ETA:金色觀察丨Hugh Karp為何自己承擔丟失37萬枚NXM的責任？

金色財經 區塊鏈12月22日訊? 鏈上互助保險平臺Nexus Mutual創始人Hugh Karp的個人錢包地址在世界標準時間12月14日星期一上午9點40分遭受到攻擊。在這次攻擊中，Hugh Karp被騙批準了一筆總計37萬枚NXM代幣的交易，這件事引發了加密社區的廣泛關注。

據Hugh Karp描述，在事發三天前的一個上午，他正在寫電子郵件，突然計算機屏幕變黑了2-3秒鐘，但很快就恢復了，當時他以為電腦可能只是發生了一些奇怪的事情，因此并沒有太在意。大約一個小時之后，他發現電腦上的磁盤受到感染，其中Metamask錢包擴展程序被黑客版本所替代。

金色午報｜1月1日午間重要動態一覽:7:00-12:00關鍵詞：羅振宇、上海市數據條例、Injective

1. 羅振宇跨年演講提及Web3.0和元宇宙；

2. 中國移動：融合數字人民幣硬件錢包的和包月活用戶突破1億；

3. 2021年比特幣區塊鏈從319GB增長到383GB，增長率創近三年最低；

4. 2021年加密貨幣種類數量增長近一倍，目前超16,000種；

5. 《上海市數據條例》今日生效：支持區塊鏈、零信任技術創新，推動隱私計算技術應用；

6. Injective在2022年將專注于“Injective Chain上線支持期貨”等，以繼續為開拓新的Web3經濟鋪平道路；

7. 數據：灰度目前加密資管規模為430億美元，低于11月初的609億美元。[2022/1/1 8:18:17]

但令人沒料到的是，Hugh Karp實際上直到12月14日星期一的時候才通過Metamask錢包擴展程序進行加密貨幣交易。當他想去Nexus Mutual應用程序提取一些挖礦獎勵的代幣的時候，MetaMask像往常一樣彈出提幣申請確認信息。但這也沒什么可奇怪的，因為每次交易都會彈出確認信息。但問題是，這個確認信息里包含了發送到Ledger的一筆欺詐性交易。結果，Hugh Karp不假思索地點擊了“確認”。

金色財經挖礦數據播報：BTC今日全網算力下跌1.91%:金色財經報道，據蜘蛛礦池數據顯示：

BTC全網算力158.758EH/s，挖礦難度25.05T，目前區塊高度684260，理論收益0.00000581/T/天。

ETH全網算力625.485 TH/s，挖礦難度7856.15T，目前區塊高度12468505，理論收益0.00731468/100MH/天。

BSV全網算力0.981EH/s，挖礦難度0.12T，目前區塊高度687974，理論收益0.00091765/T/天。

BCH全網算力2.428 EH/s，挖礦難度0.44T，目前區塊高度688645，理論收益0.00037074/T/天。[2021/5/20 22:23:57]

很快，這筆交易就出現在了Ledger上，而Hugh Karp也自然而然地在勾選交易信息后點擊了“批準”。實際上，如果Hugh Karp當時能檢查一下“收件人”地址和其他交易信息就可能發現其中的問題，但是由于Ledger還沒有直接支持NXM，因此交易信息中并沒有默認帶入收件人等相關可讀信息。緊接著，Hugh Karp就收到了MetaMask的通知提醒，告知交易已經完成，但Nexus Mutual應用程序仍在等待確認交易。直到這里，Hugh Karp才發現情況不對，于是檢查Etherscan，結果發現這筆錢轉到了黑客的地址。

金色晚報 | 5月29日晚間重要動態一覽:12:00-21:00關鍵詞：最高法信息中心、重啟TON、成都、灰度GBTC、CME

1. 最高法信息中心已牽頭制定司法區塊鏈技術要求及管理規范。

2. 西南首個“區塊鏈智慧產業園”落地成都。

3. 四川國資系統區塊鏈創新研究聯合實驗室揭牌。

4. CME比特幣期權交易量昨日創新高，突破6000萬美元。

5. 社區宣布將重啟TON，TONCommunity.org將同步啟用。

6. 俄羅斯國家杜馬官員：加密禁令實為確保公民主動申報加密交易以受法律保護。

7. V神：特朗普與Twitter等社交媒體巨頭之爭將凸顯去中心化替代方案需求。

8. 分析：灰度GBTC增持BTC速度較快，投資者擔心集中化問題。

9. Block.one宣布將于今天開始正式為BP投票。[2020/5/29]

結果就是，Hugh Karp把自己挖礦獎勵的錢直接發送給了黑客，這位黑客隨后將竊取的NXM代幣清算兌換成了比特幣和以太坊，接著又把這些資金分散到不同的地址和交易所。

金色晨訊 | 孫宇晨因身體不適取消與巴菲特的午餐會面:1.孫宇晨因身體不適取消與巴菲特的午餐會面 各方同意晚些時候重新安排時間。

2.Tether總法律顧問：NYAG提到的紐約客戶實際上是外國實體公司。

3.歐盟議會報告：央行發行的數字貨幣將重塑加密市場競爭格局。

4.伊朗政府經濟委員會已批準在該國建立加密貨幣開采機制。

5.EOSPark: 因技術重構或將暫停EOS API服務，BlockDog-EOS API可提供替代方案。

6.印度專家小組建議禁止加密貨幣，對使用加密貨幣的交易進行懲罰。

7.美國金融監管局已將相關公司報告加密活動的截至日期延長至2020年7月31日。

8.人民網：目前未參與央行數字貨幣的研發。

9.以太坊伊斯坦布爾升級：Calldata 的Gas費用將降低為原來的1/4。

10.消息人士：摩根士丹利已準備好比特幣相關交易，只待一主要機構客戶入場。[2019/7/23]

原因調查

金色晨訊 |?大量比特幣巨頭開始進行比特幣交易:1.圣路易斯聯邦儲備銀行:山寨幣或會導致比特幣價格一直處于低位

2.BitPay CEO：比特幣生態系統正在回歸到“健康”的狀態

3.冒充電影的惡意軟件篡改用戶頁面騙取數字貨幣

4.Dash核心團隊：相信不會發生51%攻擊

5.谷歌被指責只禁止Ethereum廣告

6.2018年近200個ICO項目通過Reg D繞過美國證券交易委員會的禁令

7.馬來西亞政府尚未決定是否將數字貨幣合法化

8.大量比特幣巨頭開始進行比特幣交易

9.ProgPoW團隊承認他們正在與英偉達和AMD合作[2019/1/13]

Hugh Karp認為，自己犯錯的地方在于沒有檢查“收件人”地址和其他交易信息就點擊了“批準”，這起事件的主要責任在于自己，以后在交易時應該多加小心。不過，在這需要指出的是，除非交易人很熟悉加密貨幣技術，否則很難在轉賬時候仔細查看相關信息，畢竟十六進制格式的信息是很難閱讀的。就Hugh Karp而言，他自己本身其實擁有足夠的技術知識，也理解這些信息代表的含義，但還是犯錯了，所以普通用戶在這里很更容易疏忽，繼而造成資金損失。

此外，他還表示自己之前一直在信任的網站獲取加密貨幣獎勵代幣，比如Nexus Mutual APP，因為畢竟在官方平臺上交易風險會比較低。但從本次黑客攻擊事件中發現，不管是不是可信站點，也不管交易價值是多少，每次確認交易之前都必須仔細檢查信息。

目前，Hugh Karp已經啟動調查本次黑客事件，希望能在社區的幫助下追蹤資金。根據Hugh Karp判斷，由于當時使用的是連接到Ledger的Metamask錢包，通過Nexus Mutual應用程序進行交互，電腦是Windows操作系統，因此目前Ledger上的私鑰是安全的，Nexus Mutual智能合約和資金也都沒有受到影響，這次事件應該只是一次個人攻擊。

此外，由于Hugh Karp不是開發人員，但他的瀏覽器已進入開發者模式，因此可以判斷這個操作很可能是由黑客執行的。而在調查過程中，他們還發現其他受害者也遭到了類似的攻擊，并與之進行了聯系。不過，本次攻擊似乎具有很高的針對性，因為黑客并沒有拿走受害者可能擁有的全部NXM代幣，所以Hugh Karp認為是黑客已事先為他專門部署了準備好的交易負載。

值得一提的是，這個黑客非常厲害，而且非常有才華，很可能是一個或多個來自大型技術團隊的成員。通過調查人員在Telegram上與一位黑客的簡短對話發現，基于他們的交易活動，這個黑客很可能身處在亞洲時區。而此后，估計攻擊事件還可能會持續發生，而且會影響越來越多人。

不僅如此，與過去大多數MetaMask黑客攻擊都是誘使用戶下載包含惡意代碼的虛假程序版本，然后竊走用戶私鑰不同的是，Hugh Karp的計算機已經損壞，磁盤里的MetaMask應用程序被篡改，這意味著瀏覽器擴展程序出現問題時不會出現警告信息。據了解，這個惡意擴展配置是從coinbene.team獲取的，調查人員也從這個域名追蹤到了一些IP地址。

來自Hugh Karp的忠告

一般來說，MetaMask的確是許多黑客攻擊的目標，但即便Hugh Karp已經非常謹慎地從正規渠道下載程序了，但他的電腦還是被感染了。所以如果想規避此類問題發生，可以盡量將資金分配到不同賬戶，這樣可以最大程度減少損失。此外，在簽名之前務必檢查一下硬件錢包的交易信息，尤其是在與智能合約交互的時候。可以參考下那些比較熟悉DeFi行業的用戶的做法，他們由于不太信任MetaMask，甚至會專門拿出一臺“干凈”的計算機來運行MetaMask，這臺設備只用來簽署交易，其他什么都不做。

目前相關調查工作已經過去一周時間了，Hugh Karp甚至還不知道自己的計算機是如何被入侵的。而來自殺軟件提供商卡巴斯基的專家已經在被感染的計算機上花費了大量時間允許完整診斷程序，不過目前還沒有任何結果，這項工作仍在進行中。而且到目前為止，只是在Etherscan上標記了黑客地址，但沒有任何有關黑客的開源情報，后續仍有許多事情要處理。

接下來，Hugh Karp將會拿出一部分募集到的資金，并將其捐贈為賞金，用于支持用戶體驗和安全性提升工作，以此鼓勵更多人開發個人錢包安全解決方案，并推動技術進步。

有意思的是，Hugh Karp還向黑客寫了一份公開信。在信中，Hugh Karp表達出了對黑客的敬意，同時勸說黑客可以利用自己出色的工作能力成為白帽黑客中的一員，出于正確的理由從加密貨幣社區中獲得一些榮譽，并且通過合法途徑賺錢，而不是把不義之財發送給幕后老板。

本文部分內容來自于Medium

Tags：HUGARPKARETAHUG價格LARPSangkara MISAMetaMerce

以太坊交易