LIVE
慢雾 SlowMist
@SlowMist
慢雾(SlowMist) 是一家行业领先的区块链安全公司,主要通过安全审计及反洗钱追踪溯源等服务广大客户,已有商业客户上千家,客户分布在十几个主要国家与地区。
Seguindo
Seguidores
Curtiu
Compartilhamentos
Ver original
Slow Mist: Melhores práticas de segurança de contrato inteligente Toncoin
TON (The Open Network) é uma plataforma blockchain descentralizada originalmente projetada e desenvolvida pela equipe do Telegram. Ela ganhou atenção assim que foi lançada. O objetivo da TON é fornecer uma plataforma blockchain escalável e de alto desempenho para suportar aplicativos descentralizados em larga escala (DApps) e contratos inteligentes. O conhecimento básico sobre a TON pode ser encontrado em Conhecendo a TON: Contas, Tokens, Transações e Segurança de Ativos.
Vale ressaltar que o TON possui uma arquitetura completamente diferente de outros blockchains. Além de utilizar principalmente a linguagem FunC para programação, os contratos inteligentes do TON também utilizam o Tact de nível superior ou o Fift de nível inferior. Estas são linguagens altamente originais, por isso garantir a segurança dos contratos inteligentes é fundamental.
Vale ressaltar que o TON possui uma arquitetura completamente diferente de outros blockchains. Além de utilizar principalmente a linguagem FunC para programação, os contratos inteligentes do TON também utilizam o Tact de nível superior ou o Fift de nível inferior. Estas são linguagens altamente originais, por isso garantir a segurança dos contratos inteligentes é fundamental.
Ver original
Em alta
Produzido por SlowMist | Manual de segurança do projeto Web3
Com o rápido desenvolvimento da Web3, a tecnologia blockchain e a criptomoeda tornaram-se gradualmente uma parte importante do sistema financeiro global. No entanto, as questões de segurança que as acompanham também trazem muitos desafios a este campo emergente. Portanto, a equipe de segurança da Slowmist lançou especialmente o "Manual de Segurança do Projeto Web3" (https://www.slowmist.com/redhandbook/), conhecido como "Manual Vermelho", que visa fornecer orientação abrangente de segurança e praticidade para Habilidade de projetos e desenvolvedores Web3. O Manual Vermelho é bilíngue em chinês e inglês e inclui principalmente quatro partes: requisitos de práticas de segurança do projeto Web3, árvore de habilidades de auditoria de contrato inteligente SlowMist, guia de auditoria de segurança de criptomoeda baseado em blockchain e soluções de segurança de ativos criptográficos.
Ver original
Guia do iniciante em segurança Web3 para evitar armadilhas | Pixiu Pan Scam
fundo
Na última edição do Guia de primeiros passos do Web3 Security para evitar armadilhas, analisamos golpes comuns de pools de mineração falsos. Nesta edição, nos concentraremos no golpe Pixiu Pan. Segundo a lenda, Pixiu é uma criatura mágica e diz-se que os tesouros engolidos não podem ser retirados do seu corpo. Esta imagem descreve apropriadamente o golpe Pixiu Pan: depois que os usuários investem dinheiro, o preço sobe rapidamente, desencadeando compras subsequentes, mas no final descobrem que não podem vender e os fundos ficam bloqueados.
O conteúdo desta edição inclui os motivos pelos quais os usuários caem no Pixiu Pan, truques típicos do golpe do Pixiu Pan e sugestões de segurança correspondentes. Espero que possa ajudar todos a ficarem mais vigilantes e evitar armadilhas.
Na última edição do Guia de primeiros passos do Web3 Security para evitar armadilhas, analisamos golpes comuns de pools de mineração falsos. Nesta edição, nos concentraremos no golpe Pixiu Pan. Segundo a lenda, Pixiu é uma criatura mágica e diz-se que os tesouros engolidos não podem ser retirados do seu corpo. Esta imagem descreve apropriadamente o golpe Pixiu Pan: depois que os usuários investem dinheiro, o preço sobe rapidamente, desencadeando compras subsequentes, mas no final descobrem que não podem vender e os fundos ficam bloqueados.
O conteúdo desta edição inclui os motivos pelos quais os usuários caem no Pixiu Pan, truques típicos do golpe do Pixiu Pan e sugestões de segurança correspondentes. Espero que possa ajudar todos a ficarem mais vigilantes e evitar armadilhas.
Ver original
Ponto de vista|A cooperação internacional na aplicação da lei se tornará uma tendência importante no combate aos crimes de criptomoeda
Com o advento da globalização e da digitalização, o rápido desenvolvimento do mercado de criptomoedas trouxe novas oportunidades de negócios, ao mesmo tempo que colocou novos desafios legais e regulamentares em todo o mundo. As criptomoedas estão interagindo cada vez mais com moedas fiduciárias, levando a um aumento de atividades ilegais, como lavagem de dinheiro e financiamento do terrorismo. Ao mesmo tempo, devido a razões como a tecnologia blockchain estar fora da área de atuação das agências de aplicação da lei, é. difícil para as agências responsáveis pela aplicação da lei localizarem perpetradores específicos. Existem desafios ainda maiores no combate a estas actividades ilegais. Além disso, a julgar pelos múltiplos incidentes, a supervisão da criptomoeda não requer apenas o apoio das leis locais, mas também requer cooperação internacional para lidar com a criminalidade transfronteiriça, o branqueamento de capitais, o financiamento do terrorismo e outras questões. Portanto, a cooperação internacional na aplicação da lei e o uso da tecnologia de análise de dados blockchain se tornarão uma tendência importante no combate aos crimes de criptomoeda.
Ver original
A fé parcial leva à escuridão – análise do hack Penpie
Por: Equipe de segurança Jiujiu@slowmist
fundo
De acordo com a inteligência da equipe de segurança SlowMist, em 4 de setembro de 2024, o projeto descentralizado de renda de liquidez Penpie foi atacado e o invasor obteve quase US$ 30 milhões em lucro. A equipe de segurança do SlowMist analisou o incidente e compartilhou os resultados da seguinte forma:
(https://x.com/Penpiexyz_io/status/1831058385330118831)
conhecimento pré-requisito
Pendle Finance é um protocolo descentralizado de negociação de rendimento financeiro com mais de US$ 4,5 bilhões em valor total bloqueado. O protocolo foi integrado com sucesso ao Magpie com o objetivo de otimizar oportunidades de receita e aprimorar seu modelo veTokenomics. Nesta base, o projecto Penpie introduziu uma função de mineração de liquidez para permitir ao mercado da Pendle Finance obter rendimento passivo.
fundo
De acordo com a inteligência da equipe de segurança SlowMist, em 4 de setembro de 2024, o projeto descentralizado de renda de liquidez Penpie foi atacado e o invasor obteve quase US$ 30 milhões em lucro. A equipe de segurança do SlowMist analisou o incidente e compartilhou os resultados da seguinte forma:
(https://x.com/Penpiexyz_io/status/1831058385330118831)
conhecimento pré-requisito
Pendle Finance é um protocolo descentralizado de negociação de rendimento financeiro com mais de US$ 4,5 bilhões em valor total bloqueado. O protocolo foi integrado com sucesso ao Magpie com o objetivo de otimizar oportunidades de receita e aprimorar seu modelo veTokenomics. Nesta base, o projecto Penpie introduziu uma função de mineração de liquidez para permitir ao mercado da Pendle Finance obter rendimento passivo.
Ver original
Em alta
Explore Sui: a tecnologia por trás do alto desempenho e da segurança contratual
Por: Johan e Victory!
fundo
Há algum tempo, discutimos as características do TON e as questões de segurança de ativos do usuário na Primeira Introdução ao TON: Contas, Tokens, Transações e Segurança de Ativos. Hoje, vamos aprender sobre outra plataforma emergente de blockchain de alto desempenho - Sui, que possui uma série de tecnologias inovadoras e recursos exclusivos, atraindo a atenção de desenvolvedores e pesquisadores. Sui se concentra em fornecer uma experiência de transação rápida e segura, adequada para vários cenários de aplicação. Este artigo ajudará os leitores a entender o Sui, explicando o modelo de conta do Sui, gerenciamento de tokens, mecanismo de transação e segurança de ativos.
fundo
Há algum tempo, discutimos as características do TON e as questões de segurança de ativos do usuário na Primeira Introdução ao TON: Contas, Tokens, Transações e Segurança de Ativos. Hoje, vamos aprender sobre outra plataforma emergente de blockchain de alto desempenho - Sui, que possui uma série de tecnologias inovadoras e recursos exclusivos, atraindo a atenção de desenvolvedores e pesquisadores. Sui se concentra em fornecer uma experiência de transação rápida e segura, adequada para vários cenários de aplicação. Este artigo ajudará os leitores a entender o Sui, explicando o modelo de conta do Sui, gerenciamento de tokens, mecanismo de transação e segurança de ativos.
Ver original
Guia do iniciante em segurança Web3 para evitar armadilhas | Golpe falso de pool de mineração
fundo
Na última edição do Guia de primeiros passos do Web3 Security para evitar armadilhas, analisamos alguns golpes típicos de lançamento aéreo e explicamos os vários riscos que os usuários podem enfrentar ao receber lançamentos aéreos. Recentemente, a equipe SlowMist AML notou um aumento significativo no número de usuários comprometidos por golpes de pools de mineração falsos ao analisar os formulários roubados do MistTrack enviados pelas vítimas. Portanto, nesta edição, forneceremos uma análise aprofundada de vários golpes comuns de pools de mineração falsos e apresentaremos sugestões de segurança correspondentes para ajudar os usuários a evitar armadilhas.
Você se preocupa com o bem-estar dele, ele se preocupa com a sua natureza
O golpe do pool de mineração falso visa principalmente novos usuários do Web3. Os golpistas aproveitam a falta de compreensão dos novos usuários sobre o mercado de criptomoedas e o desejo de altos retornos, e os enganam para que invistam fundos por meio de uma série de etapas cuidadosamente projetadas. Esses golpes geralmente contam com o mecanismo de que “os fundos precisam ser armazenados no pool por um período de tempo para gerar renda”, dificultando que os usuários percebam que foram enganados em um curto período de tempo. Sob a orientação de golpistas, os usuários muitas vezes continuam a investir mais dinheiro para obter taxas de juros mais altas. Quando os usuários não conseguem continuar a fornecer fundos, os golpistas ameaçarão que isso resultará na incapacidade de resgatar o principal, e os usuários finais continuarão a sofrer perdas sob forte pressão.
Na última edição do Guia de primeiros passos do Web3 Security para evitar armadilhas, analisamos alguns golpes típicos de lançamento aéreo e explicamos os vários riscos que os usuários podem enfrentar ao receber lançamentos aéreos. Recentemente, a equipe SlowMist AML notou um aumento significativo no número de usuários comprometidos por golpes de pools de mineração falsos ao analisar os formulários roubados do MistTrack enviados pelas vítimas. Portanto, nesta edição, forneceremos uma análise aprofundada de vários golpes comuns de pools de mineração falsos e apresentaremos sugestões de segurança correspondentes para ajudar os usuários a evitar armadilhas.
Você se preocupa com o bem-estar dele, ele se preocupa com a sua natureza
O golpe do pool de mineração falso visa principalmente novos usuários do Web3. Os golpistas aproveitam a falta de compreensão dos novos usuários sobre o mercado de criptomoedas e o desejo de altos retornos, e os enganam para que invistam fundos por meio de uma série de etapas cuidadosamente projetadas. Esses golpes geralmente contam com o mecanismo de que “os fundos precisam ser armazenados no pool por um período de tempo para gerar renda”, dificultando que os usuários percebam que foram enganados em um curto período de tempo. Sob a orientação de golpistas, os usuários muitas vezes continuam a investir mais dinheiro para obter taxas de juros mais altas. Quando os usuários não conseguem continuar a fornecer fundos, os golpistas ameaçarão que isso resultará na incapacidade de resgatar o principal, e os usuários finais continuarão a sofrer perdas sob forte pressão.
Ver original
Guia do iniciante em segurança Web3 para evitar armadilhas|Airdrop Scam
fundo
Na edição anterior do Guia de introdução e prevenção de armadilhas do Web3 Security, explicamos principalmente o conhecimento relevante do phishing com múltiplas assinaturas, incluindo o mecanismo de múltiplas assinaturas, as causas das múltiplas assinaturas e como evitar múltiplas assinaturas maliciosas na carteira . Nesta edição, vamos explicar um método de marketing considerado eficaz tanto nas indústrias tradicionais quanto no campo da criptografia: os airdrops.
Os airdrops podem trazer projetos da obscuridade aos olhos do público em um curto período de tempo, acumular rapidamente uma base de usuários e aumentar a influência no mercado. Quando os usuários participam do projeto Web3, eles precisam clicar em links relevantes e interagir com a equipe do projeto para obter tokens de lançamento aéreo. No entanto, desde sites de alta imitação até ferramentas com backdoors, os hackers já criaram armadilhas a montante e a jusante do processo de lançamento aéreo para. Usuários. Portanto, nesta edição analisaremos alguns golpes típicos de lançamento aéreo para explicar os riscos relacionados e ajudar todos a evitar armadilhas.
Na edição anterior do Guia de introdução e prevenção de armadilhas do Web3 Security, explicamos principalmente o conhecimento relevante do phishing com múltiplas assinaturas, incluindo o mecanismo de múltiplas assinaturas, as causas das múltiplas assinaturas e como evitar múltiplas assinaturas maliciosas na carteira . Nesta edição, vamos explicar um método de marketing considerado eficaz tanto nas indústrias tradicionais quanto no campo da criptografia: os airdrops.
Os airdrops podem trazer projetos da obscuridade aos olhos do público em um curto período de tempo, acumular rapidamente uma base de usuários e aumentar a influência no mercado. Quando os usuários participam do projeto Web3, eles precisam clicar em links relevantes e interagir com a equipe do projeto para obter tokens de lançamento aéreo. No entanto, desde sites de alta imitação até ferramentas com backdoors, os hackers já criaram armadilhas a montante e a jusante do processo de lançamento aéreo para. Usuários. Portanto, nesta edição analisaremos alguns golpes típicos de lançamento aéreo para explicar os riscos relacionados e ajudar todos a evitar armadilhas.
Ver original
Primeira introdução ao TON: Conta, Token, Transação e Segurança de Ativos
Por: Johan
fundo
TON (The Open Network) é uma plataforma blockchain descentralizada originalmente projetada e desenvolvida pela equipe do Telegram. O objetivo da TON é fornecer uma plataforma blockchain escalável e de alto desempenho para suportar aplicações descentralizadas (DApps) e contratos inteligentes em grande escala.
TON é tão especial, é fácil de usar, está profundamente integrado ao Telegram, facilitando o uso de tokens por pessoas comuns, também é complexo, tem uma arquitetura completamente diferente de outros blockchains e usa FunC não convencional; Linguagem de contrato inteligente. Hoje discutiremos as características do TON e as questões de segurança de ativos do usuário do ponto de vista de contas, tokens e transações.
fundo
TON (The Open Network) é uma plataforma blockchain descentralizada originalmente projetada e desenvolvida pela equipe do Telegram. O objetivo da TON é fornecer uma plataforma blockchain escalável e de alto desempenho para suportar aplicações descentralizadas (DApps) e contratos inteligentes em grande escala.
TON é tão especial, é fácil de usar, está profundamente integrado ao Telegram, facilitando o uso de tokens por pessoas comuns, também é complexo, tem uma arquitetura completamente diferente de outros blockchains e usa FunC não convencional; Linguagem de contrato inteligente. Hoje discutiremos as características do TON e as questões de segurança de ativos do usuário do ponto de vista de contas, tokens e transações.
Ver original
SlowMist oferece “Prêmio SlowMist Cyber Security” aos vencedores do curso de finanças da Universidade Batista de Hong Kong
Recentemente, a Escola de Administração de Empresas da Universidade Batista de Hong Kong divulgou a notícia de que a Sra. Cheung Yung Yung Mandy, uma excelente aluna do programa de Mestrado em Finanças (Tecnologia Financeira e Análise Financeira), ganhou o Prêmio SlowMist de Segurança Cibernética no período acadêmico de 2023-24. ano. Este prêmio é uma homenagem ao trabalho de Mandy no curso "Reconhecimento pelo excelente desempenho no FIN7900 Cybersecurity, Privacy and RegTech". O seu trabalho não só estabelece o padrão de excelência académica, mas também destaca a importância de proteger a tecnologia financeira na era digital de hoje.
A partir do ano acadêmico de 2020-21, a SlowMist começou a oferecer o Prêmio SlowMist Cybersecurity, que inclui um prêmio em dinheiro de US$ 4.000, aos vencedores dos cursos de finanças da Universidade Batista de Hong Kong. SlowMist oferece este prêmio para incentivar estudantes excepcionais que trabalham duro para o desenvolvimento da segurança de rede. Esperamos que mais pessoas percebam a importância da segurança de rede no ambiente digital atual. A SlowMist sempre se comprometeu a trazer uma sensação de segurança ao ecossistema blockchain, seja fornecendo serviços gratuitos de assistência à avaliação de casos para a comunidade blockchain, divulgando conhecimento de segurança na forma de AMA ou artigos, ou continuando a acompanhar bloqueios ameaçadores. na indústria de cadeias são tudo porque sabemos que a segurança da rede está relacionada à privacidade pessoal/segurança de propriedade e até mesmo à confiança e ao desenvolvimento sustentável da indústria. Portanto, a SlowMist continua a utilizar suas capacidades e experiência em segurança de blockchain por muitos anos para promover o desenvolvimento saudável da indústria de blockchain.
A partir do ano acadêmico de 2020-21, a SlowMist começou a oferecer o Prêmio SlowMist Cybersecurity, que inclui um prêmio em dinheiro de US$ 4.000, aos vencedores dos cursos de finanças da Universidade Batista de Hong Kong. SlowMist oferece este prêmio para incentivar estudantes excepcionais que trabalham duro para o desenvolvimento da segurança de rede. Esperamos que mais pessoas percebam a importância da segurança de rede no ambiente digital atual. A SlowMist sempre se comprometeu a trazer uma sensação de segurança ao ecossistema blockchain, seja fornecendo serviços gratuitos de assistência à avaliação de casos para a comunidade blockchain, divulgando conhecimento de segurança na forma de AMA ou artigos, ou continuando a acompanhar bloqueios ameaçadores. na indústria de cadeias são tudo porque sabemos que a segurança da rede está relacionada à privacidade pessoal/segurança de propriedade e até mesmo à confiança e ao desenvolvimento sustentável da indústria. Portanto, a SlowMist continua a utilizar suas capacidades e experiência em segurança de blockchain por muitos anos para promover o desenvolvimento saudável da indústria de blockchain.
Ver original
Versão indonésia do "Blockchain Dark Forest Self-Rescue Manual" lançada oficialmente
Em 5 de agosto, a versão indonésia do "Blockchain Dark Forest Self-Rescue Manual" foi lançada oficialmente.
O "Manual de Autoajuda Blockchain Dark Forest" (referido como "Manual Negro") foi escrito por Yu Xian, o fundador do SlowMist, e será lançado em 2022. O "Manual de auto-resgate da floresta escura do Blockchain" está posicionado para focar na segurança do usuário e tem como objetivo se tornar um guia de auto-resgate para cada usuário que anda na floresta escura do blockchain. Assim que o Black Manual foi lançado, atraiu grande atenção e forte resposta, sendo reconhecido e recomendado pela maioria dos usuários do Web3. Agora, o lançamento da versão indonésia expandiu ainda mais a difusão do Manual Negro.
O "Manual de Autoajuda Blockchain Dark Forest" (referido como "Manual Negro") foi escrito por Yu Xian, o fundador do SlowMist, e será lançado em 2022. O "Manual de auto-resgate da floresta escura do Blockchain" está posicionado para focar na segurança do usuário e tem como objetivo se tornar um guia de auto-resgate para cada usuário que anda na floresta escura do blockchain. Assim que o Black Manual foi lançado, atraiu grande atenção e forte resposta, sendo reconhecido e recomendado pela maioria dos usuários do Web3. Agora, o lançamento da versão indonésia expandiu ainda mais a difusão do Manual Negro.
Ver original
Guia para evitar armadilhas de segurança da Web3|Risco de carteira ser maliciosamente multiassinada
fundo
Na última edição do Guia de introdução e prevenção de armadilhas do Web3 Security, explicamos principalmente os riscos ao baixar/comprar carteiras, como encontrar o verdadeiro site oficial e verificar a autenticidade das carteiras, e os riscos de vazamento de chaves privadas/frases mnemônicas. Costumamos dizer "Nem suas chaves, nem suas moedas", mas também há situações em que mesmo que você tenha a chave privada/frase mnemônica, você não pode controlar seus ativos, ou seja, a carteira foi multiassinada maliciosamente. Combinado com os formulários roubados do MistTrack que coletamos, depois que as carteiras de alguns usuários foram multiassinadas de forma maliciosa, eles não entenderam por que ainda tinham saldos em suas contas de carteira, mas não conseguiam transferir fundos. Portanto, nesta edição, tomaremos a carteira TRON como exemplo para explicar o conhecimento relevante de phishing com múltiplas assinaturas, incluindo o mecanismo de múltiplas assinaturas, operações regulares de hackers e como evitar assinaturas múltiplas maliciosas na carteira.
Na última edição do Guia de introdução e prevenção de armadilhas do Web3 Security, explicamos principalmente os riscos ao baixar/comprar carteiras, como encontrar o verdadeiro site oficial e verificar a autenticidade das carteiras, e os riscos de vazamento de chaves privadas/frases mnemônicas. Costumamos dizer "Nem suas chaves, nem suas moedas", mas também há situações em que mesmo que você tenha a chave privada/frase mnemônica, você não pode controlar seus ativos, ou seja, a carteira foi multiassinada maliciosamente. Combinado com os formulários roubados do MistTrack que coletamos, depois que as carteiras de alguns usuários foram multiassinadas de forma maliciosa, eles não entenderam por que ainda tinham saldos em suas contas de carteira, mas não conseguiam transferir fundos. Portanto, nesta edição, tomaremos a carteira TRON como exemplo para explicar o conhecimento relevante de phishing com múltiplas assinaturas, incluindo o mecanismo de múltiplas assinaturas, operações regulares de hackers e como evitar assinaturas múltiplas maliciosas na carteira.
Ver original
O astuto phishing da floresta escura
fundo
Em 25 de julho de 2024, MonoSwap (@monoswapio) emitiu um aviso no Twitter de que sua plataforma havia sido hackeada. Eles pediram aos usuários que suspendessem a adição de fundos aos seus pools de liquidez ou o staking em seus pools agrícolas e explicaram que o ataque foi devido a um desenvolvedor MonoSwap que instalou software Trojan ao aceitar um convite de reunião de um VC falso no dia anterior ao incidente (https [ :]//kakaocall[.]kr), os hackers usam isso para invadir os computadores dos desenvolvedores do MonoSwap, controlando assim carteiras e contratos relacionados e, em seguida, retirar uma grande quantidade de fundos prometidos, causando graves perdas.
Em 25 de julho de 2024, MonoSwap (@monoswapio) emitiu um aviso no Twitter de que sua plataforma havia sido hackeada. Eles pediram aos usuários que suspendessem a adição de fundos aos seus pools de liquidez ou o staking em seus pools agrícolas e explicaram que o ataque foi devido a um desenvolvedor MonoSwap que instalou software Trojan ao aceitar um convite de reunião de um VC falso no dia anterior ao incidente (https [ :]//kakaocall[.]kr), os hackers usam isso para invadir os computadores dos desenvolvedores do MonoSwap, controlando assim carteiras e contratos relacionados e, em seguida, retirar uma grande quantidade de fundos prometidos, causando graves perdas.
Ver original
Análise de risco de falsificação de origem do TonConnect SDK
Por: Pensando
fundo
À medida que o projeto ecológico TON esquenta, as gangues de phishing Web3 também começaram a entrar no campo de batalha ecológico TON. Atualmente, o TonConnect SDK é usado no ecossistema TON para resolver o problema de conexão e interação de carteira entre plataformas/aplicativos. Essas soluções inevitavelmente encontrarão um problema: como resolver a verificação de nomes de domínio durante a comunicação entre plataformas/aplicativos?
Geralmente, para permitir que os usuários usem uma carteira para se conectar a um DApp ou confirmar se a fonte de uma solicitação de assinatura é confiável, a carteira solicitará o nome de domínio da fonte na página de aprovação da solicitação, para que os usuários possam verificar melhor e confirmar se a origem da solicitação é consistente com a origem de sua operação. Isso evita ser fraudado por solicitações de assinatura de fontes maliciosas.
fundo
À medida que o projeto ecológico TON esquenta, as gangues de phishing Web3 também começaram a entrar no campo de batalha ecológico TON. Atualmente, o TonConnect SDK é usado no ecossistema TON para resolver o problema de conexão e interação de carteira entre plataformas/aplicativos. Essas soluções inevitavelmente encontrarão um problema: como resolver a verificação de nomes de domínio durante a comunicação entre plataformas/aplicativos?
Geralmente, para permitir que os usuários usem uma carteira para se conectar a um DApp ou confirmar se a fonte de uma solicitação de assinatura é confiável, a carteira solicitará o nome de domínio da fonte na página de aprovação da solicitação, para que os usuários possam verificar melhor e confirmar se a origem da solicitação é consistente com a origem de sua operação. Isso evita ser fraudado por solicitações de assinatura de fontes maliciosas.
Ver original
Slow Mist: Guia de solução de problemas e reforço de segurança da conta X
Por: 耀
Visão geral do plano de fundo
Recentemente, houve incidentes frequentes em que as contas X de desenvolvedores/celebridades do projeto Web3 foram roubadas e usadas para enviar tweets de phishing. Os hackers são bons em usar vários meios para roubar contas de usuários.
Induzir os usuários a clicar em links falsos de reserva de reuniões do Calendly/Kakao para roubar a autorização da conta do usuário ou controlar o dispositivo do usuário;
Mensagens privadas enganam os usuários para que baixem programas com Trojans (jogos falsos, programas de conferência, etc.). Além de roubar chaves privadas/frases mnemônicas, os Trojans também podem roubar permissões da conta X;
Use o ataque SIM Swap para roubar permissões da conta X que dependem do número do celular.
Visão geral do plano de fundo
Recentemente, houve incidentes frequentes em que as contas X de desenvolvedores/celebridades do projeto Web3 foram roubadas e usadas para enviar tweets de phishing. Os hackers são bons em usar vários meios para roubar contas de usuários.
Induzir os usuários a clicar em links falsos de reserva de reuniões do Calendly/Kakao para roubar a autorização da conta do usuário ou controlar o dispositivo do usuário;
Mensagens privadas enganam os usuários para que baixem programas com Trojans (jogos falsos, programas de conferência, etc.). Além de roubar chaves privadas/frases mnemônicas, os Trojans também podem roubar permissões da conta X;
Use o ataque SIM Swap para roubar permissões da conta X que dependem do número do celular.
Ver original
Notícias mensais | Incidentes de segurança da Web3 custaram aproximadamente US$ 279 milhões no total
Visão geral
De acordo com estatísticas do Slowmist Blockchain Hacked Archive (https://hacked.slowmist.io), em julho de 2024, ocorreram um total de 37 incidentes de segurança, com uma perda total de aproximadamente US$ 279 milhões, dos quais US$ 8,76 milhões foram devolvidos . As causas dos incidentes de segurança neste mês envolvem vulnerabilidades de contratos, invasões de contas, fugas e sequestro de nomes de domínio.
evento principal
Solicitar sor
Em 2 de julho de 2024, o projeto descentralizado de IA Bittensor foi atacado e alguns usuários da carteira Bittensor foram roubados. O invasor roubou aproximadamente 32.000 TAO, o que equivale a aproximadamente US$ 8 milhões com base no valor de mercado. O detetive da rede ZachXBT sugeriu que o ataque pode ter sido causado por um vazamento de chave privada, mas Bittensor afirmou mais tarde que os usuários afetados foram realmente atacados porque um pacote Bittensor malicioso foi carregado no gerenciador de pacotes PyPi do Python.
De acordo com estatísticas do Slowmist Blockchain Hacked Archive (https://hacked.slowmist.io), em julho de 2024, ocorreram um total de 37 incidentes de segurança, com uma perda total de aproximadamente US$ 279 milhões, dos quais US$ 8,76 milhões foram devolvidos . As causas dos incidentes de segurança neste mês envolvem vulnerabilidades de contratos, invasões de contas, fugas e sequestro de nomes de domínio.
evento principal
Solicitar sor
Em 2 de julho de 2024, o projeto descentralizado de IA Bittensor foi atacado e alguns usuários da carteira Bittensor foram roubados. O invasor roubou aproximadamente 32.000 TAO, o que equivale a aproximadamente US$ 8 milhões com base no valor de mercado. O detetive da rede ZachXBT sugeriu que o ataque pode ter sido causado por um vazamento de chave privada, mas Bittensor afirmou mais tarde que os usuários afetados foram realmente atacados porque um pacote Bittensor malicioso foi carregado no gerenciador de pacotes PyPi do Python.
Ver original
SlowMist: Análise de formulário roubado do MistTrack do segundo trimestre de 2024
Com o rápido desenvolvimento do blockchain, incidentes de segurança como roubo de moedas, phishing e fraudes contra usuários estão aumentando dia a dia e os métodos de ataque são diversos. SlowMist recebe diariamente um grande número de pedidos de ajuda de vítimas, esperando que possamos fornecer ajuda no rastreamento e resgate de fundos. Entre elas, há muitas vítimas grandes que perderam dezenas de milhões de dólares. Com base nisso, esta série coleta estatísticas e analisa os formulários roubados recebidos a cada trimestre, com o objetivo de analisar métodos malignos comuns ou raros com casos reais após a dessensibilização e ajudar os usuários a aprender como proteger melhor seus ativos.
Ver original
Produzido por SlowMist | Relatório de segurança Blockchain e combate à lavagem de dinheiro para o primeiro semestre de 2024
Prefácio
A SlowMist Technology lançou o "Relatório de Segurança Blockchain e Combate à Lavagem de Dinheiro para o Primeiro Semestre de 2024" (doravante denominado "Relatório"). 2024, incluindo, entre outros, uma postura regulatória multifacetada sobre criptomoedas e uma série de ajustes políticos básicos. Revisamos e resumimos incidentes de segurança de blockchain e tendências de combate à lavagem de dinheiro no primeiro semestre de 2024, interpretamos algumas ferramentas comuns de lavagem de dinheiro e técnicas de phishing e roubo e propusemos métodos eficazes de prevenção e estratégias de resposta para tais problemas. Além disso, também divulgamos e analisamos a principal organização criminosa de phishing Wallet Drainers e o grupo de hackers Lazarus Group, a fim de fornecer referência para a prevenção de tais ameaças.
A SlowMist Technology lançou o "Relatório de Segurança Blockchain e Combate à Lavagem de Dinheiro para o Primeiro Semestre de 2024" (doravante denominado "Relatório"). 2024, incluindo, entre outros, uma postura regulatória multifacetada sobre criptomoedas e uma série de ajustes políticos básicos. Revisamos e resumimos incidentes de segurança de blockchain e tendências de combate à lavagem de dinheiro no primeiro semestre de 2024, interpretamos algumas ferramentas comuns de lavagem de dinheiro e técnicas de phishing e roubo e propusemos métodos eficazes de prevenção e estratégias de resposta para tais problemas. Além disso, também divulgamos e analisamos a principal organização criminosa de phishing Wallet Drainers e o grupo de hackers Lazarus Group, a fim de fornecer referência para a prevenção de tais ameaças.
Ver original
Versão árabe do "Manual de autoajuda Blockchain Dark Forest" lançada oficialmente
Em 28 de junho, a versão árabe do “Manual de Autoajuda Blockchain Dark Forest” foi lançada oficialmente.
O "Manual de Autoajuda Blockchain Dark Forest" (referido como "Manual Negro") foi escrito por Yu Xian, o fundador do SlowMist, e será lançado em 2022. Assim que o Black Manual foi lançado, atraiu grande atenção e forte resposta, sendo reconhecido e recomendado pela maioria dos usuários do Web3. Ao mesmo tempo, o Manual Negro também atraiu um grupo de tradutores excepcionais. Eles usam seu conhecimento profissional para disponibilizar sucessivamente as versões em inglês, japonês e coreano do Manual Negro para todos, ajudando mais usuários da Web3 a superar as barreiras linguísticas e aprender. como trabalhar na cadeia de blocos para sobreviver na floresta escura.
O "Manual de Autoajuda Blockchain Dark Forest" (referido como "Manual Negro") foi escrito por Yu Xian, o fundador do SlowMist, e será lançado em 2022. Assim que o Black Manual foi lançado, atraiu grande atenção e forte resposta, sendo reconhecido e recomendado pela maioria dos usuários do Web3. Ao mesmo tempo, o Manual Negro também atraiu um grupo de tradutores excepcionais. Eles usam seu conhecimento profissional para disponibilizar sucessivamente as versões em inglês, japonês e coreano do Manual Negro para todos, ajudando mais usuários da Web3 a superar as barreiras linguísticas e aprender. como trabalhar na cadeia de blocos para sobreviver na floresta escura.
Ver original
Névoa lenta: análise de empréstimo hackeado UwU
Por: Doris@SlowMist Equipe de Segurança
fundo
Em 10 de junho de 2024, segundo monitoramento do sistema de monitoramento de segurança SlowMist MistEye, a UwU Lend, plataforma que presta serviços de empréstimo de ativos digitais na cadeia EVM, foi atacada, resultando em um prejuízo de aproximadamente US$ 19,3 milhões. A equipe de segurança do SlowMist analisou o incidente e compartilhou os resultados da seguinte forma:
(https://x.com/SlowMist_Team/status/1800181916857155761)
Informação relacionada
Endereço do invasor:
0x841ddf093f5188989fa1524e7b893de64b421f47
Endereço de contrato vulnerável:
0x9bc6333081266e55d88942e277fc809b485698b9
Transação de ataque:
0xca1bbf3b320662c89232006f1ec6624b56242850f07e0f1dadbe4f69ba0d6ac3
fundo
Em 10 de junho de 2024, segundo monitoramento do sistema de monitoramento de segurança SlowMist MistEye, a UwU Lend, plataforma que presta serviços de empréstimo de ativos digitais na cadeia EVM, foi atacada, resultando em um prejuízo de aproximadamente US$ 19,3 milhões. A equipe de segurança do SlowMist analisou o incidente e compartilhou os resultados da seguinte forma:
(https://x.com/SlowMist_Team/status/1800181916857155761)
Informação relacionada
Endereço do invasor:
0x841ddf093f5188989fa1524e7b893de64b421f47
Endereço de contrato vulnerável:
0x9bc6333081266e55d88942e277fc809b485698b9
Transação de ataque:
0xca1bbf3b320662c89232006f1ec6624b56242850f07e0f1dadbe4f69ba0d6ac3
