深圳零时科技有限公司(简称:零时科技),公司成立于2018年11月,是一家专注于区块链生态安全的实战创新型网络安全企业。团队扎根区块链安全与应用技术研究,结合丰富的安全攻防实战经验和人工智能数据分析处理,为用户提供区块链安全漏洞风险检测、安全审计、安全防御、资产追溯以及企业级区块链应用创新解决方案。
现在,零时科技区块链安全100问已正式上线。通过通俗易懂的语言,为大家讲解区块链行业知识和区块链应用中存在的安全问题,让更多人了解区块链及其安全性。
当前区块链技术和应用正处于快速发展的初级阶段,面临着多种多样的安全风险。从区块链生态应用的安全,到智能合约安全、共识机制安全和底层基础组件的安全性,安全问题分布广泛且危险性较高。这对生态体系、安全审计、技术架构、隐私数据保护和基础设施的全局发展提出了全新的考验。
“伪装客服骗取私钥”
1. 攻击者伪装为客户潜伏在社群中 2. 当有用户出现转账或者提取收益求助时,攻击者及时联系用户协助其处理 3. 通过耐心的解答,发送伪装的专业工单系统,让用户输入助记词解决其交易异常 4. 攻击者拿到私钥后盗取资产,拉黑用户
“扫描恶意二维码被盗”
1. 攻击者将预先准备好的恶意二维码发送给用户; 2. 攻击者诱导用户使用钱包扫描二维码进行小额测试转账; 3. 用户输入小额或者指定金额后,确认转账交易(实际运行的是用户approve授权给攻击者USDT的过程); 4. 随后用户钱包大量USDT丢失(攻击者调用TransferFrom转走用户USDT)。
“贪小便宜,随意领取空投被盗”
1. 攻击者伪造成各种交易平台、DeFi、NFT等区块链项目; 2. 攻击者通过媒体社群发起可明显薅羊毛的空投活动; 3. 攻击者诱导用户使用钱包扫描二维码领取空投; 4. 用户扫码后点击领取空投(其实也是用户approve授权给攻击者USDT的过程); 5. 随后受害者账户大量USDT被转走(攻击者调用TransferFrom转走用户USDT)。
“在线云平台账号被盗”
多数人将秘钥/助记词通过截屏、拍照或者拷贝粘贴,然后同步保存在云端。攻击者会通过攻击这些云端平台账号,从而盗取私钥/助记词。目前零时科技安全团队已经收到大量用户反馈称将私钥/助记词保存在网盘或者笔记中,由于平台账号被盗,导致钱包资产被盗。
“热钱包服务器被攻击”
很多区块链应用都会使用热钱包,其中存有大量数字资产。由于热钱包服务器未进行安全加固或者运维不当,安全意识缺失,导致热钱包服务器被黑客攻击,进而导致热钱包中的数字资产被盗,甚至通过热钱包服务器作为跳板
相匹配储蓄罐的钥匙十分关键,第一不可以被他人拷贝,不然他人还可以开启你的储蓄罐把币取下来花,更主要的你还不知道到底是谁花的。第二不可以丢,假如丢失谁也无法打开,包含你自己,这跟我存在金融机构里的RMB很不一样,你的银行卡...
依据富达数字资产公司2021年投资者数字货币科学研究的新看法,大部分美国和欧洲投资者(84%)有兴趣爱好选购拥有数字货币的组织投资理财产品,而在美国,投资人更喜欢根据传统式金融投资公司获得这种商品。接受组织调查的股...
针对储存区块链资产的钱包,也有许多人没弄懂,尤其是详细地址、公匙、密码、私钥、助记词、Keystore等专业术语,令人一头雾水。但是,如果不弄清楚这种定义,很可能会导致区块链资产的损害。今日,大家就把这种令人看得云里雾里...
在西塘古镇全球区块链交流会上,可可豆金融业首席战略官李劳在大会上发布了《启蒙教育阶段的高品质数字资产》演说,共享了对数字资产市场发展趋势及其怎样评定、挑选高品质数字资产的思索。我认为这一內容对大伙儿十分有启发,因此融合我...