大家还是要提高安全防范意识。
本文梳理自Arrow创始人thomasg.eth在个人社交媒体平台上的观点,律动BlockBeats对其整理翻译如下:
注,由于ENS钱包中存有超1亿美元的ETH,thomasg.eth被团伙盯上,个人资产险些全被走。
在过去两周的时间里,我成为了一个高级团伙的目标,这几乎让我损失了所有的ETH。我非常幸运能够毫发无损地躲过这一劫,所以想把事件的经过分享给大家。
我是Arrow的创始人(律动注,这是一个致力于构建开源空中的士平台的DAO)。我们仍处于早期阶段,专注于发展团队,因此对贡献者保持着持开放的态度,如果他们愿意提供帮助,我们不会拒绝任何人。
在两周前,一个叫做「heckshine」的用户加入了我们的Discord并开始介绍自己。据他自己介绍,他目前在育碧工作,提供3D设计和动画方面的服务。该消息的语言有些奇怪,但我只是将其归咎于语言障碍。
Heckshine还有另一位对Arrow非常感兴趣的朋友,她正在开展一个元宇宙项目,而且姐夫还是波音公司的副总裁,够厉害吧?
CertiK:PorkiesNFT项目Discord服务器遭入侵:金色财经报道,据CertiK官方推特发布消息称,PorkiesNFT项目Discord服务器遭入侵,有黑客发布钓鱼链接。在团队确认已重获对服务器的控制之前,请勿点击任何链接。[2023/7/8 22:25:40]
在接下来的几天里,heckshine开始为Arrow制作各种动画项目,包括为网站设计了一个动漫英雄形象、制作一些飞机效果图等,他对项目的奉献精神给我们留下了深刻的印象。
与此同时,heckshine还联系了他的朋友Linh,Linh显然也对我们的项目很感兴趣。heckshine让我给她发一封电子邮件,从他告诉我的情况来看,Linh似乎就是他那个有波音人脉的朋友。
Linh给我回了一封非常体面的电子邮件,告诉了我她正在做的的元宇宙项目SpaceFalcon。我其实对这个项目并提不起兴趣,但我也不是一个真正的NFT玩家,所以没有任何理由排斥她的想法。
dForce启动AMM测试网漏洞赏金计划,提供最高10万枚DF奖励:5月12日消息,DeFi协议dForce宣布推出其原生模块化DEX AMM的测试网漏洞赏金计划,并提供最高10万枚DF奖励。
此前消息,dForce于4月20日推出其原生模块化DEX的测试网,特点包括零费用基础池、较高的资本效率、流动性杠杆以及模块化流动性协议等。[2023/5/12 15:00:02]
果然,她告诉了我她与波音及Wisk的人脉联系,并提供了一些关于Arrow的想法。Linh似乎很渴望帮助我们与波音建立潜在的合作伙伴关系。同样,她的电子邮件语气也有点奇怪,不过我还是认为这是语言障碍。
在将话题转移到Discord后,我们开始更多地谈论各自的背景,并最终决定让她作为项目的顾问。她主动提供指导和建议,帮助我们解决合作伙伴关系方面的问题,我也为她的支持感到兴奋。
后来,她告诉了我更多关于SpaceFalcon的信息,我感觉这个NFT项目和其他那些追求「快速致富」的项目差不多。但鉴于她为Arrow所做的贡献,我也必须展示一些支持作为回报。
受FTX破产影响,BlockFi已暂停客户贷款业务:金色财经报道,根据发送一封客户电子邮件显示,加密借贷公司BlockFi已将客户贷款暂停。客户无法向BlockFi存入新资金,邮件中写道。因此,我们将您的贷款置于行政暂缓状态。任何到期款项,包括利息和到期付款,都将被搁置,直至另行通知。
客户电子邮件称,BlockFi贷款的利率将从 11 月 11 日开始设置为 0%,并补充说,按预定义的贷款价值水平的追加保证金要求和自动清算目前已暂停”。邮件称,客户不必为已经到期的贷款还款,也不会向信用局报告贷款拖欠。根据消息,贷款持有人不会支付任何付款的滞纳金。借款人似乎没有要求宽容他们的贷款。[2022/11/23 7:58:26]
SpaceFalcon使用的是叫做ArmstrongWrappedEther的Token,我偷懒没有具体研究,但它的基本逻辑是用户租用NFT,持有者获得相应被动收入。我告诉她这个模式听起来很不错,也乐意随时了解最新情况。Linh同意和我保持联系,然后我便开始继续做其他的事情了。
我私底下去查了SpaceFalcon,它似乎是Solana上一个相当受欢迎的游戏项目,我也在团队页面上看到了Linh的名字。
在接下来的10天时间里,heckshine每天都在Discord中保持着活跃度,拿出了一些超高质量的效果图,虽然不是特别适航,但他非常高兴自己能提供帮助,于是我想可以通过一些迭代来改进这些设计。
在整个过程中,heckshine表现出的投入和真诚我怎么形容都不为夸张,我们在个人愿景上也基本一致,我很高兴他对我们正在做的事情如此热情。
公链项目Shardeum完成1820万美元融资,Jane Street等参投:10月18日消息,公链项目 Shardeum 宣布完成 1820 万美元融资,Spartan Group、Big Brain Holdings、Jane Street 和 Foresight Ventures 等机构参投。Shardeum 由知名印度交易平台 WazirX 的创始人 Nischal Shetty 创立,采用 PoS 和动态分片技术提升 Layer1 的效率。(the block)[2022/10/18 17:31:14]
直到昨天,事情开始变得有些蹊跷。
当时Heckshine和我一直在讨论我们的v1飞机的设计图。他获得了整个配置的参数,并准备在早上起床后开始渲染。但Linh突然告诉我Wisk的高管同意邀请我去他们的Workshop参观。
这事现在来其实很荒谬,但当时我没有理由不相信Linh,他为我们做的努力真的让我们很感动。我们定下了具体的行程,这位Wisk高管也通过电子邮件向我发出了正式的邀请。
安全团队:Slope Wallet (Android, Version: 2.2.2)的sentry服务存在私钥泄露:8月4日消息,慢雾发布对 Solana 攻击事件的分析,据 Solana 基金会提供的数据,被盗用户种约 60% 使用 Phantom、约 30% 使用 Slope,其余使用 Trust Wallet、Coin98 Wallet 等,IOS 和 Android 均未能幸免。
在分析 Slope Wallet (Android, Version: 2.2.2) 时,发现其使用了 sentry 的服务。Sentry 是一项广泛使用的服务,在“o7e.slope[.]finance”上运行。Sentry 的服务从 Slope 钱包中收集助记词和私钥等敏感数据,并在创建钱包时将其发送到 https://o7e.slope[.]finance/api/4/envelope/,并发现 Version:>=2.2.0 包中的 sentry 服务会收集助记词发给“o7e.slope[.]finance”,而 Version:2.1.3 则没有找到收集助记词或私钥的明显行为。Slope Wallet(Android, >= Version: 2.2.0) 于 06/24/2022 之后发布,所以 Slope 该日期之后的用户受到影响。
对于另外 60% 的使用 Phantom Wallet 用户,分析 Phantom(版本:22.07.11_65)钱包后发现,Phantom(Android,版本:22.07.11_65)也使用 sentry 服务收集用户信息,但目前没有发现任何明显的收集助记词或私钥的行为。[2022/8/4 2:58:18]
聊着聊着,Linh就开始跟我说他们刚启动的Staking应用程序,并提议将NFT寄给我。事情发展到这一步,我至少也应该为她们提供一些体验上的支持了吧?
于是我让她把NFT寄到我的热钱包里,但是她却以NFT价值很高为由把它寄到了我的主要钱包里,我当时觉得也没什么大不了的。
她向我发送了一些关于Staking应用的说明,网站页面看起来也很不错,上面提示了三项交易:批准NFT、批准aWETH和Staking。批准aWETH这一步似乎有点奇怪,但因为我没有aWETH,所以不担心。
接下来就是为什么我觉得自己非常幸运的原因:由于这是一个新项目,所以我决定在Staking之前将NFT转移到一个新的ETH地址,以防万它被别人利用。Staking流程非常顺利,我也从中获得了收益。
于是我将自己的体验反馈给了Linh,然后她又提议向我发送一些其他的NFT,但希望我将其存入自己的主账户以帮助他们的社区进一步增长。
这有点烦人,不过我还是同意了。但在我告诉Linh自己在将NFT存入主账户之前会通读合约后,她开始变得咄咄逼人,这时我开始意识到事情有点不对头了。
我赶紧打开etherscan看了下之前质押的NFT的地址,结果整个身体瞬间变得冰凉......
我批准的aWETH不是ArmstrongWETH,而是Aave的AaveWETH。如果我在自己的主钱包上完成了批准,我将失去自己所有的ETH...
我马上屏蔽了这两个人,他们在意识到问题不对后也开始删除自己的Discord消息。作为某种最后的尝试,Linh向我发送了0.2ETH来支付gas费,要求我退还她们的NFT,虽然我不知道这是什么逻辑......
后来我进一步研究了批准花费aWETH的合同,发现了一个真正可怕的功能。这些者能通过下图中的功能从我的账户中转移任意数量的aWETH。
我最终在etherscan找到了他们的资金来源——100枚ETH的TornadoCash存款。这些家伙资金雄厚,而且超级精明。
我不得不假设他们聘请了一个负责Heckshine大部分工作的3D设计承包商。据我所知,他们还专门为这个局建立了定制合同和前端。
那SpaceFalcon又是怎么回事?据我所知,这是Solana上的一个真实项目,但真正的项目使用的是spacefalcon.io,而子们用的是“.com”。所以之前一直与我互动的「Linh」可能只是真Linh本人的冒顶者。
通过此事,我也总结了一些经验教训:
1.批准Token可能非常危险,一定要非常谨慎地对待它们。如果可能的话,尽量限制批准。
2.子现在越来越聪明。在此之前,我遇到过最好的局基本上是「您好,我是技术支持,请分享您的私钥以便我们提供帮助。」
3.始终做好查验工作,无论你对一个项目有多么信任。这些人花了两周时间专门研究针对我的具体弱点,让我差点上当。
尽管我非常幸运,能够以最小的伤害度过这一切,但大家还是要多加小心!
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。