当前位置:首页 > 科技创新 >

慢雾:IOTA 重大被盗币事件的分析与安全建议_lol全球总决赛竞猜活

编辑:lol总决赛竞猜活动地址 来源:lol总决赛竞猜活动地址 创发布时间:2021-02-21阅读75844次
  本文摘要:前几天,我们注意到IOTA停止了主网,之前也对IOTA用户说遭到了盗网反击,但没想到IOTA当局不会以停止主网的方式展开此次盗网反击的阻断和调查。

前几天,我们注意到IOTA停止了主网,之前也对IOTA用户说遭到了盗网反击,但没想到IOTA当局不会以停止主网的方式展开此次盗网反击的阻断和调查。显然,问题相当严重。此后,2020/02/19,我们对status.iota.org上正式透露的线索进行了深入分析,独立国家开始调查此次相当严重的安全事故的明确原因。

通过对IOTA官方钱包Trinity新版本发布的分析,我们发现GitHub上进行了版本检查,并删除了名为MoonPay的第三方部件,Trinitiy桌面钱包由Electron开发。根据安全经验,这可能是个大坑。

lol总决赛竞猜活动地址

我们推测,由于2020/02/19点快速雾:IOTA用户Trinity钱包被盗的货币反击,IOTA最近为了防止很多用户的Trinity钱包被盗的货币反击,反击后,为了防止调查和维修的明确原因,主网络协商器停止工作。这是被高估的经典反击。官方没有透露明确的反击细节,但通过我们的分析可以做出最重要的推断。首先不是IOTA区块链协议的问题,而是IOTA的Trinity桌面钱包的问题。

首先相信)此桌面钱包基于Electron(构建以JavaScript为核心的桌面应用程序的框架)、网络桌面新闻网(JavaScript)。也就是说,核心代码是由Javascript编写的。

对钱包的新旧版本代码进行diff分析时,删除了以前内置的交易功能模块MoonPay。这里重要的一点是删除名为constscript=document . create element(' script ')的可怕代码。

script . src=' https://cdn . moon pay . io/moon pay-SDK . js ';document . write(script . outer html);如果第三方JavaScript链接主动或受到黑色伤害,则表明该桌面钱包几乎被忽视。在这一点上,我们有理由相信这是一颗相当大的定时炸弹。如果知道这个定时炸弹被炸了,那就符合官方的说法和说明。

例如,尽快升级新版本的Trinity桌面钱包,尽快换成密码,尽快将资产转移到安全种子等。还有,看看官方以前的公开。今天(2020/02/22)我们注意到,正式公开了一些细节,基本上验证了我们的推论。

https://blog . iota . org/trinity-attack-incident-part-1-summary-and-next-steps-8 C7 CCC 2019 witteron January 25th,2020,the active attack on trinity began,Where the attacker started shipping illicit code via moon pay ' s DNS provider攻击者利用moonpay的Cloudflare API Key完成了之前的一系列绑架反击。被盗的IOTA约为8.55 Ti(8550000个MIOTA,MIOTA是当前大于交易单位的交易配置文件,目前为0.267美元/MIOTA)。根据我们的历史经验,如果web服务当事人被用于云平面,云平面账户权限被控制,就可以作为极度的中间人人质反击,通过蓄意的JavaScript。

(威廉莎士比亚、JavaScript、JavaScript、JavaScript、JavaScript、JavaScript、JavaScript)Trinity桌面钱包以Electron为基础。极端的JavaScript继续执行环境也不需要特别的越权。

JavaScript可以完成用户或Trinity钱包可以完成的任何事情。其中包括密码和种子的盗窃等。

(与大卫亚设、Northern Exposure(美国电视剧)、Northern Exposure(美国电视剧)IOTA和MoonPay官方不同,他们有足够的记录来原来控制反击过程,因此无法通过我们能够认识到的这种推理和分析工作来获得(威廉莎士比亚,Northern Exposure(美国电视),成功)剩下的是官方发表明确的细节,期待本网的新运营已经结束。.第三方可能是恶魔,个人资料不可信,软件安全开发过程需要警惕第三方的依赖,包括第三方组件和第三方JavaScript链接记录:IOTA基金会领导的创始人多米尼克Schiener的回答:“这次反击是因为构建MoonPay。”Trinity钱包犯下的第二个错误是没有构建NPM软件包,不需要对建设进行安全审查”,“从第三方独立国家安全审查的角度来看,这种意见分歧并不缜密”。

在加密货币发展历史上,NPM包中提到的第三方源导致的加密货币失窃事件不少。”著名的“event-stream”事件2。

第三方CDN/WAF服务(如Cloudflare)非常出色,但如果用户没有安全管理自己帐户的权限,该Web服务就不会遭到极端中间人的反击。他们仍然是一个整体,这也是为什么我们关注区块链生态安全,而不是在区块链本身的链上意味着安全。4 .作为IOTA官方钱包Trinity的用户,已尽快按照官方指示完成安全修饰。

Trinity attack incident part 13360 summary and next steps https://blog . iota . org/Trinity-attack-incident-part-1-Suu。


本文关键词:lol全球总决赛竞猜活动地址,lol总决赛竞猜活动地址,lol全球总决赛竞猜活

本文来源:lol全球总决赛竞猜活动地址-www.lichtercristal.com

0668-89038470

联系我们

Copyright © 2010-2014 大兴安岭地区lol总决赛竞猜活动地址股份有限公司 版权所有  黑ICP备76465302号-3