GAS:Buidler DAO:钱包被盗后,如何从黑客手里抢救NFT?

原文来源:BuidlerDAO随着美联储不断加息缩表,加密市场流动性不断减少,市场活跃度持续低迷进入熊市。作为市场上仅剩的这些「流动性」也就是我们这些韭菜的钱包也成为了子们虎视眈眈的对象。加密世界是个黑暗森林,Crypto带来财产所有权的同时也意味着一旦财产丢失或私钥泄露是几乎没有任何法律途径或方法可以挽回。为什么写这篇文章呢?因为菠菜的钱包被盗了,资产几乎被洗劫一空,讽刺的是,作为一个写过钱包安全相关的科普文章的老韭菜也翻车了。虽然失去了陪伴许久的钱包和内部资产,但遭遇这件事情后菠菜真真切切感受到了社区的温暖,并且得到了许多「家人们」的关心和帮助,甚至在社区一位小伙伴的帮助下在黑客手里抢救回来了近30个侥幸存活下来的NFT。虽然损失的资产无法找回了,但在本次「菠菜钱包被盗事件」中,有许多经历是可以科普的,希望这篇文章可以给行业提供一个受害活案例并给其他小伙伴敲响警钟,防止「惨案」再次发生。文章速览:01/我的钱包是如何被盗的?02/黑客是如何拿到我私钥的?03/我是如何在黑客手里抢救NFT的?04/如何实现同一区块完成所有操作?05/什么是MEV?MEV给以太坊带来什么影响?06/写在最后我的钱包是如何被盗的?

某天,推特上有一个人私信我,起初我并没有提起警觉,因为子的Twitter账号看起来像是一个正常用户。开始只是进行了一些闲聊,之后他开始问我是否愿意为cheelee这个项目输出内容并支付我报酬,且索要了一些我的作品进行验证,于是我把我的telegram给到了他,之后便在telegram上给我发了关于如何输出内容的一些细节和两个文件。下载并点击文件后什么都没有发生便意识到不对劲,于是打开小狐狸查看,不出所料,钱包被盗,所有的资产都被盗走,NFT也被直接卖给offer换成ETH转移。。黑客是如何拿到我私钥的?

Sui宣布Builder House越南站获胜团队:3月20日消息,Layer1公链Sui Network宣布Builder House越南站获胜团队,多链NFT市场Mynft团队获得第一名,收益协议Typus Finance团队获得第二名,随机利率协议Scallop和SocialFi应用程序ComingChat团队获得第三名。据悉,SuiBuilder Houses提供与全球Sui构建者会面和合作的机会。2023年Sui计划在12个地方举行Builder Houses,越南站是第二站,下一站将于4月14日至4月16日在香港举办。[2023/3/20 13:14:04]

黑客是如何拿到我私钥的?

我的私钥加密保存在Chrome的小狐狸中,黑客是如何获取到我的私钥的?这得从Chrome这个浏览器说起:你敢想象吗?这个占据着全球66%市场份额的Chrome浏览器居然存在一个巨大的安全漏洞!这个漏洞是什么呢?如果你在下图路径打开你的Chrome浏览器的Default文件夹,你会发现一个叫LoginData的文件,这个文件存储着你在Chrome上保存的每一个密码,但如果你想直接打开去读它的话你会发现它是不可读的,显示的是一堆乱码,因为这个文件被AES算法加密过,暴力破解需要破到天荒地老,那么其实你在Chrome上保存的密码都是十分安全的,但问题出在哪?

NEAR基金会与Startup Wise Guys合作开展MetaBUILD预加速计划:据官方消息,NEAR基金会宣布与欧洲创业加速器Startup Wise Guys建立合作关系,双方将针对MetaBUILD黑客马拉松20个获奖项目合作,开展为期8周的预加速计划。[2023/2/17 12:12:10]

如果你再往前翻一个目录在UserData中你会发现这样一个文件叫LocalState,如果你打开他之后在里面搜索「encrypted」,你会发现后面有一串密钥,这个密钥是什么?就是需要暴力破解几百年才能破解的LoginDataAES算法解密的密钥串!这真是离谱他妈给离谱开门,离谱到家了!这相当于什么?相当于你用世界上最坚固的材料做了一个牢不可破的保险柜存放密码但你却把保险柜钥匙放在保险柜旁边,贼进来就直接拿着钥匙打开保险柜了!并且这串密钥串还是通过Windows系统本身的密码生成工具生成的,与生成的电脑ID是唯一绑定关系,也就是说加密解密都只能在这台电脑上进行,Chrome把解密的密钥串就这么明文保存在了本地,这样黑客只需要拿着密钥串进行解密就可以拿到我的所有密码。

MetaMask的密码并不保存在Chrome的密码文件中,为什么我的私钥会泄露呢?因为我的MetaMask用的密码跟我的习惯密码是一个密码,黑客拿到了习惯密码后进入MetaMask还不是分分钟的事情,于是乎,我的私钥泄露了。不仅如此,所有存在Chrome浏览器上的账户都泄露了,甚至Twitter和Google账户全部遭到了冻结。我是如何在黑客手里抢救NFT的?

Incredibuild完成3500万美元B轮融资,Hiro Capital领投:6月27日消息,分布式软件和游戏开发加速平台Incredibuild 完成3500万美元B轮融资,Hiro Capital领投,Insight Partners参投,估值已接近8亿美元。

这笔最新融资将推动Incredibuild在人工智能、元宇宙等众多行业的创新和增长。Incredibuild 模式与点对点网络相似,其想法是在任何给定时间,组织网络中都有空闲CPU,然后有效地划分繁重的代码并将其分发到这些CPU实时运行处理。另据Incredibuild公司首席执行官Tami Mazel Shachar透露,去中心化金融“绝对是该公司在不久将来的一个选择和一个需要专注的领域。”(PR Newswire)[2022/6/28 1:34:47]

在钱包被盗后,黑客在OpenSea上卖出了所有带有offer的NFT并转移走了所有的资金,万幸的是有一些NFT幸存了下来,其中除了ENS和一些没offer的NFT外,有一个刚mint不久的DeBox小蛇没有被卖掉,可能因为Opensea上存在一些BUG,这个NFT是我另外一个白单地址mint完后转过去的,不知道什么原因没有被显示出来,这使得它逃过了一劫,于是乎当我尝试往钱包中转gas的时候,我发现我的钱包遭遇了「清道夫攻击」,也可以称为抢gas机器人,我转进去的Gas费被瞬间转走了!什么是抢Gas机器人?就是一旦你往钱包中转Gas费,机器人就会立马检测到并将gas立马转移走,这类机器人通常活跃在被泄露私钥的钱包中。这个机器人也活跃在一种故意泄露私钥的局,就是子会故意泄露一个钱包里面有U的钱包私钥,但这个U是被合约拉黑了的无法转走,子盯上的就是你企图转走而往里面转的Gas,下图就是一个案例,感兴趣的小伙伴可以进去看看,但别往里面打Gas噢。

Paxful与Built With Bitcoin Foundation共同向非营利性组织人权基金会捐款:9月15日消息,点对点金融科技平台Paxful宣布将向非营利性组织人权基金会捐款。Paxful将与Built With Bitcoin Foundation一起进行捐赠。后者是一个人道主义组织,所有这些都由加密货币提供支持。这笔捐款将为Qala Fellowship提供资金,该项目旨在寻找和培养尼日利亚当地人才,从开发人员开始,在比特币领域发展职业生涯。Qala Fellowship目前正在接受申请,旨在吸引更多非洲开发人员从事比特币工作,建立自己的公司,为开源做贡献,以及/或在不同的公司从事比特币工作。开发人员还将获得每月的津贴,以便专注于课程工作。(Sun News Online)[2021/9/15 23:26:31]

我的钱包在被抢gas机器人盯上之后就意味着我无法转移走我幸存的那些NFT,因为我没办法在钱包中转入gas去支付我转移走NFT的操作,难道说我的NFT要永远被困在钱包里了吗?就在这一筹莫展之时,社区的力量体现出来了,BuidlerDAO社区中有一位小伙伴站了出来帮助我在抢gas机器人手中把幸存的NFT给抢回来了!人间有真情人间有真爱!那么这位小伙伴到底是怎么做到的呢?首先让我们看看手动情况下需要多快时间可以在抢Gas机器人前面转走我的NFT,在区块链浏览器中可以看到当我转进去gas费,抢gas机器人在三个区块之后将所有gas转移走了,在以太坊合并后POS权益证明机制中一个区块的出块时间固定为12秒一个区块,那这是不是意味着我只要在前两个区块操作就可以快过机器人了呢??这样想就太天真了,如果是这么慢的速度那就都不好意思叫机器人了。

Algorand发布ALGO Builder平台1.0版本:Algorand(ALGO)发布了ALGO Builder平台的1.0版本,可帮助企业和黑客马拉松项目构建DApp。Algo Builder提供了一个框架,允许开发人员构建、测试、部署和维护项目,同时提供对高级库的访问权限。此外,Algorand还发布了新的智能合约模板。该功能有助于澄清复杂的合规要求,包括投资者白名单和转账限制。该智能合约功能还附带了一个有状态计数器,为选择有状态智能合约提供了路线图。该平台还宣布创建带有DApp模板的新存储库。(Finbold)[2021/6/2 23:03:07]

在以太坊中,一笔交易的处理速度取决于你支付了多少Gas费,如果你想交易被更快的处理就需要支付更多的Gas费,Gas费的均价会随着以太坊的交易需求量而变化,如果按照正常情况下的Gas费用来算的话,处理一笔交易所需要的时间大概为30秒,这就意味着我如果想在抢Gas机器人抢走Gas之前把NFT抢救走就需要在36-30=6秒之内完成我的操作,这几乎是一个不可能完成的事情,因为我即便是在看到Gas到账后的第一时间就去转NFT,Metamask弹出界面的时间差不多就已经6秒了,那么要如何做到在Gas机器人转走Gas之前就把NFT转移走呢?

答案就是在同一个区块内完成往钱包里转Gas和转走NFT的操作,这样机器人就无法把Gas抢走了,因为机器人需要不停监控区块链浏览器来确认是否有Gas费转进钱包,如果在一个区块内完成了所有操作机器人即便检测到了区块,我也已经把NFT转走并且没有留下多余的Gas给机器人转了。如何实现同一区块完成所有操作?

这就需要使用到Flashbots的searcher-sponsored-tx功能,这个功能大部分都被用在私钥泄露被机器人监控的钱包上。懂技术的小伙伴可以直接在Github上查看:https://github.com/flashbots/searcher-sponsored-txFlashbots的这个功能支持一个钱包转Gas给另外一个钱包的同时附带交易事务,也就是同一区块完成所有操作,在区块链浏览器中可以看到转入Gas和调用合约都在16388251这个区块中完成。

顺便提一下什么是Flashbots,Flashbots是一群关注区块链的研究人员、Buidler和白帽人士组成的研究组织,致力于减轻最大可提取价值(MEV,MaximalExtractableValue)对有状态区块链带来的负面外部性。什么是MEV?MEV给以太坊带来了什么影?

最大可提取价值(MEV)是指通过在区块中添加和排除交易并更改区块中的交易顺序,可以从区块生产中提取的超过标准区块奖励和燃料费用的最大值。怎么理解呢?举个例子,首先我们要知道在以太坊中一个交易发起后,这笔交易会被放在mempool中等待被矿工打包,那么矿工就可以看到mempool中的所有交易,而矿工的权利是很大的,矿工掌握了交易的包含、排除和顺序。如果有人通过支付更多的Gas费贿赂矿工调整了交易池中的交易顺序而获利,这就属于一种最大可提取价值MEV。你可能在想矿工换一个交易顺序怎么就可以获利了呢?有一种MEV手段叫「三明治攻击」或「夹子攻击」,这种提取MEV的手段是通过在链上监控大额的DEX交易,比如有人想在Uniswap上购买价值100万美金的山寨币,而这一笔交易会将这个山寨币的价格拉高很多,在这笔交易被放入mempool的时候,监控机器人就可以检测到这一笔交易,这时机器人就贿赂打包这个区块的矿工将一笔买入这个山寨币的操作插队在这个人前面,随后在这个人的购买操作之后进行一个卖出的操作,就像一个三明治一样把这个进行大额DEX交易的人夹在中间,这样发动「三明治攻击」的人就从中获取了山寨币因为这个人大额交易拉盘的利润,而大额交易的这个人则造成了损失。除此之外,获取MEV的手段还包括DEX的套利,清算机器人等等,MEV的存在也一直给以太坊带来一些负面的影响,比如「三明治攻击」给用户带来的损失和更差的用户体验、抢跑者竞争导致的网络拥堵和高Gas费等,甚至的一定程度上威胁到了区块链的完整性,截至2023年1月,MEV带来的利润已经达到了6.8亿美元。

数据来源:https://explore.flashbots.net/Flashbots的出现照亮了MEV这个黑暗森林,Flashbots在MEV上做了许多的研究并开发了一些产品在一定程度上减少了MEV给以太坊带来的负面影响,虽然Flashbots无法解决MEV带来的问题,但在以太坊的新分片方案Danksharding中以太坊提出了一种新的机制来解决MEV问题,如果对Flashbots和MEV感兴趣的小伙伴可以查看以下链接。以太坊官方对于MEV的介绍Flashbots的官方网址最后有什么想说的吗?

钱包被盗后看到所有的加密资产和喜欢的NFT都没了之后心里十分难受的,身子最喜欢的DeBox一家子都没了。感谢社区的小伙伴在知道后一直陪着我帮我出谋划策,甚至抢救完NFT后DeBox项目方空投给菠菜一个NFT作为安慰,DeBox真的是一个有温度的团队,疯狂打Call。

关于钱包安全问题真的不可以大意,在此之前我也从未想过自己会成为被盗者之一。文章临近截稿时看到一个KOLNFTGOD的钱包也遭遇到了黑客攻击失去了所有的资产,并且所有的社交帐户都泄露被利用发了信息,原因是下载了谷歌广告链接中的虚假软件,类似于曾经的假TP钱包局,所以,千万不要下载任何来自陌生人的文件,下载所有软件的时候也一定要确认一遍是否是官方网址。除此之外,加密资产一定不要都放在热钱包中,资产放在冷钱包中一定是最安全的,Metamask的密码也最好不要使用习惯密码,因为Chrome上的Metamask插件不是绝对安全的,一定一定要去学习钱包安全的相关知识。

原地址

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金星链

火币APP下载WEB3:使用Web3原语探索Web3用户增长空间

Web3增长工具类的创新越来越重要,即产品经理和营销人员使用Web3技术获取、吸引和留住客户的工具。在Web2中,增长堆栈由大量旨在帮助产品和营销领导者促进增长的工具、平台和分析系统组成.

[0:15ms0-0:853ms