聊天服务器管理员权限滥用攻击分析及安全建议
聊天服务器管理权限滥用攻击分析及安全建议由于Discord服务器已被攻击者禁言,用户之间无法通过服务器进行交流及验证这一链接的合法性:大量用户出于获得免费空投的心理,访问钓鱼站点并将持有的NFT使用权授予至攻击者控制的钱包地址,攻击者通过调用已授权NFT对应智能合约提供的转移方法将用户持有的NFT全部转移至由攻击者个人控制的钱包地址。具体的交易分析可参考如下链接: https://mp.weixin.qq.com/s/-mbB797mOjd1eLlE5rPj_g 针对该攻击,主要有以下安全建议:在Discord服务器在没有任何通知的前提下被设置全员禁言时(主要是为了避免群内用户互相讨论,相互印证降低攻击成功率),要非常谨慎;不要随意点击未经认证的链接;记忆项目的正确链接(这一点在本章介绍攻击案例中帮助部分用户避免了资产被盗,因为他们记得NICE项目的官方网站,因此没有访问钓鱼站点)访问钓鱼站点但不连接钱包是安全的;即使连接了钱包(允许钓鱼站点读取你的地址信息),拒绝任何由钓鱼站点发起的交易不会导致资产丢失。
聊天服务器管理员权限滥用攻击分析及安全建议
聊天服务器管理权限滥用攻击分析及安全建议由于Discord服务器已被攻击者禁言,用户之间无法通过服务器进行交流及验证这一链接的合法性:大量用户出于获得免费空投的心理,访问钓鱼站点并将持有的NFT使用权授予至攻击者控制的钱包地址,攻击者通过调用已授权NFT对应智能合约提供的转移方法将用户持有的NFT全部转移至由攻击者个人控制的钱包地址。具体的交易分析可参考如下链接: https://mp.weixin.qq.com/s/-mbB797mOjd1eLlE5rPj_g 针对该攻击,主要有以下安全建议:在Discord服务器在没有任何通知的前提下被设置全员禁言时(主要是为了避免群内用户互相讨论,相互印证降低攻击成功率),要非常谨慎;不要随意点击未经认证的链接;记忆项目的正确链接(这一点在本章介绍攻击案例中帮助部分用户避免了资产被盗,因为他们记得NICE项目的官方网站,因此没有访问钓鱼站点)访问钓鱼站点但不连接钱包是安全的;即使连接了钱包(允许钓鱼站点读取你的地址信息),拒绝任何由钓鱼站点发起的交易不会导致资产丢失。
密码学与区块链
1. 密码学背景知识这一章节的作用就是介绍区块链是密码学的一项重要应用,通过介绍其中使用的密码学技术向大家强调私钥的重要性,如果确实不愿意理解这部分内容的请直接跳过,只要记住私钥对于保护数字资产安全非常重要就可以了。1.1 杂凑函数与Merkle树在以太坊中,杂凑函数(又称哈希函数)无处不在。哈希函数本身具有单向性性质,使得其在所有的加密货币中都有着广泛的应用。哈希函数能够将任意长度的输入映射为固定长度的输出,该输出也被称为散列值。在 ETH 中使用的杂凑函数为keccak256,能产生256bits长的摘要数据。 关于杂凑函数部分的内容,可以关注我在 Web3 Study 中编写的介绍,将详细介绍杂凑函数的参数特性,并代码角度介绍了杂凑使用方法及应用:利用钱包公钥配合keccak256生成钱包地址的方法。 https://web3study.club/crypto/hash Merkle树符合数据结构中所提到的树形结构,主要的作用是使用哈希树保存信息。Merkle树中,交易信息(数据或其哈希值)被记录于树的叶子节点上。以比特币中使用的二叉Merkle树为例,每个叶子都代表着一条...
密码学与区块链
1. 密码学背景知识这一章节的作用就是介绍区块链是密码学的一项重要应用,通过介绍其中使用的密码学技术向大家强调私钥的重要性,如果确实不愿意理解这部分内容的请直接跳过,只要记住私钥对于保护数字资产安全非常重要就可以了。1.1 杂凑函数与Merkle树在以太坊中,杂凑函数(又称哈希函数)无处不在。哈希函数本身具有单向性性质,使得其在所有的加密货币中都有着广泛的应用。哈希函数能够将任意长度的输入映射为固定长度的输出,该输出也被称为散列值。在 ETH 中使用的杂凑函数为keccak256,能产生256bits长的摘要数据。 关于杂凑函数部分的内容,可以关注我在 Web3 Study 中编写的介绍,将详细介绍杂凑函数的参数特性,并代码角度介绍了杂凑使用方法及应用:利用钱包公钥配合keccak256生成钱包地址的方法。 https://web3study.club/crypto/hash Merkle树符合数据结构中所提到的树形结构,主要的作用是使用哈希树保存信息。Merkle树中,交易信息(数据或其哈希值)被记录于树的叶子节点上。以比特币中使用的二叉Merkle树为例,每个叶子都代表着一条...
区块链诈骗攻击案例分析及防御方案整理
本文作者:r0ckgh0st.eth, cybercaf.eth未经授权,本文禁止转载0.前言自网络诞生以来,攻防领域就一直是研究的热点;区块链诞生之后由于其巨大的财富效应与用户对安全的认识不足,吸引了无数的黑客挖空心思进行攻击。在近几年Defi与NFT高速发展的环境下,利用区块链网络实施的钓鱼诈骗攻击更是越来越多,各类攻击场景及攻击方法层出不穷。 本文前半部分阐述了区块链安全基础知识,重点阐述了用户在使用区块链相关应用时应重点关注的安全要素。后半部分整理常见的利用区块链欺骗用户资产的攻击案例,通过对黑客攻击手法进行分析,引出针对特定攻击手段的防护方案。1.区块链安全基础区块链安全基础思维导图根据柯克霍夫原则,即使已掌握了密码系统的运作步骤,但是在密钥未被泄露的前提下,密码系统仍然是安全的。在区块链环境下,保护钱包私钥,是保护链上数字资产的重要措施和前提。1.1 私钥及助记词安全区块链钱包软件所管理的私钥通常是256bit长的随机字符串,为便于展示区块链钱包工具会将256bit数据转换为32字节长的16进制编码。“0x40e667191f4497cc3ab018ceb524a32...
区块链诈骗攻击案例分析及防御方案整理
本文作者:r0ckgh0st.eth, cybercaf.eth未经授权,本文禁止转载0.前言自网络诞生以来,攻防领域就一直是研究的热点;区块链诞生之后由于其巨大的财富效应与用户对安全的认识不足,吸引了无数的黑客挖空心思进行攻击。在近几年Defi与NFT高速发展的环境下,利用区块链网络实施的钓鱼诈骗攻击更是越来越多,各类攻击场景及攻击方法层出不穷。 本文前半部分阐述了区块链安全基础知识,重点阐述了用户在使用区块链相关应用时应重点关注的安全要素。后半部分整理常见的利用区块链欺骗用户资产的攻击案例,通过对黑客攻击手法进行分析,引出针对特定攻击手段的防护方案。1.区块链安全基础区块链安全基础思维导图根据柯克霍夫原则,即使已掌握了密码系统的运作步骤,但是在密钥未被泄露的前提下,密码系统仍然是安全的。在区块链环境下,保护钱包私钥,是保护链上数字资产的重要措施和前提。1.1 私钥及助记词安全区块链钱包软件所管理的私钥通常是256bit长的随机字符串,为便于展示区块链钱包工具会将256bit数据转换为32字节长的16进制编码。“0x40e667191f4497cc3ab018ceb524a32...
9月6日日记
今天是2022年9月6日今日工作(1)论文编纂及打印,提交至导师处请老师审阅,如果没什么问题就可以投递了,收稿后思考了下,感觉还应该介绍一下区块链与元宇宙的关系: 元宇宙概念的提出、发展及演变,逐渐受到资本的青睐并得到了知名互联网企业的大力发展(微软,Facebook,Roblox等)。区块链通常被认为是搭建元宇宙的重要组成要素,有专家认为区块链是元宇宙的「精神内核」。Web3.0是新一代去中心化网络,代表了网络的发展趋势,元宇宙平台若选用Web3.0作为集成环境,不可避免的要使用区块链技术:使分布式节点能够按照共识协议可信且自动的选择并打包链上交易形成区块,通过Hash指针的方式使区块连接成链。 去中心化平台,能够有效规避中心化平台存在的作恶行为,方便用户接入元宇宙。智能合约使区块链能够完全代码逻辑执行,同时还能够确保用户持有的数字资产或NFT资产完全被用户本人所掌控。利用链上资产,能够为用户生成其在元宇宙中的唯一标识及个性化摘要信息。 元宇宙需要连接虚拟世界与现实世界,利用区块链技术建立链下行为与链上摘要数据的关联,用户通过链上购买的数字资产可通过区块链存证为用户生成元宇宙资...
9月6日日记
今天是2022年9月6日今日工作(1)论文编纂及打印,提交至导师处请老师审阅,如果没什么问题就可以投递了,收稿后思考了下,感觉还应该介绍一下区块链与元宇宙的关系: 元宇宙概念的提出、发展及演变,逐渐受到资本的青睐并得到了知名互联网企业的大力发展(微软,Facebook,Roblox等)。区块链通常被认为是搭建元宇宙的重要组成要素,有专家认为区块链是元宇宙的「精神内核」。Web3.0是新一代去中心化网络,代表了网络的发展趋势,元宇宙平台若选用Web3.0作为集成环境,不可避免的要使用区块链技术:使分布式节点能够按照共识协议可信且自动的选择并打包链上交易形成区块,通过Hash指针的方式使区块连接成链。 去中心化平台,能够有效规避中心化平台存在的作恶行为,方便用户接入元宇宙。智能合约使区块链能够完全代码逻辑执行,同时还能够确保用户持有的数字资产或NFT资产完全被用户本人所掌控。利用链上资产,能够为用户生成其在元宇宙中的唯一标识及个性化摘要信息。 元宇宙需要连接虚拟世界与现实世界,利用区块链技术建立链下行为与链上摘要数据的关联,用户通过链上购买的数字资产可通过区块链存证为用户生成元宇宙资...
9月5日日记
今天是2022年9月5日今日工作(1)修订论文在论文中添加了关于零信任方面的内容,使文章的内容更加充实了,写到这个程度其实就可以给老师看了,准备发给老师等结果了。(2)撸空投A.参与了SINSO的测试网活动,有机会获得空投,填表就可以,活动链接如下:https://sinsonetwork.medium.com/sinso-dataland-public-beta-airdrop-event-902cd4464b1c 官方网站如下: https://dataland.sinso.io/B.Ergo链dex5笔交易就有机会拿到空投,花了4刀买了一个erg币,陪着了新钱包并进行测试。 swap了几笔,随后又做了两个 LP ,这就算可以啦 https://app.spectrum.fi/ergo/swap 参考的教程链接如下: https://twitter.com/Erg_AdaMaxi/status/1564401685992247297?s=20&t=WotmKZElmqc6B6PRUyoyuQC.Harbor测试再做了一下,学会了修改kplr钱包发起交易的gas,解决了报错 o...
9月5日日记
今天是2022年9月5日今日工作(1)修订论文在论文中添加了关于零信任方面的内容,使文章的内容更加充实了,写到这个程度其实就可以给老师看了,准备发给老师等结果了。(2)撸空投A.参与了SINSO的测试网活动,有机会获得空投,填表就可以,活动链接如下:https://sinsonetwork.medium.com/sinso-dataland-public-beta-airdrop-event-902cd4464b1c 官方网站如下: https://dataland.sinso.io/B.Ergo链dex5笔交易就有机会拿到空投,花了4刀买了一个erg币,陪着了新钱包并进行测试。 swap了几笔,随后又做了两个 LP ,这就算可以啦 https://app.spectrum.fi/ergo/swap 参考的教程链接如下: https://twitter.com/Erg_AdaMaxi/status/1564401685992247297?s=20&t=WotmKZElmqc6B6PRUyoyuQC.Harbor测试再做了一下,学会了修改kplr钱包发起交易的gas,解决了报错 o...
