注:原文來自bankless,作者是William M. Peaster。
黑客正在探索NFT Discord以尋找弱點,本周,我們看到了一個悲劇例子,當時CreatureToadz的Discord暫時遭到了攻擊。
在事件發生期間,黑客利用這個機會發布了一個虛假的“隱形drop”鏈接,這個鏈接似乎指向的是一個NFT 鑄造界面,然后受害者花費了ETH(他們以為自己在鑄造NFT),而實際上所有的錢都直接轉到了攻擊者的地址,而沒有鑄造出任何NFT。
安全提醒:警惕Filecoin RBF假充值攻擊:據慢霧區消息,Filecoin出現“雙花交易”,多家交易所關閉FIL充值通道。慢霧安全團隊對相關信息分析發現,這是一起Filecoin的RBF假充值攻擊事件而非”雙花攻擊“。攻擊者預先發送一筆低gas-feecap的交易,然后通過提高gas-premium和gas-feecap替換原交易(RBF交易),此時RBF交易優先被打包上鏈,舊交易被丟棄,但是由于FilecoinlotusRPC有一個特性,在查詢舊交易的執行狀態時(使用lotusstateexec-trace命令或者通過REST接口Filecoin.StateGetReceipt獲取)返回的是RBF交易的執行狀態,導致交易所對兩筆交易重復入賬。
慢霧安全團隊提醒交易所及相關錢包方,在充值入賬時,需要對比查詢返回結果中的cid與查詢的cid是否一致,并配合ChainGetParentMessages和ChainGetParentReceipts等接口進行查詢對比,避免重復入賬。與此前慢霧區發現的假充值攻擊不同的是,此次攻擊方法更加隱蔽,是由于Filecoin節點特性所引起,交易所及相關錢包方應再次檢查充值入賬程序,除了RBF外,還有常規的To、Value、轉賬類型Method,以及執行結果ExitCode等字段的校驗,必要時可請安全審計公司協助檢測。[2021/3/19 19:00:10]
幸運的是,CreatureToadz 團隊重新控制了 Discord,并將對受影響的參與者進行補償。然而,這起事件提醒了我們,作為NFT鑄幣者,我們必須要保持警惕,事實上,越來越多的黑客將我們當成了目標。
動態 | 慢霧: 警惕利用EOS及EOS上Token的提幣功能惡意挖礦:近期由于EIDOS空投導致EOS主網CPU資源十分緊張,有攻擊者開始利用交易所/DApp提幣功能惡意挖礦,請交易所/DApp在處理EOS及EOS上Token的提幣時,注意檢查用戶提幣地址是否是合約賬號,建議暫時先禁止提幣到合約賬號,避免被攻擊導致平臺提幣錢包的CPU資源被惡意消耗。同時,需要注意部分交易所的EOS充值錢包地址也是合約賬號,需要設置白名單避免影響正常用戶的提幣操作。[2019/11/6]
對于今天的帖子,我收集了一些安全鑄造 NFT 的技巧。總而言之,這些技巧可以幫助你避免或最大程度地減少NFT鑄造面臨的安全問題。
金色晨訊 | 河北省政府常務會議:把區塊鏈納入省數字經濟“十四五”發展規劃;證券時報頭版:時刻警惕假借區塊鏈名義的違法犯罪:1.北大經濟學博士劉昌用在接受采訪時表示,應加強區塊鏈相關的經濟與法律研究和知識的普及;
2.Circle向以太坊網絡新增發1500萬枚USDC;
3.河北省政府常務會議:把區塊鏈納入省數字經濟“十四五”發展規劃;
4.?證券時報頭版:時刻警惕假借區塊鏈名義的違法犯罪;
5.證券日報刊文“發展區塊鏈技術既要積極又要穩妥”。文章稱,區塊鏈技術并非完美無瑕。全社會應對區塊鏈技術秉持客觀理性的態度;
6.今日在BitMEX用戶數據泄露后,該交易所的推特帳戶遭到了黑客攻擊;
7.以太坊正通過簡單地將區塊大小從大約每10分鐘1MB增加到大約8MB部分解決分片的許多復雜性;
8.馬耳他金融服務管理局:21家加密交易所正尋求授權在過渡期滿后繼續在當地提供服務;
9.蕪湖市跨境金融區塊鏈服務平臺首單業務成功落地;
10.兩名美國國會議員昨日在比特幣白皮書11歲生日時鼓勵基于比特幣的創新;
11.央行:網傳央行數字貨幣工作組會晤相關公司區塊鏈板塊負責人屬造謠;
12.吳忌寒:“詹克團沉默內幕:或涉侵吞公司財產”為不實新聞;
13.朱幼平:數字貨幣和區塊鏈已經成為國際競爭的新賽道;
14.最高法:積極推進區塊鏈現代科技在司法領域深度應用;
15.桐成控股更名“火幣科技控股有限公司”已正式生效;
16.BitMEX:意識到電子郵件隱私問題影響了客戶,已經確定了根本原因。[2019/11/2]
首先聲明,我并不認為這是安全鑄造NFT的綜合“最佳實踐”,因為我可能錯過了一些想法。但至少,以下提示可以對你有所幫助。
動態 | 比利時FSMA表示持續收到加密貨幣相關投訴 提醒投資者保持警惕:Finance Magnates報道稱,比利時金融服務和市場管理局(FSMA)表示,繼續收到加密貨幣投資者的投訴。監管機構最近曝光了一家名為Abesix Belgiqu的比利時加密貨幣交易公司的活動未經授權。
文章發表后,De Tijd隨后發布了最新消息,稱這位70歲的商人已正式否認報道。此外,Wouters也沒有參與ABESIX的成立和發展。
據報道,Abesix正在交易六種主要的加密貨幣。除了交易加密貨幣外,該公司還將其產品推廣為在線財務規劃師。
監管機構說,為了在交易加密貨幣時獲得證券法提供的保護,投資者應使用在FSMA注冊的平臺或實體。[2019/10/6]
一般而言,實現 NFT 安全性的第一步是熟悉 NFT 用戶目前面臨的主要騙局,當前和未來的騙局可能會從這些類型的伎倆演變而來。
正如 MyCrypto 在其有用的《常見 NFT騙局》指南中所指出的那樣,攻擊媒介可以包括藝術家或品牌冒充、虛假店面等。
技巧一:使用專用的鑄造錢包
假設你會使用一個主要的錢包,你會在其中存放自己最好的加密藝術品,發布你的Mirror博客,并處理你大部分的DeFi 活動。
在某些情況下,不法分子可能會濫用或破壞用戶授予這些項目的權限以竊取資金。
“事實上,有些網站的創建意圖是在用戶授予其錢包訪問權限后竊取資金/NFT?,所以要小心你連接到的Dapp/網站......”
因此,將圍繞鑄造新收藏品的風險隔離到一個副錢包中,其中你只存放自己一小部分的加密資產,是提高NFT 安全性的一種簡單方法。
技巧二:定期清理你的代幣授權
說到權限授予,定期進行清理是一個好主意,同樣,用戶通常會向 NFT 項目授予支出批準,以便與它們進行交互。在最壞的情況下,這些支出批準是無限額度的,因此可能會被攻擊者利用。
好消息?現在你可以使用Etherscan的簡單Token Approvals Checker 工具來清理有風險的授權批準,此外還有其他類似的工具。
技巧三:注意“Sending ETH”
“如果你在網站上鑄造時看到此內容,請仔細檢查你的鏈接,仔細檢查你的URL,仔細檢查一切。
如果你嘗試mint一個新項目NFT,并且看到“Sending ETH”出現在你的MetaMask交互界面,請離開,這是一個騙局!
這就是本周早些時候 在CreatureToadz 項目身上發生的情況。一名黑客破壞了 Discord, 然后發布了一個虛假的機器人公告,并從受害者(認為自己鑄造了CreatureToadz的人)那里偷偷收集了ETH。
技巧四:尋找官方信息
不要相信 Discord 機器人的公告,要尋找來自項目負責人、管理員、版主等官方人員的通訊,并跨多個渠道(例如Discord、Twitter、社區討論等)證實鑄造公告和其他重要信息。如果某個隨機的人私信你并談論“即將到來的NFT發布”,請直接無視。
技巧五:鑄造后,請注意假貨
假設一個備受期待的 NFT 項目剛剛售罄,而你錯過了鑄造,如果你想收藏這個系列的NFT,你會趕到 OpenSea等二級市場上參與交易。
而詐騙者會利用上述動態,通過推出假冒的盜版NFT收藏來進行詐騙。
OpenSea 在快速清理這些列表方面做得很好,但在這些早期的機會窗口中,你必須要保持警惕。
我們是NFT 前沿的先驅,這里不乏刺激,但也有很多風險。遵循上述提示,并多次檢查 URL 和合約地址等內容,這將大大有助于確保你的NFT收藏流程保持安全。
金色財經 區塊鏈10月17日訊 如果你是一位資深游戲迷,想必肯定只有《反恐精英》這款游戲,它是在1999年夏天由游戲公司Valve開發.
1900/1/1 0:00:00原標題:如何1分錢乘地鐵?北京數字人民幣系列試點活動攻略來了 來源:北京日報客戶端北京市將于近期啟動“‘京彩’惠民生 數字嘉年華”數字人民幣試點活動.
1900/1/1 0:00:00用汗水澆灌夢想,用代碼構筑“數字世界2077”。2021萬向區塊鏈黑客馬拉松決賽正如火如荼地進行中,三十多支團隊正在北外灘激蕩腦力、發揮創造力.
1900/1/1 0:00:00以太坊將作為全球結算層,或者從更加技術的角度來說,是全局安全和數據可用性層。那時的以太坊上有一個蓬勃發展的外部執行層生態系統,比如 Rollups 和 Volitions,這里是所有用戶和 dA.
1900/1/1 0:00:001.DeFi總市值:1275.69億美元 DeFi總市值數據來源:Coingecko2.過去24小時去中心化交易所的交易量:40億美元 過去24小時去中心化交易所的交易量數據來源:Debank3.
1900/1/1 0:00:0010月12日,TikTok此前公布的NFT系列作品TikTok Top Moments已開啟拍賣,此次拍賣的是美國說唱歌手Curtis Roach的作品“Bored in the House”.
1900/1/1 0:00:00