych dostosowań polityki. Dokonaliśmy przeglądu i podsumowania incydentów związanych z bezpieczeństwem blockchain i trendów w zakresie przeciwdziałania praniu pieniędzy w pierwszej połowie 2024 r., zinterpretowaliśmy niektóre popularne narzędzia do prania pieniędzy oraz techniki phishingu i kradzieży, a także zaproponowaliśmy skuteczne metody zapobiegania i strategie reagowania na takie problemy. Ponadto ujawniliśmy i przeanalizowaliśmy także główną organizację przestępczą zajmującą się phishingiem Wallet Drainers oraz grupę hakerską Lazarus Group, aby zapewnić punkt odniesienia w zakresie zapobiegania takim zagrożeniom.

28 czerwca oficjalnie ukazała się arabska wersja „Podręcznika samopomocy Blockchain Dark Forest”.
„Podręcznik samopomocy Blockchain Dark Forest” (zwany „Czarnym podręcznikiem”) został napisany przez Yu Xiana, założyciela SlowMist i zostanie wydany w 2022 roku. Po wydaniu Czarnej Podręcznika spotkała się ona z dużym zainteresowaniem i silnym odzewem, została doceniona i polecona przez większość użytkowników Web3. Jednocześnie Czarna Księga przyciągnęła także grono wybitnych tłumaczy, którzy wykorzystują swoją profesjonalną wiedzę, aby sukcesywnie udostępniać wszystkim angielską, japońską i koreańską wersję Czarnej Księgi, pomagając większej liczbie użytkowników Web3 pokonać bariery językowe i uczyć się. jak pracować w łańcuchu bloków, aby przetrwać w ciemnym lesie.

Autor: Doris@SlowMist Zespół ds. bezpieczeństwa
tło
Jak wynika z monitoringu systemu monitorowania bezpieczeństwa SlowMist MistEye, w dniu 10 czerwca 2024 r. zaatakowano platformę UwU Lend świadczącą usługi pożyczania aktywów cyfrowych w sieci EVM, w wyniku czego nastąpiła strata w wysokości około 19,3 mln USD. Zespół bezpieczeństwa SlowMist przeanalizował incydent i podzielił się wynikami w następujący sposób:
(https://x.com/SlowMist_Team/status/1800181916857155761)

Powiązana informacja
Adres atakującego:
0x841ddf093f5188989fa1524e7b893de64b421f47
Adres umowy, w której występuje luka:
0x9bc6333081266e55d88942e277fc809b485698b9

Transakcja ataku:
0xca1bbf3b320662c89232006f1ec6624b56242850f07e0f1dadbe4f69ba0d6ac3

Autor: Zespół bezpieczeństwa 23pds@slowmist
tło
3 czerwca 2024 r. użytkownik Twittera @CryptoNakamao opublikował historię o tym, jak pobrał złośliwe rozszerzenie dla przeglądarki Chrome Aggr, co spowodowało kradzież 1 miliona dolarów. To spowodowało, że większość użytkowników społeczności kryptograficznej zwróciła uwagę na ryzyko rozszerzenia i zaczęła się martwić bezpieczeństwo ich aktywów kryptograficznych. 31 maja zespół ds. bezpieczeństwa SlowMist opublikował artykuł Wilk w owczej skórze |. Analiza kradzieży fałszywych rozszerzeń do przeglądarki Chrome, w którym przedstawiono szczegółową analizę złych metod złośliwego rozszerzenia Aggr. W związku z brakiem wiedzy ogólnej na temat rozszerzeń przeglądarek wśród użytkowników, dyrektor ds. bezpieczeństwa informacji SlowMist 23pds wyjaśnia podstawową wiedzę i potencjalne ryzyko związane z rozszerzeniami za pomocą sześciu pytań i sześciu odpowiedzi w tym artykule oraz przedstawia sugestie dotyczące postępowania z zagrożeniami związanymi z rozszerzeniami, mając nadzieję, że pomóc indywidualnym użytkownikom i platformom handlowym Popraw zdolność ochrony bezpieczeństwa kont i aktywów.

Przegląd
Według statystyk z archiwum Slowmist Blockchain Hacked Archive (https://hacked.slowmist.io) w maju 2024 r. miało miejsce łącznie 31 incydentów bezpieczeństwa, które spowodowały łączną stratę w wysokości około 124 mln USD z powodu luk w zabezpieczeniach umów i zanieczyszczenia adresów ataki, ucieczki i kradzież konta itp.

główne wydarzenie
Wieloryb
3 maja 2024 r. gigantyczny wieloryb napotkał atak phishingowy z tym samym pierwszym i ostatnim adresem numerycznym i wyłudził 1155 WBTC o wartości około 70 milionów dolarów. Więcej informacji można znaleźć w artykule Łowienie dużych ryb za pomocą małych pieniędzy | Incydent phishingowy WBTC. Jak wynika z monitoringu zespołu ds. bezpieczeństwa SlowMist, haker zwrócił ofierze środki.

Zespół bezpieczeństwa Mountain&Thinking@Slow Mist
tło
Według opinii użytkownika Twittera @doomxbt, 1 marca 2024 r. na jego koncie Binance wystąpiły nieprawidłowości i podejrzewano, że środki zostały skradzione:

https://x.com/doomxbt/status/1763237654965920175

Incydent ten początkowo nie wzbudził większego zainteresowania, jednak 28 maja 2024 roku analiza użytkownika Twittera @Tree_of_Alpha wykazała, że ​​ofiara @doomxbt była podejrzana o zainstalowanie złośliwego rozszerzenia Aggr, które zyskało wiele pozytywnych recenzji w sklepie Chrome (nie mamy bezpośrednio Skontaktowano się z ofiarą, która prosi o potwierdzenie)! Potrafi kraść wszystkie pliki cookie ze stron internetowych odwiedzanych przez użytkowników, a 2 miesiące temu ktoś zapłacił wpływowym osobom za jego promowanie.

Oficjalnie wydano koreańską wersję „Podręcznika samoratowania Blockchain Dark Forest”.

„Podręcznik samopomocy Blockchain Dark Forest” (zwany „Czarnym podręcznikiem”) został napisany przez Yu Xiana, założyciela SlowMist i zostanie wydany w 2022 roku. Po wydaniu Czarnej Księgi spotkało się to z dużym zainteresowaniem i silnym odzewem. Teraz wprowadzenie wersji koreańskiej jest niewątpliwie nowym kamieniem milowym.
„Podręcznik samoratowania Blockchain Dark Forest” ma być przewodnikiem samoratowania dla każdego, kto spaceruje po ciemnym lesie blockchain. Analizuje i szczegółowo wskazuje problemy, które wciąż są w połowie uwzględnione w dziedzinie bezpieczeństwa blockchain, i zapewnia A szereg praktycznych rozwiązań. Jeśli posiadasz kryptowaluty lub interesujesz się tym światem i możesz posiadać kryptowaluty w przyszłości, to warto ponownie przeczytać tę czarną instrukcję i zachować ostrożność.

tło
Portfele odgrywają kluczową rolę w świecie Web3. Są nie tylko narzędziami do przechowywania zasobów cyfrowych, ale także narzędziami niezbędnymi dla użytkowników do przeprowadzania transakcji i uzyskiwania dostępu do DApps. W poprzednim wydaniu Przewodnika dotyczącego zabezpieczeń Web3 — wprowadzenie i unikanie pułapek, przedstawiliśmy głównie klasyfikację portfeli i wymieniliśmy typowe punkty ryzyka, aby pomóc czytelnikom w sformułowaniu podstawowych koncepcji bezpieczeństwa portfela. Wraz z popularnością kryptowalut i technologii blockchain czarny przemysł skupił się również na funduszach użytkowników Web3. Ze skradzionych formularzy otrzymanych przez zespół ds. bezpieczeństwa SlowMist wynika, że ​​wielu użytkowników zostało aresztowanych za pobieranie/zakup fałszywych portfeli . Dlatego w tym numerze omówimy powody pobierania/kupowania fałszywych portfeli, a także ryzyko wycieku kluczy prywatnych/fraz mnemonicznych, a także przedstawimy szereg sugestii dotyczących bezpieczeństwa, które pomogą użytkownikom zapewnić bezpieczeństwo ich środków.

Autorzy: Liz, Zero i Keywolf
tło
Jak wynika z monitoringu prowadzonego przez platformę zwalczania oszustw Web3 Scam Sniffer, gigantyczny wieloryb napotkał atak phishingowy z tym samym pierwszym i ostatnim adresem, w wyniku którego wyłudził 1155 WBTC o wartości około 70 milionów dolarów. Choć ta metoda połowów znana jest już od dawna, skala zniszczeń spowodowanych tym incydentem wciąż szokuje. W tym artykule przeanalizujemy kluczowe punkty ataków phishingowych na adresy o tej samej pierwszej i ostatniej liczbie, miejsce przechowywania środków, cechy hakera oraz sugestie dotyczące zapobiegania takim atakom phishingowym.
(https://twitter.com/realScamSniffer/status/1786374327740543464)

Przegląd
Według statystyk z archiwum Slowmist Blockchain Hacked Archive (https://hacked.slowmist.io) w kwietniu 2024 r. miało miejsce łącznie 37 incydentów bezpieczeństwa, które spowodowały łączną stratę w wysokości około 90,81 mln USD z powodu luk w zabezpieczeniach umów i luki w zabezpieczeniach partii, ucieczka i kradzież konta itp.
główne wydarzenie
Otwarta dźwignia
1 kwietnia 2024 r. zaatakowano protokół DeFi OpenLeverage, co spowodowało stratę około 260 000 dolarów. OpenLeverage twierdzi, że zawarte w protokole ubezpieczenie, fundusz wykupu OLE i rezerwy protokolarne zostaną wykorzystane na pokrycie wszystkich strat wynikających z protokołu.
(https://twitter.com/OpenLeverage/status/1774734793990971462)