evilcos
0 Suivis
2 Abonnés
2 J’aime
0 Partagé(s)
Publications
Vidéos
最近的一些安全灵魂拷问,我肯定都有答案的,而且答案也都给过。但我真不喜欢废话,问题的评论区很精彩,你真的想提高这方面的认知可以多参考、多琢磨...
相信自己,炒币都可以赚的那么多,安全绝对没问题!😊
相信自己,炒币都可以赚的那么多,安全绝对没问题!😊
现在还有人会把明文助记词直接地乖乖地备份在密码管理器里?
现在还有人截图助记词直接丢相册做备份的?
一个月薪 $5K 的工程师保管着 $10M 资产,然后你相信他,是因为他不敢挪用,还是因为他没办法挪用?
如果你的梯子程序没猫腻,但你配置的代理线路作恶,可以直接中间人攻击你的 Google/X/Binance/OKX 吗?如果你是黑客(控制这条代理线路的人),你会怎么做?
回顾了下,这周,币圈个人玩家寻求我们帮助的被盗事件里,大额的,超 100 万美金的两个,超 200 万美金的一个,超 650 万美金的一个。
小额的就不多说了,麻了。
这里分享个心得:安全风险是躲在视野盲区里的魔鬼,你看不到,但一定在,总有某个场景,某个时刻,这个魔鬼就会跳出来。
没人可以幸免,但任何人都有机会、都可以大大提升自己的韧性/健壮性/可靠性…
踩坑是最好的教育,希望你只是踩了个把小坑。
小额的就不多说了,麻了。
这里分享个心得:安全风险是躲在视野盲区里的魔鬼,你看不到,但一定在,总有某个场景,某个时刻,这个魔鬼就会跳出来。
没人可以幸免,但任何人都有机会、都可以大大提升自己的韧性/健壮性/可靠性…
踩坑是最好的教育,希望你只是踩了个把小坑。
立场影响甚至决定了个人情绪及判断,比如被盗/被骗事件发生后,我们的出发点是及时帮受害者止损及追回损失,我们可能会联合尽可能多的资源来应对,哪怕这个做法看去很中心化。
我尊重那些捍卫去中心化精神的人,前提是这个人被盗了,他不会有动用中心化力量的念头或者动作。
作恶之人首先打破规则,你还帮其思考,非得用伪善来迷惑自己迷惑他人?
正确的做法是什么?一个系统如果你真的要捍卫去中心化精神,那你就不能只是喊 don't be evil 不要做恶,而应该设计成 can't be evil 不能做恶。如果真的出了什么安全事故,没有任何人可以动用中心化力量来干预,或者说动用的成本非常之高。那么即使有这种动用中心化力量的念头,也执行不了。
还是那句话,这是个黑暗森林,多学些安全知识武装好自己,至少可以提升自己被黑的门槛。
我尊重那些捍卫去中心化精神的人,前提是这个人被盗了,他不会有动用中心化力量的念头或者动作。
作恶之人首先打破规则,你还帮其思考,非得用伪善来迷惑自己迷惑他人?
正确的做法是什么?一个系统如果你真的要捍卫去中心化精神,那你就不能只是喊 don't be evil 不要做恶,而应该设计成 can't be evil 不能做恶。如果真的出了什么安全事故,没有任何人可以动用中心化力量来干预,或者说动用的成本非常之高。那么即使有这种动用中心化力量的念头,也执行不了。
还是那句话,这是个黑暗森林,多学些安全知识武装好自己,至少可以提升自己被黑的门槛。
揭露一些假冒安全公司的骗子团伙:
@JascottRecovery @SHIELDHUNTER_PR @BCRescue_ @ben__ethh
这些都是打着可以帮用户解决钱包被盗等安全问题,然后让用户被二次伤害的犯罪团伙…
不过吧,我这种揭露是治标不治本的…希望大家不要被盗,如果不小心被盗了,也务必冷静,不要再轻易相信任何人。
@JascottRecovery @SHIELDHUNTER_PR @BCRescue_ @ben__ethh
这些都是打着可以帮用户解决钱包被盗等安全问题,然后让用户被二次伤害的犯罪团伙…
不过吧,我这种揭露是治标不治本的…希望大家不要被盗,如果不小心被盗了,也务必冷静,不要再轻易相信任何人。
一个安全建议,如果你资金被盗了,钱包地址最好可以公示出来(担心隐私的话可以适当隐去中间一些字符),或者至少学习下下面这个玩家,他公示了黑客地址。
为什么会有这个建议呢?是因为另一个被盗用户,他的案子有执法介入,调查时发现黑客地址的资金来源这个玩家,差点就要继续查下去了...我通过各种历史数据排除了这个玩家的嫌疑,否则可能都麻烦了。
现在的一些黑客,特别喜欢嫁祸,你到时候承担的不仅是资金被盗的痛苦,还有可能后续的执法调查配合...被当作嫌疑人也是不好受的...
为什么会有这个建议呢?是因为另一个被盗用户,他的案子有执法介入,调查时发现黑客地址的资金来源这个玩家,差点就要继续查下去了...我通过各种历史数据排除了这个玩家的嫌疑,否则可能都麻烦了。
现在的一些黑客,特别喜欢嫁祸,你到时候承担的不仅是资金被盗的痛苦,还有可能后续的执法调查配合...被当作嫌疑人也是不好受的...
我们 @MistTrack_io 自己的 MCP 上线测试中,目前体验效果还不错,使用有门槛:
1 你本地得有 Claude/Cursor 等支持 MCP 的客户端,参考:https://t.co/mIGFaQflg2
2 你需要 MistTrack API Key,需要付费:https://t.co/sEN6HkgYT4
然后,你就可以用自然语言给这个整合了 MistTrack MCP 的 AI 客户端提需求了。
链上风险及追踪分析将会变更更简单,这是我们的一小步,也是未来 Crypto 安全分析工作的一大步。😃
开源地址:https://t.co/rJECN2R5th
https://t.co/IsCCKMNx8c 地址:
1 你本地得有 Claude/Cursor 等支持 MCP 的客户端,参考:https://t.co/mIGFaQflg2
2 你需要 MistTrack API Key,需要付费:https://t.co/sEN6HkgYT4
然后,你就可以用自然语言给这个整合了 MistTrack MCP 的 AI 客户端提需求了。
链上风险及追踪分析将会变更更简单,这是我们的一小步,也是未来 Crypto 安全分析工作的一大步。😃
开源地址:https://t.co/rJECN2R5th
https://t.co/IsCCKMNx8c 地址:
⚠️一位玩家发来的截图,不过他相信 Chrome,点击“是的,继续”,然后进入了假冒 @ChangeNOW_io 的钓鱼网站(注意截图里的字母 e,在黑手册我提过 Punycode 这种钓鱼方式),然后被盗 2 万多刀资产...
这就是 Chrome 的坑了,推荐机制没做好,给用户推荐了钓鱼网站...用户本来是访问真网站的...😭
这就是 Chrome 的坑了,推荐机制没做好,给用户推荐了钓鱼网站...用户本来是访问真网站的...😭
最近,假 Zoom 会议软件投毒攻击币圈有一定影响力的项目方或人士,有几个小细节会比较“猛”,需要再次提醒大家注意的:
1/ Zoom 链接在 Telegram/X 等看去都是真实官方域名,但实际上是通过小技巧欺骗伪造的,点开后必然不会是官方域名(牢记 https://t.co/yC8gGpF4gJ 及 https://t.co/RxetCoPUh4),这点需要特别注意
2/ 引诱你下载假 Zoom 开会的人都是那种特别有话术,让你觉得不大可能是假的,且这类的有个关键点是你到时候看到的与会人,视频显示其实是用 deepfake 伪造的...不用怀疑,AI 时代视频及语音伪造可以非常逼真...
3/ 控制目标电脑后,就是后续各种攻击延伸了,不限于目标电脑本机已有相关权限、资金,如果是技术人员电脑,有相关云平台权限,那后续就更糟糕了...
如果你遇到这类威胁,需要帮助可以联系我们。这里只是拿 Zoom 举例子,其他会议软件,名字千奇百怪的,多上心就行。
1/ Zoom 链接在 Telegram/X 等看去都是真实官方域名,但实际上是通过小技巧欺骗伪造的,点开后必然不会是官方域名(牢记 https://t.co/yC8gGpF4gJ 及 https://t.co/RxetCoPUh4),这点需要特别注意
2/ 引诱你下载假 Zoom 开会的人都是那种特别有话术,让你觉得不大可能是假的,且这类的有个关键点是你到时候看到的与会人,视频显示其实是用 deepfake 伪造的...不用怀疑,AI 时代视频及语音伪造可以非常逼真...
3/ 控制目标电脑后,就是后续各种攻击延伸了,不限于目标电脑本机已有相关权限、资金,如果是技术人员电脑,有相关云平台权限,那后续就更糟糕了...
如果你遇到这类威胁,需要帮助可以联系我们。这里只是拿 Zoom 举例子,其他会议软件,名字千奇百怪的,多上心就行。
😵💫每逢假期妖孽多...昨天还比较风平浪静,今天已经三起被盗事件,其中两起与 Telegram 里的骗局有关,熟人号被盗,骗子根据聊天记录上下文来精心做局,发送的语音也是模拟出来的(现在有些 AI 工具非常方便基于历史语音进行模拟)...不能只信一个源,涉及资金的,务必建立另一个可信源验证机制...
Connectez-vous pour découvrir d’autres contenus