标签: 比特币

比特币软件被曝 DoS 漏洞:开发者紧急修补

新浪科技讯 北京时间9月20日午间消息,比特币软件被曝存在一个严重漏洞,导致开发者周二紧急商讨,并发布修复方案。 这个漏洞是一个DoS漏洞,修复方案已经通过Bitcoin Core 0.16.3发出。如果这个漏洞被黑客利用,就有可能去掉节点,最糟糕的情况甚至会导致相当一部分网络暂时崩溃。 但并非所有人都有能力利用这个漏洞。只有矿机可以通过加倍投入交易并将其注入到区块中才能实现。 然而,即便真要尝试这种攻击方式,矿机也会丢失区块奖励,按照目前的价格计算,大约相当于7.5万美元。 这个漏洞出现在Bitcoin Core 0.14.0中,该软件2071年3月首次推出,但直到两天前才被发现。正因如此,开发者才紧急采取行动,并在24小时内推出解决方案。 幸运的是,多数比特币持有人目前都不必采取任何措施。开发者强调称,“存储的”比特币没有风险。但却会影响到那些使用Lightning网络的比特币,这是一种正在开发的交易层,目的是加快交易速度、降低交易成本。 不过,由于该漏洞可能危及整个网络,所以开发者还是强烈建议运行所谓“全节点”来存储比特币完整交易历史的用户对软件进行升级。   稿源:新浪科技,封面源自网络;

详解币安 API 钓鱼事件:黑客何以一夜撬走近亿美元?

7月4日凌晨五时许,币安交易所出现超大额提现,2小时内,超过7000枚比特币转入同一地址,何一对此表示,这只是一个看上去比较异常的正常转账,并非网传被盗。然而,同日上午八时,币安暂停交易与提现,进行临时维护。 既然是“正常转账”,何来停机维护呢? 在巨额比特币流转的背后,一个名为Syscoin的小币种,在4日四时许价格迅速拉升了320万倍,一枚SYS价格达到了96BTC——SYS的日常均价一直是0.00003BTC左右。随着SYS价格被拉爆,黑客再通过其他交易所出货,至少能获利8000万。 币安官方公告指出,这是一次“部分API用户的钓鱼事件”,何为API钓鱼事件?又是如何获利的呢? 金色财经邀请KEX交易所的CTO刘宏斐对事件进行技术解读。API钓鱼事件,可理解为通过常规的钓鱼手段,包括并不限于假冒网上银行、垃圾邮件、虚假电商广告等不法手段,来获取收集用户的账号信息,并由此获得API接口权限,并通过大量的API接口操作来影响交易市场。刘宏斐表示,由于API权限位于用户权限下,因此只要得到了平台的用户权限即可控制其API权限。如果黑客能够从一个或者几个平台获取大量的API控制权,即大量的用户账号登录信息,就可以左右市场行情。 发动攻击的人掌控足够的API之后,足以操控某个币种的市场涨跌,只要涉及的资金量和某项目的资金盘达到一定比例,就能引发巨额涨跌,因此交易量小和单价低的小币种容易成为攻击对象。当瞬间拉高小币种的价格之后,再通过卖出提前低价埋伏在其他交易平台的该币种即可获利。 这样的事件过后往往跟随比特币的下跌,3月7日,币安也发生了性质极为相似的黑客攻击时间,那一次买入的小币种是VIA,攻击发生后两天,比特币暴跌近1000美元。这一次,攻击发生后30分钟,比特币跌去130美元。黑客通过提前做好的空单,可二次获利。 针对这次异常事件,币安提出了四点处理方案,包括删除全部API记录、回滚异常交易账户记录、返还手续费、以及成立币安投资者保护基金等。 那么删除API记录的做法能够在多大程度上弥补损失呢?刘宏斐指出,从技术角度看,“如果是单纯删除API记录,其实作用不大,只能防止攻击者在短时间内不能进行再次攻击。真正有效的方式是,修复生成API过程可以绕过二次验证(GOOGLE验证等)的漏洞,防止在用户未知的情况下生成API”。 交易所阻止黑客控制API有若干种办法,首先就是要尽可能保障用户账号的安全,通过短信验证码、GOOGLE验证码等安全手段(此次攻击中,生成API流程的2FA被绕开)增加账号的安全机制;另外,在生成API的过程中加入人工审核的互动过程,确认此操作为用户的本意操作。据刘宏斐介绍,KEX交易所目前采用的也是这种安全措施。 对于回滚交易的操作,刘宏斐认为,这仅能恢复事故之前的账户情况,对用户的利益做到一定程度的弥补,但对于“追回”黑客已经获取的利润则没有意义。 因为此种攻击黑客并没有直接通过被盗账号来直接获取利益,而是通过大量被盗账号的买卖行为影响市场,并且在其他平台上已经交易提现。 对于普通交易所用户来说,虽然账户记录已经回滚,但潜在地,会有相当一部分加密货币交易者对币安甚至所有的交易所安全性产生质疑与恐慌,甚至引发踩踏性跟风抛盘,这对于整个加密货币行业和区块链产业都会产生冲击。 刘宏斐建议,普通用户为了保护自己在这样的事件内免受损失,需要做到两点。首先最好将平台内提供的安全防护手段,例如,短信验证、邮箱验证、谷歌验证码等安全机制尽可能的打开,这样虽然增加了登陆的复杂度,但其实这也是保证平台数字资产的最基本手段;其次就是安全保密数据的保存方式。例如,密码采用专业的密码管理工具,存放数字资产的移动设备不随意安装未知APP,不随意扫描二维码等,不在未知陌生的站点泄露用户信息。 随着信息化不断深入到我们生活中的每个角落,我们的资产由传统的有形资产在不断转化为数字资产。金色财经认为,数字资产不同于有形资产,在保存方式上需要我们重新树立新的信息化安全防范意识,交易所等金融敏感的平台不应单纯的只强调“用户体验”、“易用性”,而忘记了信息安全的重要性。 稿源:金色财经,封面源自网络;

一款针对比特币的恶意软件已经感染了 230 万用户

近日,据外媒cointelegraph报道,一款针对比特币用户的恶意软件已经感染了230万个目标用户,该软件可以控制windows剪贴板以替换其中内容。 该软件被称为“剪贴板劫机者”,将会秘密在后台运行,并且将用户复制到剪贴板中的比特币地址替换为攻击者的地址,用户就会在不知不觉中粘贴错误地址并为攻击者发送加密货币。 外媒Bleeping Computer指出:“除非用户仔细检查比特币地址,否则他们将不会知道发生了这种替换。” 实际上不仅仅是windows电脑,包括Android智能手机等其他设备都包含着各种漏洞,让比特币用户在交易时出现问题。 外媒提醒比特币用户,一定要仔细检查自己的复制粘贴功能,另外一些硬件钱包(如TREZOR)还会强制用户在生成一个比特币地址时进行仔细检查后才允许操作。   稿源:快科技,封面源自网络;

日本最大比特币交易所 bitFlyer 暂停新业务 监管方要求改善运营

TechWeb报道,6月25日消息,据国外媒体报道,日本最大的比特币交易所bitFlyer日前表示,将暂停允许新客户开户。 日本金融厅称,在bitFlyer的安全系统中发现了问题,涉及在防止洗钱及未授权进入渠道等方面的措施。日本金融厅还表示,该公司管理层监督运营的能力不足。 bitFlyer在其网站上发布声明称,公司管理层及所有员工正在努力理解这些问题的严重性达到了何种程度。该公司称,已暂停新用户开户,先解决监管机构提出的问题。 按交易量衡量,BitFlyer是全球最大的比特币交易所之一;同时BitFlyer也是全球第三大加密货币交易所。 日本已经发展为最大的比特币交易市场之一,去年的一项统计显示,大约50%的比特币交易是通过比特币/日元进行的。 不过,今年1月,黑客从位于东京的加密货币交易所Coincheck盗取了价值约5.3亿美元的数字货币,暴露了日本系统的缺陷,并引发了对日本如何监管该行业的质疑。自此之后,日本监管部门实施了新的限制措施。 加密货币行业网站coinmarketcap显示,目前比特币价格约为6200美元,总市值约1000亿美元。比特币价格去年涨势迅猛,此前一度突破1.9万美元。 比特币是一种用区块链作为支付系统的加密货币。由中本聪在2009年基于无国界的对等网络,用共识主动性开源软件发明创立。   稿源:TechWeb,封面源自网络;

韩国一交易所遭黑客攻击:比特币创近三个月最大跌幅

上周日,韩国加密货币交易所Coinrail称系统遭遇“网络入侵”,致使比特币连续三天下跌。彭博社援引Bitstamp数据显示,截止到下午4点,纽约市场比特币价格已跌至6840美元,创出自3月14日以来的最大跌幅,将比特币今年的亏损幅度扩大到52%。 同属加密货币的以太坊和瑞波币的交易价格分别下跌10%和11%。   6月10日,比特币期货(XBT)与美元交叉汇率   Coinrail官网上的一份声明证实,该交易所一些数字货币似乎已被黑客窃取,但未提及具体金额。Coinrail只是说,正在与调查机构及其它交易所合作,以便追捕肇事者并挽回损失。 数字货币的核心安全问题是,货币本身通常只代表一个独特的数字代码,这意味着一旦数据被盗,其所有者信息就会被抹去。 Coinrail表示,为防止黑客攻击,该公司正在审查系统。该交易所说,已经成功冻结了所有面临被盗风险的NPX、NPER和ATX等数字币种,其它加密货币现在被保存在一个“冷钱包”(cold wallet)里。 根据Coinmarketcap.com的数据统计,Coinrail交易所涵盖超过50种不同的加密货币,交易规模在全球同类市场中排名第98位,24小时的交易量约为265万美元。   稿源:新浪科技,封面源自网络;

比特币黄金遭黑客攻击:可能损失 1800 万美元

北京时间5月28日早间消息,比特币黄金(Bitcoin Gold)的开发团队近期公布了上周遭遇攻击的详情。当时,攻击者通过“双重支出攻击”,从加密货币交易所中窃取了资金。 比特币黄金的开发团队确认,攻击者获得了网络算力的大部分控制权,利用这些算力重组了比特币黄金的区块链,并进行反向交易。 在这起事件中,攻击者向加密货币交易所存入资金,将其交易为比特币或其他加密货币,随后再提取资金。随后,攻击者使用获得的绝大部分算力,迫使网络的其他部分接受伪造的数据块,修改最初的存入资金,导致这些资金从交易所控制的钱包中消失。 根据此前的报道,与攻击者关联的地址在一系列“双重支出行为”的交易中向自己发送了超过38万个比特币黄金。目前尚不清楚,这些交易中有多少造成了资金被盗。从理论上来说,如果所有交易都造成资金被盗,那么攻击者可以从中获利1800万美元。 项目的开发者表示,此次攻击部分是因为,比特币黄金的挖矿算法“Equihash”也被其他加密货币所使用,导致可用算力池要比比特币黄金网络中的算力更大。 比特币黄金已经计划迁移至新算法。此前,挖矿硬件厂商比特大陆宣布,首款Equihash AISC矿机已经开始接受预订。开发者表示,迁移至新算法能大幅提升网络的安全性。   稿源:新浪科技,封面源自网络;

iPhone 解锁设备制造商 Grayshift 遭遇短暂的数据泄露

因生产 iPhone 解锁设备 GrayKey、并向美国多个执法机构销售,制造商 Grayshift 早已陷入舆论的风口浪尖。然而近日,该公司又遭遇了一起数据泄露,据说攻击者访问到了一小部分的 GrayKey 代码。外媒 Motherboard 报道称,上周,有不知名的黑客泄露了 GrayKey 的部分代码,并且向 Grayshift 勒索 2 枚比特币,不然就威胁进一步泄露其数据。 外媒称泄露的这部分数据“并不是特别敏感”,而 Grayshift 方面也证实发生了“短暂”的数据泄露: 本月早些时候,由于在客户站点上的一项网络配置错误,一款 GrayKey 装置的 UI 被短暂曝光到了互联网上。 在这段时间里,有人访问了构成 UI 的 HTML/Javascript 代码,但没有敏感的 IP 或数据被暴露,当时 GrayKey 进行了验证测试。 这项配置已完成变更,以帮助我们的客户阻止未经授权的访问。 尽管黑客以此为要挟,向 Grayshift 索取 2 比特币的封口费,但其提供的钱包地址到现在还没有得到任何资金。 不过 Motherboard 指出,在使用计算机搜索引擎 Shodan 的时候,还是能看到一款疑似暴露于互联网上的 GrayKey 设备和类似的代码: 要暴力破解复杂的字母数字密码,请上传自定义密码字典。如果字典没有上传,GrayKey将不会尝试暴力破解自定义的字母数字密码。 尽管基于 GrayKey 的技术可能会在未来某个时候被 iOS 系统更新给堵上,但据目前所知,其对最新款的 iOS 设备(包括 iPhone X)仍然有效。 稿源:cnBeta,封面源自网络;

亚特兰大市政府拒付勒索软件赎金 宁可耗费数百万美元去修复

3 月 22 号的时候,亚特兰大市遭遇了一场大规模的勒索软件攻击,政府机构的一些关键系统也不幸中招,迫使官员放弃了电子邮件和数字系统,转而使用传统的纸笔记录方案。路透社上月报道称,攻击者索取价值高达 5.1 万美元的比特币赎金,但该市觉得不能助长黑客的嚣张气焰,于是决定硬扛下来。为了让系统恢复正常运转,当前承包商仍在修复,即便此举会耗费更多资金。 攻击导致许多机构和官员无法访问包含数字记录和电子邮件等内容的系统。一些勒索软件的会设置时间期限,比如超期赎金翻倍、或者直接删除被其恶意加密的文件。 目前暂不清楚该市拒付赎金的原因,也不知其是否尝试过支付。然而一些纳税人很遗憾地发现,该市最终竟然耗费了数百万美元来解决这个问题。 由亚特兰大政府网站公开的紧急采购信息可知,官员们将大把钱(超过 250 万美元)砸到了 SecureWorks 和 Pioneer Technology Group 等承包商身上。 稿源:cnBeta,封面源自网络;

杜绝洗钱:伊朗中央银行宣布禁止加密货币交易

据伊朗国家新闻机构 IRNA 周日报道,为了杜绝洗钱等非法活动,伊朗中央银行宣布禁止该国银行处理比特币等加密货币的交易。伊朗希望凭借此举来缓解货币危机。 伊朗反洗钱机构去年 12 月曾经通过了对加密货币交易的禁令。IRNA 的报道称,伊朗中央银行表示:“银行、信贷机构以及货币交易所应该杜绝加密货币的销售和购买,也不得以任何方式推广加密货币。” 此前,由于对制裁方面的担心,伊朗官方货币里亚尔的价值达到了历史最低点。本月伊朗正式将官方和公开市场汇率进行了统一,并且禁止在银行之外的地方进行货币兑换。 美国总统唐纳德·特朗普(Donald Trump)将于 5 月 12 日决定是否重启对伊朗进行经济制裁。2015 年,伊朗与伊核问题六国(美国、英国、法国、俄罗斯、中国和德国)达成伊核问题全面协议。如果美国退出这个协议,伊朗的经济将会收到严重的打击。 稿源:cnBeta、新浪科技,封面源自网络;

监守自盗?印度比特币交易所 Coinsecure 被盗 438 个 BTC

据 BleepingComputer 报道,印度加密货币交易所 Coinsecure 的 CEO 指控其 CSO(首席战略官) Amitabh Saxena 从该平台钱包中盗取 438 个比特币(约 340 万美元)。 根据报警记录,Amitabh Saxena 告诉 Coinsecure 团队这笔资金是由于一场攻击才从该公司的比特币钱包中失窃的。但 Coinsecure CEO 不相信这个说法,他告诉警方,他的合伙人“在编故事试图分散其注意力,他很可能参与了这场失窃事件”。Kalra 要求新德里警方尽快没收 Amitabh Saxena 的护照,防止他逃到境外。 稿源:新浪财经,封面源自网络;