6月16日,Peckshield发文称已经找到了上周 火币4 连续发生3起天价手续费转账事件的真相:
PeckShield从 0xcdd6a2b 地址关联的 0x12d8012 和 0xe87fda7 开头的地址为突破口,进一步展开深入搜索和追查。终于,我们发现 0xcdd6a2b 开头的地址所属为一家韩国名为 Good Cycle 的主打理财庞氏骗局的交易所。
所以,黑客能相对容易地对入侵其服务器系统实施勒索攻击;
所以,遭到了巨额资产损失,项目方依然“隐忍”着无动于衷;
所以,仍然有不明真相的用户,继续做着自己的投资发财梦;
所以,黑客精心策划的勒索攻击阴谋,有很大概率是得逞了。
其官网并没有任何关于这两次异常转账事件的解释,而只是发通知称将于06月18日,进行系统升级以增强安全性。
Peckshield推测可能的攻击手段是:
1)可能攻击手段之一:用户在 Good Cycle 注册时的所有信息都是使用 HTTP并明文进行上传,很容易被人使用拦截工具进行拦截,如果用户的账户密码及 PIN 码被黑客拦截成功,黑客可以登录用户的账户进行提现,由于 Good Cycle 在登录及提现时未对账户进行二次验证,从而导致资产丢失。
2)可能攻击手段之二:每当用户创建新的账户时都会返回一个新的 火币4 充值地址,黑客可以对用户提交的创建地址请求进行拦截并加以更改,将用户的充值地址改成自己的账户,从而导致用户每次充值都被充值进黑客预先埋伏的账户。
3)可能攻击手段之三:黑客在得到用户的账户密码后,可以根据代码中的加密方法得到发送提现请求所需要的各种请求头,直接发送一个提现的请求并将提现地址改成自己的地址,从而实现对用户的账户进行攻击。
分析:
当受害者被发现原来是加害者,整件事情就变得极具戏剧性。
当我们以为黑客的技术有多么高超,却发现原来是交易所的漏洞有多么低级。
当没有合适的法规可以监管这些犯罪行径时,我们看到的是网络上热火朝天的评论,却没有监管机构能够追究责任。
正好对应了区块链一个优势和迫切需要解决的两个问题:
链上的公开账本让负面行为都变的透明,对于事情的真相每个区块链的参与者都有获取的途径(前提是他们愿意)。
区块链技术仍然存在着许多漏洞,也许一套技术标准架构的出现能够推动区块链技术的进步。
区块链行业和数字资产市场的法律体系仍待完善,不然即使可以通过链上找到责任人,却没有合适的法律武器去解决这个问题。Poca启动NPOs网络的第二阶段
6月18日,Polkadot 官方推特宣布正式进入 NPoS (提名权益证明)阶段。在这一阶段,Web 3 基金会将把 20 个活跃验证者增加至 100 个,从而进一步将网络去中心化。
据波卡官方的主网上线路线图表示,当第一个阶段 PoA 运行流畅且有足够的节点参与后,将会考虑进入下一个阶段 NPoS 。
在 NPoS 阶段中,该网络将会由一组去中心化的验证节点运行,Web3 基金会将会使用管理员权限增加这组验证节点的数量。在 NPoS 阶段中,该网络将会由一组去中心化的验证节点运行,Web3 基金会将会使用管理员权限增加这组验证节点的数量。
在经历了第三阶段(Goernance)、第四阶段(Remoe Sudo)之后,第五阶段将会打开转账功能。
(poca路线图)
分析:
目前Polkadot正在主网启动第二阶段,此阶段采用NPoS共识算法。NPoS(Nominated Proof of Stake,提名权益证明)是Polkadot基于PoS算法设计的共识算法,验证人( Validator)运行节点参与生产和确认区块,提名人(Nominator)可以抵押自己的代币获得提名权,并提名自己信任的验证人,获得奖励。
NPoS的奖励主要来源于DOT代币增发,这也是DOT主要的通胀来源。
NPoS给波卡带来的是更高的去中心化程度,安全性和代币模补全。但目前Web3基金会仍然拥有超级管理员权限,因此Polkadot还是在中心化组织的管控之下,这样做的好处是降低了重大事故带来的风险。
但Polka真正的实力体现,恐怕要到第四阶段:移除超级管理权限 Sudo 权限后,才能够判断。
柬埔寨发布央行数字货币项目Bakong 的白皮书
2020年6月20日,柬埔寨国家银行(NBC)发布央行数字货币(CBDC)项目 Bakong 的白皮书。
柬埔寨央行表示,Bakong 帮助柬埔寨民众通过使用二维码以及移动应用程序代替传统的纸币支付方式,从而帮助减轻美元该国的主导地位,Hyperledger Iroha 区块链的技术将帮助实现银行账户以及数字钱包之间的实时资金转账。
分析:
各国央行数字货币(DC/EP)已经成为了一股浪潮,这股浪潮是由Libra带动的。各国推动各自的DC/EP的原因主要有2个:
在国际层面,进一步降低对美元结算的依赖性,使各国能够充分参与到国际贸易当中。尤其是中东的伊朗、南美的委内瑞拉等国,其经济受到美国的制裁和打压,在出口石油结算上一定会绕开美元结算的Swift体系。
在国内层面,由于DC/EP本身是由中央银行背书的M0,和流通中的现金等价,从而进一步减少人们对零星消费中现金的依赖。另外,国家需要通过DC/EP可以更好地做好反洗钱工作,并且从中心化互联网机构和支付机构中获取人们日常消费数据的控制权。
OMG Network 启动 2.5 万美元奖励的安全漏洞赏金计划
2020年6月11日, 以太坊 扩容项目 OMG Network (原 OmiseGO)启动代码安全漏洞赏金计划,**可奖励 2.5 万美元。根据漏洞计划的说明,需要审核的部分包括区块链协议、智能合约、区块浏览器以及钱包等。
基于 火币4 的大部分项目普遍存在一个共性——对安全漏洞修改的代价太高,必须通过更新软件版本协议才可以实现漏洞的安全修补。通俗地讲,就是容错性不足。
为了防止安全事故的发生,从而对用户利益造成损害。许多项目通过漏洞赏金计划来对自己的系统架构进行完善,从而进一步提高区块链协议、钱包的安全性,这是对客户资金负责任的表现。
如果参与赏金任务的程序员找到了系统的漏洞,发现侵犯系统带来的利益远高于赏金奖励时,很可能会私藏漏洞,从而利用漏洞发起攻击,转走用户的数字资产。对此,区块链项目方需要提前做好相应的措施和准备,防患于未然。来源:hashkeyhub
文章链接:https://www.btchangqing.cn/43312.html
更新时间:2020年08月14日
本站大部分内容均收集于网络,若内容若侵犯到您的权益,请联系我们,我们将第一时间处理。