一个懂得经济学的黑客会怎样?当金融家与黑客联手又会反生怎样的化学反应?
北京时间3月7日晚,黑客以“币安Binance交易所”为目标发起的一波攻击,给整个数字货币圈上演了一场极为“漂亮”的“币圈买空卖空获利”经典教学!
看看人家黑客玩“炒币”,大手笔啊!!!
简单来说,就是黑客盗用“币安Binance交易所”里部分用户身份,大玩数字货币买空卖空,恶意拉爆,狠狠的割了一大波数字货币的韭菜。
从本次事件上能够看出来,黑客策划周密,前期准备十分充足,且做好了预案——直接套现或通过做空交易完成收割。
目前的公开信息里暴露出两个安全问题,第一就是API key“意外丢失”,导致部分用户账号被盗;第二则是部分用户的币安账户Google二步验证失效,使得异常操作未能被用户察觉并阻止。
梆梆安全专家分析发现,要想获得“币安Binance交易所”用户的账号信息有以下3种方式:
(1)直接入侵币安后台数据库;
(2)通过社工获得币安用户的部分信息,再通过撞库等方式获得完整的账号信息;
(3)借助加好“料”的数字货币交易机器人,广泛搜集各数字货币交易所用户账号密码等,从中选出币安用户信息。注意,如果黑客采用了这一方式,意味着被盗账号的用户将不仅仅会是币安一家。
数字货币背后的区块链技术强调“去中心化”,然而各类交易所却恰恰是典型的“中心化”产物。如何才能掌控好二者之间安全的平衡性?
区块链虽然是一个去中心化的数据基础设施,但是落地到企业级应用后还是存在中心化的核心系统,承担了诸如用户帐号管理、区块链“交易”等管理功能。在梆梆安全专家看来,区块链核心系统所面临的网络安全风险目前主要趋于传统范畴,包括但不限于:
1、Web攻击,例如跨站、注入等;
2、业务连续性,例如DDoS;
3、数据安全,例如撞库、中间人攻击。
区块链的所有应用,都需要一个客户端来实现用户侧功能,例如利用区块链追踪食品的生命周期时,在中间某些节点,物流企业需要通过客户端记录流转详情,并由客户端写入区块链网络存储起来,而每次记录操作由于需先证明其合法性,采用的方法是利用客户端持有的私钥对数据进行加密,由此可见针对私钥的保护非常重要。目前客户端正在面临如下风险:
1、针对客户端的反编译;
2、针对密钥的直接偷窃,例如内存读取;
3、侧信道攻击。
在区块链安全技术薄弱,监管法律法规尚不完善的当下,黑客能够从任意一点偷走你的数字货币。近两年来,数字货币被盗事件频繁发生,有的是黑客直接对数字钱包下手,有的则是通过攻击交易所进行“抢夺”。而本次黑客攻击事件更是叫绝,黑客的一系列攻击仅仅是敲门砖,后继的连锁操作则完美再现了《华尔街:金钱永不眠》里的诸多精彩操盘手段。
区块链技术上的显着优势,使得全球大型金融机构纷纷对其进行投资,希望能够获得更多发展良机。这意味着,未来将形成全新的基于区块链的金融系统,而黑客则能够利用区块链实施中的安全隐患(例如智能合同所暴露的安全问题)找寻到新的“生财之路”。
好消息是,全球各国政府、金融监管机构都在开始抓紧对数字货币交易的约束,一条条“安全紧箍咒”被陆续抛出。同时,梆梆安全的专家们也在针对区块链交易场景安全、区块链应用层面安全、区块链用户安全展开研究,如保障用户的电子钱包应用安全,让区块链的智能合约更为健壮等。
梆梆安全针对区块链安全隐患,坚持从保护的角度做安全,从以下方面引入区块链安全防护能力:
1、提供针对核心系统的保护。通过自适应安全防御平台RASP和SingleClick云防平台截断攻击路径,通过遍布全国的抗DDoS节点保障业务连续性,通过MSSP应用风险管理平台封住漏洞隐患。
2、提供针对区块链客户端的保护。通过移动应用加固技术针对冷热钱包提供立体防御,辅以威胁感知系统监测实时风险,针对硬件钱包提供TEE芯片级解决方案,彻底锁住私钥不外泄。
3、针对区块链上层的智能合约,彻底贯彻SDLC安全,针对其编程语言提供代码扫描和审计,提前发现逻辑漏洞,对编译后代码提供混淆防止逆向,同时利用航空领域的数学方法在逻辑上进行形式化验证。
“区块链终将改变世界,而我们不是一个旁观者,梆梆安全在让区块链更加安全!”
——梆梆安全创始人 阚志刚博士
好文章,需要你的鼓励
Roig Arena 将于 2025 年 9 月在瓦伦西亚开业,借助 Extreme Networks 的 6GHz Wi-Fi 与数据分析技术,实现无缝运营与个性化观众体验,打造全天候活动中心。
EasyText是一项由新加坡国立大学、香港中文大学与Tiamat AI、Liblib AI合作开发的多语言文本渲染框架。基于扩散变换器(DiT)技术,它能将多语言字符编码为字符标记,并通过创新的字符位置编码技术实现精确文本布局控制。研究团队构建了包含100万多语言图像-文本对的大型合成数据集和2万高质量标注图像的精选数据集,用于预训练和微调。实验证明,EasyText在多语言文本渲染、视觉质量和布局感知文本集成方面表现卓越,支持超过十种语言,能处理弯曲和倾斜区域,实现前所未有的文本渲染精度和自然度。
OpenMamba 是一款意大利独立滚动更新的 Linux 发行版,基于 Fedora 工具构建,提供 KDE Plasma 与 LXQt 桌面。它采用最新组件和标准打包工具,运行稳定且易用,适合规避主流系统限制的用户。
波森AI研究团队开发的EmergentTTS-Eval是一个针对文本转语音(TTS)系统的全面评估框架,专注于测试六大挑战场景:情感表达、非语言线索、外语词汇、语法复杂性、复杂发音和问题表达。研究创新地采用大型音频语言模型作为评判者,从一小组种子提示迭代生成了1,645个测试用例。评估结果显示OpenAI的GPT-4o-Audio表现最佳,同时研究证实了模型评判结果与人类偏好高度一致。该工作已开源,为TTS技术评估提供了可扩展、客观且全面的新标准。