Cos(余弦)😶🌫️
@evilcos
Followers
72,343
Following
1,136
Media
434
Statuses
4,339
Founder of @SlowMist_Team . Creator of // 要么驾驭机器、要么被机器奴役。
HACKING
Joined November 2008
Don't wanna be here?
Send us removal request.
Explore trending content on Musk Viewer
어린이날
• 545827 Tweets
こどもの日
• 520131 Tweets
#ขวัญฤทัยEP12
• 287416 Tweets
子供の日
• 141117 Tweets
GW最終日
• 75899 Tweets
#해피큥데이
• 62283 Tweets
Al Jazeera
• 51397 Tweets
#기다리던_민족대명절_큥탄일
• 50357 Tweets
West Ham
• 45602 Tweets
Vlad
• 38123 Tweets
Cole Palmer
• 37292 Tweets
#HappySkyDay
• 35871 Tweets
#碧海これからも一緒に歳取ろうね
• 29474 Tweets
سعد اللذيذ
• 28149 Tweets
Noni
• 26664 Tweets
Bernard Hill
• 25678 Tweets
Gallagher
• 23602 Tweets
柱稽古編
• 21277 Tweets
Madueke
• 18955 Tweets
Brighton
• 17641 Tweets
Happy Cinco de Mayo
• 14772 Tweets
D-1 to BLOSSOM
• 14481 Tweets
Theoden
• 13306 Tweets
Cucurella
• 11901 Tweets
サカナクション
• 11652 Tweets
蜜璃ちゃん
• 10907 Tweets
Pinned Tweet
努力克制不再回复极其偷懒的安全问题,很多答案稍微翻翻之前的分享都能找到。如果每个人都来不断的重复问,这生态如何更好一点,为什么不去问 GPT...
对啊,朋友们,GPT 啊。🥺
99
7
106
既然有朋友问如何入门 Web3 安全(尤其是智能合约安全),我简单列点当下觉得还不错的资源吧。牢记下:这玩意,最重要的是实战,是需要你一天到晚长期在这个领域积累,才可能有些成就。另外,兴趣一定是最大的驱动力,三天打鱼两天撒网,那不叫兴趣,那叫自欺欺人...
45
381
815
总算...📓黑手册(区块链黑暗森林自救手册) v1.2 中文版抢先发布了,这个差交起来有点不容易...新增“那些工具”章节及更新“贡献者”、“那些官网”。
来来来,吸收走起😃向所有贡献者、实践者、传播者们致敬!
@SlowMist_Team
77
333
676
区块链黑暗森林自救手册V1.pdf 来了,精心排版的,可以在本手册的 GitHub 仓库下载: 英文、日文及下一个版本(V1.1)都在进行中了,感谢参与的小伙伴们,一起持续推进好这件事:)
@SlowMist_Team
28
274
423
挺惨,刚刚一位着急找来追踪被盗的 BTC 和 ETH,说交易所账号被盗,我让他发提币信息给我,没一会他说不好意思,没被盗,是被爆掉了…
这比被盗还更惨…🥲别赌,稳住能赢!
137
52
496
上半年我在黑手册()里尽可能科普地写了区块链这个生态(尤其是大家喜欢提的 Crypto/Web3)许多安全风险及防御方式。半年过去,发生的许多安全事故基本大同小异,万变不离其宗...
黑手册贡献者比较多,目前中、英、日三版本,我抽空会继续更新较新颖的手法。
欢迎 follow;-)
14
154
454
我可以肯定,Web3 在持续进入许多新玩家,他们也遭遇着这个黑暗森林的打击。这也是为什么我在断续更新着这本黑手册,并开放出来,公开交流。
如果你对这个黑暗森林还不了解,你想学些钱包资产自救能力,你也想如我们
@SlowMist_Team
@IM_23pds
这般帮助他人,欢迎查看这本手册📓:
23
184
427
许多人说黑客在食物链顶端,但我们这些白帽黑客不是在底端就是在食物链之外。发财的事难和我们有关,我们心态也很平稳,别问为什么不黑化,顺手搞一笔,真是什么样的人看事物就是什么样的…对我们来说,踏实比一切都重要。不属于你的就不会属于你,出来混迟早要还,这句是硬道理,万物法则。…
57
25
441
最近收到不少人反馈自己的加密资产被钓鱼走了,许多姿势我在黑手册()里写过。这里再更新点内容吧。
Crypto/Web3 钓鱼常用的这几种签名能看出区别吗?
你先仔细看看,思考下,再看我的解析就会记忆深刻了:)
👇
18
193
404
为了缓解大家的紧张…给大家分享个 Crypto 钓鱼新技巧吧(相对新,没什么人提)…
如截图,首先这个是盗 USDT,当你的钱包确认后,你的 USDT 会被兑换成 WETH 到黑客的地址。
这里的关键点是:注意下 data 数据,许多猫腻都在这里面,当你学会看 data,还能踩坑?
1/n
28
183
402
黑手册我在这做了个更新:
由于原架构的内容本身,相关安全知识信息量其实已经足够大、足够新,我觉得不必做什么大改动,没必要自己折腾自己。我会采用“扩展阅读”方式来补充黑手册有关的安全知识。希望读者们能消化跟进,并参与贡献。
Web3 安全,任何人都可以掌握。
40
166
387
还有人不断问怎么避免被钓鱼,想 100% 是不可能的,除非你像我这样穷得低到钓鱼最低阈值…且像我对安全体系方方面面多少都有涉猎,见多识广本身就是职业黑客视角发展出来的。
否则,为了降低被钓风险,我还是建议你浏览器上安装
@realScamSniffer
@wallet_guard
等这些知名的浏览器钱包安全扩展。😎
47
206
383
华人在 Web3 不必悲观也不必乐观,看淡那些虚假的繁荣,真实力从来不计较这些。比如大家所谓的 Web3 黑客们,所有的行动都是最原生最本质的,代码不安全就是不安全,有实力就是有实力,运气好就是运气好,管你什么国家什么地区。黑暗森林才是这个行业的最真实形态,而不是那些灯红酒绿,那不是朋克…
17
55
357
恭喜,Socket 被黑事件中,我们联合多位安全专家成功追回 1032 ETH🤙大部分资金了!
FUND RECOVERY UPDATE
We have successfully recovered 1032 ETH from the funds involved in the incident on 16th Jan.
We will release a recovery & distribution plan for users soon.
Big shoutout to everyone who helped us from Seal911, Slowmist, Hexagate, & others:
@samczsun
…
4
64
533
78
10
358
各位,Crypto/Web3 是真黑暗森林,千万不要立非常安全有关的 flag,也不必一直嘲讽被黑的人或项目。黑暗森林里,只要有两种状态:正在被黑及已经被黑了...
我们共同的敌人是这个安全感严重缺失的环境及始作俑者,而不是同为可怜受害者的你、我、他...
30
67
325
🧙发现还有挺多朋友不知道慢雾 AML 旗下的这个追踪服务,如果你被盗了,币丢了,可以在这提交,方便慢雾安全团的跟进。
@SlowMist_Team
@MistTrack_io
而且慢雾的 AML 海内外全网合作的平台很多,即使追回没戏(追回的概率普遍低),也可以帮你全网拉黑相关钱包地址。
16
166
326
最近好几个人被“莫名”转走资产,他们百思不得其解自己是如何被盗的。我喜欢破疑难杂症,于是分析其中一个代表性案例,这位受害者被盗走了 13811 BEP20USDT,被盗 tx 是(图1):
这个一看基本就是授权盗币了(经验),那么剩下的问题就是,授权记录在哪?…
76
110
332
有一点需要说明下,我们团队
@SlowMist_Team
@MistTrack_io
@IM_23pds
每天各渠道都可能收到一些被盗追踪请求或安全事件分析请求,我们肯定会有工作优先级,比如客户的请求必然优先介入。事件影响力、影响金额大小、熟人委托、执法单位介入等都必然也会影响优先级。…
104
31
331
测试 Blast 时,就简单过了一遍其合约安全:
- 是个可升级合约,Owner 3/5 多签(不知道都是谁),没时间锁
- 如果要跑路,要么多签升级个恶意的逻辑合约,要么 enableTransition 设置个恶意的 mainnetBridge
这个所谓的 L2 目前除了发在以太坊上的合约,其他都是中心化 Web2…
"Blast is just a 3/5 multisig..."
I spent the past few days diving into the source code to see if this statement is actually true.
Here's everything I learned:
91
298
1K
55
85
319
有朋友问了我一个几年前我也提过的有趣问题:iPhone 安装个知名钱包,然后飞行模式,是否算是很好的硬件钱包?
我来说下我在黑手册里也提到过的一些思考,如何安心地用好硬件钱包,有几个关键因素:…
62
100
328
从来不敢说哪个 VPN 是安全的,VPN 对于我们来说是非常黑盒的,再知名的都如此,除非自建,比如许多梯子都用 SS/V2 这些开源方案自建,这才敢说是挺安全的…
这个话题我不会再展开说,也不必继续问,如果你有好心得可以分享,也让我学习学习…
56
42
300
如果你在加密货币领域被盗、被诈骗等,可以将相关信息反馈给我们:
我们不一定都能及时跟进,但肯定跟进,如有不足的地方,也可以联系我们:
@SlowMist_Team
@MistTrack_io
@IM_23pds
🫡
@jeasonstudio
@BlockSecTeam
我感觉你认知没什么出入,他们说法也很对。比如,我们跟进了大量安全事件(如 $100,000 以下),实际上都纯公益了,用户们是很难给你付费,你也很难去收他们费用,因为追回普遍很难。但这条路我们会继续做下去,因为我们在构建的是威胁情报合作网络,只要不是伸手党,我们做的这些事都将有意义。…
26
6
103
58
135
296
对了,稍微提醒或纠正下,Luke Dashjr 对比特币铭文的态度,说的可不是 bug 这么温柔,他说这是漏洞(vulnerability),是攻击(attack),是垃圾(spam),是骗局(scam)。
提醒完毕。🌚
85
25
301
记住:不管多么变幻无穷的社工套路,只要让你下载 .exe/.scr/.com/.cmd/.bat/.ps1/.vbs/.js/.lnk/.dmg/.app 等等后缀的文件都千万别直接运行(单纯下载没什么问题,别误点),想运行就扔进对应的虚拟机或废弃电脑里运行。如果是文档,一切都让对方发 Google Docs 给你,不发就是没诚意。
43
89
305
才发现我们团队的追踪溯源报告被「联合国安理会」引用,很有意义的一件事!💪星辰大海,继续加油!
Super proud of our team and their efforts for helping us be included in the new United Nation Security Council report.
Pages 539 and page 553
A special thanks to
@CFInvestigators
for spotlighting our contribution.
8
11
66
41
25
304
🕵️♂️🧙ERC404 代码我看来看去,思来想去这个 404 寓意的那么一些关联:
假设这是一枚硬币,正面是 FT,背面是 NFT,你在交易 FT 时,硬币的另一面(NFT)稀有度无差别地给了出去 _owned[from].pop()。或者,FT 数量稍微小于一个整数,也会烧掉一个 NFT,比如本来你的 FT 是 3,对应有 3 个 NFT,由于 FT…
64
71
291
有人问我,分析一个钓鱼网站时,打开控制台会出现如图情况:
(function anonymous(
) {
debugger
})
这是钓鱼网站的反调试技巧,许多新人做钓鱼网站分析可能这步就卡住了。你点击继续执行脚本(Resume script execute)那个蓝色执行小按钮,没用,会继续中断。
那么,如何对抗这个反调试技巧?👀
24
77
296
FT 資產被盜光了 畢竟有傷害到其他人
還是把詳細內容打出來協助大家排雷
關心就免了 肯定不會太好受
這是我在Crypto第一次被詐騙
幾天前
@_connormurray
(詐騙帳號 勿追蹤)私訊我
全部的對話內容一字不差我貼在thread(一篇文章好像沒辦法放太多張圖),說是要簡單的採訪我。…
94
64
238
108
16
288
[UPDATE] Crypto 钓鱼常见手法
Drainer-as-a-Service (DaaS) 功能:
注:DaaS 可以理解为针对 Crypto 行业的钓鱼工具,知名的如 Inferno/MS/Angel/Monkey/Venom/Pink/Pussy/Medusa 等这些 Crypto Drainers,牛鬼蛇神们购买这些 Drainers…
44
122
291
正好有朋友好奇 Mac 电脑中毒的感觉...这图可以看出你的哪些基础信息会被盗走,这木马算是很基础了,图也很清晰,不多解释,来源:
20
47
262
@0xAA_Science
@MetaMask
@MetaMaskSupport
可以这样:在电脑本地全局搜索 nkbihfbeogaeaoehlefnkodbefgpgknn 这是 MM 扩展 id,如这个目录下:C:\Users\[User]\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\nkbihfbeogaeaoehlefnkodbefgpgknn 找到 ldb/log 这些文件,在这些文件里找到如图内容:
27
84
278
比特币核心开发者的这个观点刺激了,如果一切如他所愿,比特币之后的版本会修复他认为的漏洞:序号/铭文是比特币的漏洞,是一种 Spam 攻击。最开始就争论过这些,现在可能是开刀整治了…
PSA: “Inscriptions” are exploiting a vulnerability in
#Bitcoin
Core to spam the blockchain. Bitcoin Core has, since 2013, allowed users to set a limit on the size of extra data in transactions they relay or mine (`-datacarriersize`). By obfuscating their data as program code,…
2K
11K
4K
113
56
271
每天都收到不同的人问,进入 Crypto 行业很慌,担心被盗,这该怎么办那该怎么办?我问你读过黑手册没,都没,并普遍希望我手把手指点下,我要是不回信息还会和我着急,我真没见过还有这么厚颜无耻的人啊。😭
我没那么大动力做大更新也是因为最好的教育还是感受鬼故事。如果你有鬼故事,欢迎分享。
39
65
269
为什么要消息轰炸我,请求安全帮助留言一次顶多两次就好了...我是欠这些人什么了?😱还有不断问我为什么必须蓝勾认证才能发私信给我,我的时间就不是时间了?
97
7
271
⚠️比特币钓鱼又来了,理论上一键可以钓走目标钱包地址里的所有 UTXO,其中包括铭文资产、Atomicals 资产等,好在主流的几个钱包都会清楚地告诉用户哪些资产会变化。下一步需要安全提醒这种高风险操作了。
34
99
261
⚠️最近这些 NFT 零元购钓鱼,由于相关样本及源码比较敏感,我就不随意公布了(不是这方面的安全研究员也不必找我要)。
这里我做点科普补充吧,让更多人了解下这种钓鱼的残忍...
如图是钓鱼的核心代码,加花过的,解起来有点烦,但挺巧的是我们的情报库里有明文源码...大大方便我的理解。1/n
15
82
248
马上 2024,我需要更聚焦精力去做更重要的事,后续有任何低级问题导致的被盗我不会再投入重复工作去帮助,原因很简单,其中有些人并不愿意花时间在安全学习上,赚了钱大概率也不会奉献,亏钱或被盗了才会找来。
如果我们没出手不一定表示你是我说的这类人,大概率是因为我们太忙了。
平安夜平安。🍻
37
15
255
从链上看你是被钓鱼钓走了 Permit 签名,这种签名对你来说仅仅只是一个无 Gas 的离线签名。钓鱼拿走后,会执行 Permit 上链操作,这个操作就拿到了你 USDC 的授权额度了,如图,但是这个 Permit 痕迹在你的地址看不到,在钓鱼者地址可以:
妈的,不小心进了个钓鱼网站,钱包被盗了。
求个科学家帮助:
1. 没有转账授权,只有像登录一样的签名,小狐狸也没报风险,我就直接点了。
2. 在zk era的签名,我E链USDC被分两次转走了,其他资产几个小时暂时没有被动,gas应该还是足够的。虽然我后来转走了E。
3. revoke cash那边看不到新增的授权
60
22
76
26
113
254
这个 Crypto 钓鱼有点骚,点开的 MetaMask 实际上是网页自己生成的,不是扩展。然后让你输密码,无论你输什么,前两次一定会提醒“Incorrect password”(图1),第三次一定没问题,然后新的界面提示是“Access is restricted.”(图2),如果你点击“Reset Wallet”,就会开始采集你的助记词了(图3)...😅
58
84
244
两年前我写黑手册时,核心目标是想告诉大家“零信任”,即对所有人及事物保持怀疑,并掌握能验证其真伪的能力。包括对我,对慢雾,对任何一个信誉良好的人或团队,他们的说法,他们的输出,他们的一切。
如履薄冰、如临深渊、保持敬畏。
17
36
255
@toujifox
以后遇到这类问题,可以用
@MistTrack_io
看看链上痕迹,比如 ETH 这个,黑客地址的痕迹如图所示。可以注册个 MistTrack 平台账号,打开这个调查链接自行查看:
日期默认 UTC 时间。
1.18 黑客地址在 OKX 的充值 ETH tx:…
19
86
259
😗记录昨天经历的一次很好的负责任漏洞披露流程。一个朋友平时会薅羊毛,他的首席技术发现某知名平台可以非预期提走平台资金的漏洞,并且做了漏洞验证,我和团队协助做了确认后,紧急通过一些私下渠道联系到了项目方。我协助全程英文沟通(我英语挺一般,但不影响描述我擅长的领域信息),项目方很积极…
55
14
243
一晃眼,慢雾(SlowMist)六周年了!并坚定地迈向第七年。借一位老朋友送我们的一句话:背靠祖国,放眼世界(仰望星空,脚踏实地)。我们将继续做好区块链生态安全,慢而有为,雾释冰融。
顺便说下,文末有个在线通关小游戏,通关后可以领一枚精心设计的纪念…
🎉🌐6 Incredible Years at SlowMist - Thanks to You!🌐🎉
As we hit this milestone, a heartfelt thank you to our amazing community. Your support has been the key to our journey.🗝💙
🎮To celebrate, we've prepared something special! Join our anniversary game - a token of our…
28
16
66
59
17
239
有朋友问我 LastPass 这次被黑怎么看,简单说下吧...
如图,根据官方披露的信息来看,至少虚线里的信息许多是泄露的,包括 Encrypted Vault,这里面就有你那些最关键的密码等隐私。
那么后面的游戏就变成:如果你的 Master Password 也被黑客知道了,那就全完了...
1/n
22
64
240
黑手册 v1.2 中文版编排好的 PDF,方便收藏阅读,如图自取:
或
总算...📓黑手册(区块链黑暗森林自救手册) v1.2 中文版抢先发布了,这个差交起来有点不容易...新增“那些工具”章节及更新“贡献者”、“那些官网”。
来来来,吸收走起😃向所有贡献者、实践者、传播者们致敬!
@SlowMist_Team
77
333
676
32
117
259
许多新关注我的朋友,进入这行业可以先读几遍我主力编写的「黑手册」📓,可以少掉坑。😭对,多读两遍,实操两遍…
如果你在安全技术上想更进一步可以阅读我不定期更新的「黑手册扩展阅读」📓,主要汇总了我在 Twitter/X 上分享的众多 Web3 安全干货。
我可以肯定,Web3 在持续进入许多新玩家,他们也遭遇着这个黑暗森林的打击。这也是为什么我在断续更新着这本黑手册,并开放出来,公开交流。
如果你对这个黑暗森林还不了解,你想学些钱包资产自救能力,你也想如我们
@SlowMist_Team
@IM_23pds
这般帮助他人,欢迎查看这本手册📓:
23
184
427
33
87
237
⚠️早上又一位 X 友被视频会议木马将数多个钱包洗劫一空,已知损失至少 15 万美金。
简单分享些信息,方便其他人参考注意:
图1,骗子说自己来自 Earlybird VC,要找兼职翻译。
图2,骗子推荐用的会议软件,理由是这个软件可以 AI 即时翻译,开会就会比较简单。实际上这个会议软件是木马。…
77
77
237
挺有意思的,我们一毛钱没收就在帮许多受害者追踪分析比特浏览器用户私钥被盗事件,一直在联合各方追踪拦截,总有的人就只会说风凉话,难不成是不想我们跟进?😅
下一步立案是关键,警方介入,我们可以继续深入协助,有挺多痕迹是可以展开工作的(包括可能的“入侵”痕迹)。但客观说能不能有 happy…
70
10
232
这里总结了 NFT 攻击有关的手法,大多都是各种骗、各种钓,然后是智能合约漏洞、交易市场漏洞等。挺好的总结:
11
86
229
DNS Hijacking(劫持) 大家应该都耳濡目染了,历史上 MyEtherWallet、PancakeSwap、SpiritSwap、KLAYswap、Convex Finance 等等以及今天的
@CurveFinance
,十来个知名加密货币项目都遭遇过。但很多人可能不一定知道其劫持的根本原因,更重要的是如何防御(项目方角度及用户角度),我这里做个简单分享👇
10
95
225
今天是我今年的最后一飞了,在飞机上看《参考消息》报纸,首篇一个大标题《世界在动荡与希望中告别 2023》,文中有一个子标题是“虽不完美,但世界正变得更好”。挺好的,借此,也稍做今年我在加密货币世界的一点总结吧。😃
2023…
68
20
229
😃非常感谢帮忙发布,如果本手册对你有帮忙,可以参与进来。见手册的GitHub页面:
【慢雾出品丨余弦:区块链黑暗森林自救手册:超 3.6 万字深度助你掌握你的加密货币安全 】
@SlowMist_Team
@evilcos
从未见过如此硬核区块链安全文章!全文从钱包使用安全到隐私保护、人性安全、作恶方式、密码学等角度超 3.6 万字分析,请收藏转推区块链黑暗森林自救手册!
55
515
729
15
107
208
太多人问我钱包签名安全如何识别的问题了,我再再再给你几个找到问题答案的思路:
- X/Twitter 里搜索「签名 from:
@evilcos
」或其他你感兴趣的关键词即可找到我历史谈过的推文
- 在我黑手册扩展阅读里搜索“签名”两个字,可以看到历史我谈论关于签名安全的推文:
…
27
83
224
这个 NFT 钓鱼,如果你的钱包提示是“未知方法”,那么注意看下具体的 Data,如果 Data 的十六进制以 0xa22cb465 开头,那么这就是有风险的,因为 0xa22cb465 实际上就是 setApprovalForAll 这个授权函数。对于新人来说,没把握的就不要继续…
12
131
203
在安慰一位被钓鱼的用户,一笔被 Angel Drainer 钓走不少蓝筹 NFT,损失挺大,他说:几年努力白费了,很崩溃。我回他说:稳住,我两年前将早期屯的 BTC/XMR 也弄丢了,因为我的加密策略过于安全,我自己都破解不了...😭
109
20
218
一个安全冷知识:连接陌生 Wi-Fi 的安全风险已经比数年前小了非常非常多,因为现在绝大多数的服务都默认 HTTPS,甚至强制 HTTPS。
但是,君子不立危墙之下,还是别随意连接陌生 Wi-Fi,除非你非常清楚你到底在做什么。
感谢当年的这个“运动”:
13
37
220
抽空做完 Personal Security Checklist 227 题,几乎都在我的知识范畴里,不过还是巩固了些知识点,挺不错的。推荐各位在 Crypto/Web3 浪荡的朋友也过一遍,不用谢:
发起者
@Lissy_Sykes
24
85
217
黑手册()的 GitHub >3k stars 了,业余时间的输出,能帮到许多人就很欣慰。计划过段时间拉团队及几个安全合作伙伴输出一个更有意思的玩意,搞得好的话,对这个行业的用户安全来说将会是个更大的促进。🧙
@SlowMist_Team
5
46
207
⚠️被盗了怎么办?🆘
尤其是最近的 NFT 如此火热,安全意识谈再多也比不上被盗一次来的记忆深刻。当然我不希望大家被盗,只是很多时候看到很多人被盗后非常紧张、迷茫、甚至可能着急导致第二次伤害。这里我特别来个 thread 讲解下。
22
94
203
🤯所以,就这样一个小应用就可以拿走你 Twitter 账号的这些关键权限,许多人在安全意识上如此大意,也就别怪哪天你的 Twitter 被动地发布一些 Scam 信息了...
当你炫你 Twitter 号的价值时,你已经成为了猎物。
29
66
193
Happy Chinese New Year:-)🧨🧨🧨
见者,龙年行大运,安全无忧虑!
Let's fight together, buidl a more secure web3 system.🐲⚔️
25
11
191
我非常懒,再再次分享了下 permit 离线授权签名及时止损的科普。对技术感兴趣的朋友自行去阅读 USDC/DAI 等有 permit 机制的合约代码,etherscan 上直接阅读就好。技术吃透,万事不愁。
另外,记住 approve 与 permit/permit2 授权的区别:
- approve 在受害者钱包地址可以看到授权痕迹
-…
@taresky
@RevokeCash
其实很简单的,之前我说过,不过可能懂技术细节才更好理解,否则只需这样做:用 Revoke 检查授权时,还有个 tab 是签名检查,把怀疑可能被钓走 permit 离线授权签名的资产都取消下签名即可,如图我在取消我的 USDC permit 签名。注意下,这个取消功能一直会存在,这只是方便用户将之前不小心被钓走的…
15
39
92
42
67
197
黑手册官网更新了点:
- 加上“扩展阅读”
- 加上中文版“区块链黑暗森林自救手册V1.1.pdf”,方便下载离线阅读:
2024,作恶少些。⚔️
31
66
192
今晚慢雾
@SlowMist_Team
追踪团队
@MistTrack_io
在跟进了,这事可能比想象的复杂些,在执法单位介入后,我们会进一步推进。这里不做过多说明。
51
26
199
没见过这么搞笑的安全解释,一个只有智能合约的未来 L2 与那些真的 L2 对比多签安全模型…🥲
本来许多安全人员(包括我)提了 Blast 权限过大风险,也就是提提,让玩家们有个数就行。客观事实,认就行,非得出一篇这么搞笑的安全解释。
On multisig security.
Read this thread to understand the security model of Blast along with other L2s like Arbitrum, Optimism, and Polygon.
398
190
1K
53
19
197
2023 年可能真的是新科技革命的一年,谈谈我对 AGI、常压室温超导、量子通信这些科幻般革命性技术应用出现的理解…
👇🧵
36
22
196
Rabby 移动端 App 体验不错,不碰用户私钥/助记词,可以作为硬件钱包、MetāMask/Trust 等知名钱包的“防火墙”,这种定位非常好😏
防火墙?是的,Rabby 在钱包用户交互安全上领先,比如钓鱼网站识别、所见即所签、高风险签名识别、历史记录 Scam 识别等下了不少功夫。
Rabby Mobile iOS version is now live on App Store!
Connect your mobile wallet, upgrade your experience TODAY.
👉
163
225
1K
28
58
194
⚠️今天有朋友给我反馈一种新型钓鱼技巧:Twitter 私信或推文看去很正常的域名,点击后打开的却是钓鱼链接。
如图 x2y2[.]io 是
@the_x2y2
的官方域名,但点击打开的却是 x2x2[.]io 钓鱼域名下的链接。我们团队
@SlowMist_Team
做了分析后发现是因为钓鱼链接通过 User-Agent 值来输出特定内容...
1/n
21
63
195
重点说下:
1. Ledger 模块 ledgerhq/connect-kit 被投毒问题基本得到了缓解,但被投毒代码可能还在你浏览器缓存着,如果你不是特别确定,一定清除下你的浏览器缓存(包括在用钱包 App 内置浏览器缓存)。别问我怎么清除,Google/ChatGPT 都可以给你答案。
2.…
20
55
191
常在河边走,总有被黑时。网络安全攻防玩了这么多年,哪天我被黑,我一点都不觉得意外,除非是因为低级错误导致被黑。历史上我被黑过至少三次,都在我可解决的范围内,其中一次我反制了回去,第一次明白什么是威慑力。
懂得越多,确实越知敬畏。下一个是谁?可能就是你。无一例外。
40
2
189
🔥在我追踪团队的努力下,上次 用户被盗的近 43 ETH 已经成功追回,大家的协同经验非常难得!感谢
@FixedFloat
团队的关键帮助,同时也得感谢被盗用户及他的朋友们的共同努力,包括执法单位的介入。
从被盗时我们第一时间追踪分析及 AML…
Upon receiving the victim's report, we immediately collaborated with
@FixedFloat
. Thanks to their rapid response, we were able to freeze approximately 43 ETH, significantly reducing the overall loss. Currently, about 6.5 BNB remains with the hacker, which means that we have…
5
7
31
35
9
186
以前黑客圈、安全圈称那些善于使用工具、写点脚本、玩些奇技淫巧的人为脚本小子,突然意识到原来在 Web3 里,这些人被称为了科学家。果然人的身份在不同圈子是可以很不一样的。
注:身份不重要,重要的是,你用这些身份做了些什么令人尊重的事,我也曾经是脚本小子。
23
23
185
这个很赞!冻结的 2.25 亿 USDT,属于东南亚一个国际人口贩卖集团有关的自托管钱包,该集团负责一起全球性的杀猪盘骗局。关键时候还是强有力的执法及资源出手才好解决大问题。
杀猪盘,真是获利无数,可恶的是不仅骗钱还骗了感情…
Following Investigations by Tether, OKX, and the U.S. Department of Justice, Tether Voluntarily Freezes 225M in Stolen USDT Linked to International Crime Syndicate
101
158
717
37
17
185
Blast 上的这个协议 Munchables 被盗 6250 万美金,损失真大了。按
@zachxbt
的调查是因为他们的一位开发者是朝鲜黑客…这是我们遇到的至少第二起 DeFi 类项目遭遇的这类情况了。核心开发者伪装潜伏很久,获得整个 team 的信任,时机一到就下手了…毫不留情。
受害者恐怕不少,我们会紧密跟进。
Munchables has been compromised. We are tracking movements and attempting to stop the the transactions. We will update as soon as we know more.
527
243
1K
71
41
190
🕵️这份 2019.1 我整理的 Crypto 行业作恶��:
- 盗币,细分类型最多
- 恶意挖矿,不是什么热点
- 勒索
- 暗网
- C2 中转,木马通信有关
- 洗钱,那时 Tornado Cash 还没出现
- 资金盘
- 博彩
近 4 年过去了,你觉得新增了哪些?欢迎补充👀
原图:
21
82
181
我思考了下,平台都是用 PSBT 签名(部分签名,利于买卖双方安全交易),我确实可以搞个非常低手续费(Fee)的交易进 Mempool 而很久不会被区块确认(0 确认)。平台机制如果是:只要有买家先抢走了卖家这笔 PSBT 签名,即使 0 确认很久(比如好几天)也不会把卖家这笔 PSBT…
群里看到一个很恶心人的玩法:二级玩铭文的买家故意以超低的gas费购买,导致交易打不了包被挂起,token也被锁定。
如果后面铭文涨了,买家就加速交易成功。如果跌了,买家就加速交易取消。
这他娘的卡bug呢,玩成了期货。据说卖家没法加速,有没有懂的来说说,怎么能避免这种坑?
@Portalcoin
…
145
28
187
46
58
173
今天一位 Web2 的老朋友和我聊了 Web3 许多安全话题,这方面我专业,很容易就让他明白了其中的门门道道,本来都很开心,他最后问了我一句:
Web3 最成功的应用除了炒币、洗钱及黑客,还有什么?🤯
这绝不是新问题,但我一下子没有好答案,可能我现在有了,但不一定有说服力,有浅显易懂的好答案吗?
142
26
181
许多人批评 EVM/Solidity/ERC20/721 等等以太坊的这些玩意不安全,已经造成了至少几十亿美金损失。但对我来说我看到的互联网基础协议也是如此,BGP/DNS/SMTP/FTP/HTTP 等等没一个是天生安全,安全补丁都是后打的,打的确实很辛苦,但造就了野蛮发展的年代,乱象确实很多,但也诞生了无数创新创造。…
36
20
178
又一个很好的被盗追回 Happy Ending,受害者付费的,而且是在我们介入时就付费(尊重我们的介入成本),而不是像有些人总希望我们先付出,搞不定的话一毛钱都不会付。有的搞定了,也没想着付出…不是一定要这样收费,而是能不能互帮互助,这样才好长长久久。
但付费确实是最基础最简单的礼仪。
😎
24小时内,我和我们
@MistTrack_io
工程师、受害人一起通过技术分析,迅速锁定嫌疑人,在证据面前,被盗的158 ETH 全部追回。
Thanks
@Super4DeFi
🫶
19
7
69
42
20
188
地下产业链爽了,随便一个 X 小应用就可以病毒式传播,拿到一堆 X 用户的账号高风险权限。之后还不爽飞起来?🤒
这要是被什么发币项目学会,大家记住:拉黑这种项目…🤣
👨👩👧👦 My Twitter Family:
👫 Parents:
@ken_candyken
@evilcos
👰 Spouse:
@softlipa1018
👶 Children:
@WanziCrypto
@LumiterraGame
➡️
2
0
1
58
45
187
这个太赞了 DeFiVulnLabs Solidity Security Testing Guide,感谢
@1nf0s3cpt
的汇总,目前Solidity 项目有关的 47 个常见漏洞描述、场景、防御、漏洞代码、测试 PoC 及测试方法。🧙
🔥[Release] DeFiVulnLabs Solidity Security Testing Guide.
🌀Supports 47 types of vulnerabilities.
🪧Includes vulnerability description, mitigation and how to test.
🔖:
I hope this stuff can help developers avoid the same mistakes as much as possible.
7
143
204
6
65
181
来来来,继续一个安全问答,钱包签名考题:如下四种签名弹框,安全性如何?为什么?
注1:第一个不是 eth_sign,是 personal_sign:)
注2:答案都藏在我以前发的分享里...
36
64
174
关注量破 30K,感谢大家对安全的关注!新的一年,让我们更淡定些、慢些。还是那句话:关注我的朋友们,我没法带你们在 Web3 赚钱,但我一定概率上可以帮你们避免自己凭实力或运气赚到的钱被盗走…😂
16
7
177
我个人捐赠了 $5k 美金给
@zachxbt
,支持与感谢 Zach 对 Crypto 安全生态的持续贡献。可惜我不是法律专家,我无法确定从法律上,Zach 与 Machi 谁更有赢的筹码,我也无法断言这其中的法律角度争议。但我愿意捐赠以表明我对类似 Zach 这样的 Crypto 安全人员的致敬。
1/ It’s unfortunate I have to make this thread but I am being sued by MachiBigBrother for an article I published in June 2022.
Today Machi filed the defamation lawsuit. The lawsuit is baseless and an attempt to chill free speech. I intend to fight back & defend free speech.
2K
7K
23K
21
15
170
铭文某种程度算是符文的试验田,铭文各种大文件及大量“无意义”的 BRC-20 留痕信息出现在比特币的 Taproot 数据里,被 CVE 漏洞编号后,引发了轩然大波。但铭文带来了暴力美学,话题性十足。而符文基于 UTXO 模型,数据存放在 OP_RETURN…
111
21
177
我有个朋友也在玩那种“打钱集资发币”项目,他被 fomo,自己的几个号加他喊的一些朋友总共冲进去超 1000 SOL,然后立马开始焦虑了,这两天状态非常差,我问他为什么,他说一直担心项目方跑路,希望我们帮忙一起盯着。
我问他:如果你赢了,会不会分我,比如 20%-50%,看你诚意。…
80
7
170
关于 Chrome 可以直接篡改剪切板内容,说几点:
1/n. 这是个存在风险的特性,比如当用户打开恶意网页,网页可以悄悄篡改用户的剪切板内容为非预期的内容,比如钱包地址,恶意 JavaScript 代码就一行:
navigator.clipboard.writeText('0x29a94059c33827781bbddb932Dd40c46a7Bd9513');
12
44
175