时政
财经
科技
虚拟货币
其他
登录
Cos(余弦)😶🌫️
关注
统计数据
84
文章
0
粉丝
0
获赞
471
阅读
热门文章
1
TechFlow 深潮 发布的文章:近期教育领域的变化引发了广泛讨论,我认为教育改革应该更加注重学生的个性化发展和创新能...
145
32
Cos(余弦)😶🌫️
6个月前
去年就提醒的 RWA 风险,看来今年是要集中出现了…🫣
#RWA风险
#集中出现
#风险管理
分享
评论 0
0
Cos(余弦)😶🌫️
6个月前
在朋友的引荐下,我们和 Cetus 正式建立沟通机制了,聊了不少细节,官方思路很清晰,我们会协助跟进下去。
#Cetus
#合作
#沟通机制
分享
评论 0
0
Cos(余弦)😶🌫️
6个月前
刚刚得到个好消息,一个被盗案,150 多万美金,我们不到 24 小时协助追回了,实锤窃贼才是最直接的威慑力。
#被盗案
#追回
#窃贼
分享
评论 0
0
Cos(余弦)😶🌫️
6个月前
慢雾:Cetus 被盗 2.3 亿美金事件分析 复盘来了👀
#Cetus
#被盗
#2.3亿美元
#事件分析
#慢雾
#区块链安全
#黑客攻击
分享
评论 0
0
Cos(余弦)😶🌫️
6个月前
Cetus 的公告最后一段到底是什么意思?为什么这样写?谁可以解读下...😱
#Cetus
#公告解读
分享
评论 0
0
Cos(余弦)😶🌫️
8个月前
最近不少朋友关心某些浏览器扩展是否有安全风险,尤其是权限过大风险,有意思的是,有不少人是低估了恶意扩展作恶的风险,也有不少人是夸大了恶意扩展作恶的风险… 我很早就写过浏览器扩展(其中一个开源在我 GitHub 仓库里,黑 Cookies 的,早过期了),也安全审计过某些钱包扩展,所以算是比较懂的一类安全人员。 一个扩展要作恶,比如偷目标页面的 Cookies、localStorage 里的隐私(如账号权限信息、私钥信息),DOM 篡改,请求劫持,剪切板内容获取等等。在 manifest.json 做相关权限配置即可。用户如果没注意扩展的权限申请,就麻烦了。 但一个扩展要作恶,想直接搞其他扩展,比如知名钱包扩展,那还是不容易的…因为沙盒隔离了…比如想直接偷走钱包扩展里存储的私钥/助记词有关信息是不大可能的,除非有傻逼漏洞出现被恶意利用了。 如果你担心某扩展的权限风险,要判断这种风险其实很容易,安装扩展后可以先不使用,看下扩展 ID,搜索到电脑本地路径,找到扩展根目录下的 manifest.json 文件,把文件内容直接扔给 AI 做权限风险解读即可。这步骤不会操作,直接问 AI 也很方便…比如 DeepSeek/GPT/Grok/Claude 等都行。 如果你有隔离思维,你可以考虑给陌生扩展单独启用 Chrome Profile,至少作恶可控。而且,扩展如果用完是可以在 chrome://extensions/ 里关闭的,绝大多数扩展没必要一直开启。 我写这个的重点其实是想引导大家多善于使用 AI(几年前是善于使用搜索引擎),AI 处理这些基础安全问题都不是问题…
#浏览器扩展安全
#恶意扩展风险
#AI安全分析
#权限管理
#隐私保护
分享
评论 0
0
Cos(余弦)😶🌫️
9个月前
看来真相出来了,Safe 最终还是被攻陷了,确实智能合约部分没问题(链上很容易验证),但前端被篡改伪造达到欺骗效果。至于为什么被篡改,等 Safe 官方的细节披露… Safe 这种算是一种安全基础设施了,理论上所有用这个多签钱包的人都可能会类似 Bybit 这样被盗。 细思恐极的是,所有其它带前端、API 等用户交互服务的都可能会有这种风险。这也是一种经典的供应链攻击。 巨额/大额资产的安全管理模型需要有一次大升级。
#safe
#智能合约
#前端篡改
#欺骗效果
#多签钱包
#Bybit
#被盗
#供应链攻击
#大额资产
#安全基础设施
分享
评论 0
0
Cos(余弦)😶🌫️
9个月前
盗走 15 亿美金的核心利用代码,也就 50 行左右,这笔 tx 已成经典。
#盗窃
#区块链
#加密货币
#编程
分享
评论 0
0
Cos(余弦)😶🌫️
10个月前
好好好,Telegram 假 Safeguard 骗局已经泛滥到每天一睁眼,2-3 个受害者来求助的... 我这里把这个骗局最新伎俩汇总更新下,欢迎转给你身边所有有 Telegram 的玩家,相信我,一般玩家(99%)遇到这种骗局都会懵,一懵就容易上当。 这里拿昨天的一个正热度的代币空投骗局来分析下,如图,许多人正头脑热时,在 Telegram 上看到这样的 Channel 界面,肯定就去点击 Tap to verify 了: 点击 Tap to verify 后打开假冒的 Safeguard bot,会接着让你点: 我们继续点...一番假装验证不通过,最终让你手动验证的提示界面出现了: 熟悉的 Step1 Step2 Step3 出现了,此时你的剪贴板里已经有恶意代码了(如图),只要你没去真的按照这几个 Step 去操作就不会有问题: 但如果你乖乖地按照这几个 Step 去操作,你电脑就中毒了,参考(虽然最新这个落地样本和之前不一样,但不影响落地后带来的后果): Telegram Safeguard 骗局引导运行 Powershell 恶意代码 如果你不是 Windows 电脑,而是 Mac 电脑,也一样有类似的方式来诱导你电脑中毒,参考: Telegram Safeguard 骗局不仅针对 Windows 了,这次是针对 Mac 电脑的真实植入案例 中招后怎么办?见这: 如果不是电脑,手机上会出现什么伎俩?其实最早我有提过:另一种是黑走你的 Telegram 账号(引诱你输入手机号或扫二维码,然后 Login code,Two-Step Verification 密码,这种没什么好说的,你就不应该给出这些,任何时候都不应该...)👇🧵
#Telegram
#欺诈
#骗局
#Safeguard
#代币空投
分享
评论 0
0
上一页
1
2
3
4
个人主页
通知
我的投稿
我的关注
我的拉黑
我的评论
我的点赞
