《侠盗猎车手 6》外流事件主谋据传已遭警方逮捕,嫌犯竟是一位年仅 17 岁的骇客
就在上周末,来自 Rockstar Games 内部的《侠盗猎车手 6》开发画面突然开始在网路上开始外流,即使这款令玩家期待已久的游戏几乎每过一段时间都会出现一些传闻或各种内部消息,但这一波外流的画面无论是在细致程度和规模都是前所未见的,而许多游戏内线记者都认为这些外流内容有着极高的可信度,随後,开发团队 Rockstar Games 也发布了一篇声明,证实了公司内部的伺服器遭到骇客入侵,而这些画面确实就是来自《侠盗猎车手》新作。在经过了一连串调查之後,英国警方终於锁定了嫌犯,而对方竟然是一位年仅 17 岁的骇客。
就在今天稍早,英国伦敦市警局於官方推特平台上宣布他们於上周四在牛津逮捕了一位犯下骇客行为的 17 岁嫌犯,虽然警方并没有提供任何明确的细节,但相关报导都暗示了这位遭到逮捕的青少年骇客很有可能与最近爆发的 Uber 和《侠盗猎车手 6》泄露事件有着直接关联。以目前来说,这位嫌犯已暂时被拘留在伦敦警局中。
根据 The Desk 网站以及记者 Matthew Keys 的报导,英国警方是在 FBI 以及英国网路犯罪部门 (Cyber Crime Unit) 的联手调查结果出炉之後才成功锁定并逮捕了这位 17 岁的骇客嫌犯,而在这之前,确实有许多报导都指出了 FBI 已经正式针对这场 Uber 以及 Rockstar Games 遭到骇客入侵的事件展开了调查。而相关消息来源也向 The Desk …
无聊猿又被偷!官网Instagram遭骇客入侵,遭盗价值数百万NFT
无聊猿在诸多名人加持下,身价跟着水涨船高,更引来骇客与钓鱼网站的觊觎,许多持有者不断有被偷盗的灾情传出,就连无聊猿官方也在劫难逃,一样面临被骇的命运。
本周一(4月25日)无聊猿(Bored Ape Yacht Club,简称BAYC)在官方Twitter上发布一则贴文,说明他们的官方Instagram被骇客攻击,该骇客骇进BAYC的Instagram帐号後利用钓鱼连结将加密货币从用户的帐号中转移出来,窃取价值数百万美元的NFT。
先前歌手周杰伦在4 月1 日在Instagram 发出限时动态表示自己持有的无聊猿NFT被钓鱼网站偷了,不只有周杰伦,从去底许多红透半边天的无聊猿被骇客锁定,并且在交易平台不断被转手,导致所有者损失数百万美元。
BAYC在官方Twitter提醒:「不要铸造任何东西、点击连结或是将你的钱包与任何网站进行连结。」因为在那之前,遭骇的BAYC官方Instagram发布了一则假贴文,声称必须从网站连结MetaMask钱包的帐号,才能够藉由空投(Airdrop)领取免费的代币。
但BAYC的公告已经来不及阻止这起窃盗事件,因为当用户将虚拟钱包和该网站连结并同意进行交易时,骇客便可以直接窃取他们钱包内的NFT,目前在OpenSea上面已经无法查看骇客的个人页面,但由於NFT去中心化的特性,还是可以从其他平台上查看其钱包内容,该骇客目前所持有的NFT总价值约为280万美元,虽然报导和推文宣称有超过50只无聊猿和变异猴被偷,但无聊猿的共同创始人Garga表示只有10只。
根据《Chainalysis》公布的加密货币犯罪报告,2021年NFT市场上的非法交易大幅成长,在2021年第4季的交易金额将近140万美元,而其中诈骗交易额也呈现翻倍成长。
《Coin Telegraph》表示虽然OpenSea的安全措施有两种─冻结偷窃的帐户和锁住被偷的NFT,但假如骇客在帐户被锁住之前就将内容转售,那麽这些保护措施其实很难发挥作用,反而有可能让不知情的买家成为收害者。
由此可见,即使有设定安全措施,但去中心化的特质也让平台很难在短时间内就做出有效的拦截措施,不但无法保障用户的权益,随着因为被偷而受限制的NFT越来越多,供给减少的NFT也将需要更多钱才能购买。
虽然近年来NFT和加密货币市场相当热门,但由於去中心化的特色让交易难以快速追踪和立即阻止诈骗交易,所以也因此被骇客盯上,像是在4月初时无聊猿的Discord伺服器曾受到骇客攻击,成功偷取了一只变异猴,知名的NFT游戏Axie Infinity日前曾被偷走价值约6.25亿美元的加密货币,这些窃盗事件也提醒着用户区块链交易的风险,操作相关交易时更应谨慎小心。
参考资料:The Block、The Verge、Coin Telegraph
责任编辑:吴秀桦…
DeFi一个月竟然被偷两次!稳定币协议Beanstalk损失1.82亿美元,创办人回应:不该要我们负责
被寄予颠覆传统金融体系厚望的去中心化金融,恐怕得先过骇客这一关。去中心化金融如今又传灾情,稳定币协议Beanstalk Farms被骇客盗走价值超过8,000万美元的加密货币,是过去一个月内,第二起Defi领域的被盗事件。
一个月两起去中心化金融被盗,Beanstalk损失超过1.82亿美元
根据估计,攻击者至少盗走了价值8,000万美元的加密货币,进而导致Beanstalk Farms损失超过1.82亿美元,造成旗下稳定币BEAN价格崩盘,从原本的1美元大跌至约0.2美元,跌幅超过80%。
当时攻击者利用闪电贷(flash loan)从AAVE等多个协议中取得约10亿美元的贷款,并利用这些资金买入Beanstalk的治理代币Stalk。闪电贷是区块链上的一种无抵押贷款服务,不过透过智能合约要求在一定时间内还款,过去也曾被用於其他去中心化金融的攻击上。
骇客利用取得的Stalk获得该协议67%的投票权,并发起两个向乌克兰捐款的BIP-18及BIP-19,其中包括了转移资金的恶意提案,最终将盗走的资金转换成24,830个以太币,并转移至隐私交易平台Tornado Cash,同时还真的向乌克兰捐赠了25万的稳定币USDC。
严格来说,这次攻击算不上骇客攻击,因为只是单纯利用系统内的漏洞,而不是破解Beanstalk Farms的程式或防护。目前该协议的智能合约已经暂停,并撤销了所有的治理权限。
受害者可能求偿无门,共同创办人:要我们负责很不恰当
最糟糕的是,在这次攻击中遭遇损失的人,可能没办法获得补偿。该协议创办人Publius坦承,由於没有创投能弥补这些损失,这个项目很可能会就此失败。
根据《CoinTelegraph》报导,有Beanstalk Farms的社区成员因此向创始团队发起声讨,认为团队应该担任更多责任,并带领这个项目继续前进,而不是单纯道歉了事。
不过Publius回应,这个协议只是一个开源软体实验,并非一个真正的业务,他和团队都没有必要为这些事情负责,「你要求我们担负责任,这真的很不恰当。」
前阵子,去中心化金融才爆出另一个遭攻击的事情,区块链游戏Axie Infinity开发商Sky Mavis在今年3月被骇客盗走价值6.25亿美元的加密货币,可说是去中心化金融史上最严重的攻击事件。
但相对於Beanstalk的作法,Sky Mavis共同创办人杰夫.泽林(Jeff Zirlin)强调,他们会继续建设去中心化金融,并保证会归还用户被盗的资产。唯一值得庆幸的是,被盗不久後他们成功从币安等投资者手中获得约1.5亿美元的融资,好弥补损失资金的用户。
资料来源:CoinDesk、CoinTelegraph
责任编辑:吴秀桦…
NFT丑闻连环爆,用户资产被盗、假货泛滥!各大平台下一步怎麽走?
NFT蔚为潮流的现在,许多企业、艺术家都开始投入相关产品,而拥有一个自己的NFT、数位资产也不再如此稀奇。然而这个新兴的领域,仍存在各式各样的难题需要解决,从仿冒品、未经授权的假货,到骇客的虎视眈眈,都为NFT产业带来不小的问题。
NFT现大规模窃盗,百万美元数位资产不翼而飞
近日就传出大规模NFT盗窃的事件,骇客利用钓鱼式网路攻击的手段,从32位用户手中窃走254个NFT,总价值据最大NFT交易平台OpenSea估计,达到170万美元(约新台币4,700万元)以上,其中甚至包括该领域非常有名的无聊猿NFT。
区块链媒体《Coindesk》指出,最初是「OpenSea智慧合约存在漏洞」的消息在社群媒体上传开,使得OpenSea赶紧介入调查究竟发生了什麽事,最终他们在声明中指出,这是一起钓鱼网路攻击。
这次攻击利用了Wyvern协议中的特性,这是一种数位资产交易的交换协议,OpenSea也是利用该协议进行交易。OpenSea执行长戴文.芬瑟(Devin Finzer)在推特上解释,受害者相当於签署了一份大部分留白的合约,而骇客则再填上自己的合约,能不花费一毛钱转移NFT的所有权。
外媒《The Verge》形容,这如同受害者签署了一张空白支票,让有心人士填上自己想要的数字,夺走他们的财产。不过OpenSea对外澄清,这次攻击并非来自平台内部,而是受害者可能在接触外部网站、陌生电子邮件时遭到钓鱼。
令人费解的是,讽刺Web 3发展的观察网站《Web3 is going just great》提到,有一名受害者莫名收到被骇客盗走的一部分NFT,以及50枚以太币(约相当於13万美元),但其余犯罪所得超过1,000枚以太币就又被转入其他的钱包。
这并非NFT领域首次出现盗窃案,今年1月美国Ross+Kramer画廊老板陶德.克莱默(Todd Kramer)就被骇客骗走价值220万美元的15个NFT,最终是OpenSea主动冻结了无聊猿等NFT的交易,才帮他找回珍贵NFT。至於这次是否会按照上次作法收场,或许有待OpenSea官方进一步的公告。
相关新闻:去年NFT市场突破400亿美元!人们疯追捧的虚拟资产,却代表被骗也没人帮你?
假货猖獗难根除,交易平台下一步怎麽走?
但骇客的觊觎绝不是NFT领域唯一的风险,另一个更为普遍的问题是假货猖獗。任何人都能随意制作NFT放上交易网站出售,但谁能确保上传的作品是自己的着作,或者得到作者的授权?
曾在去年3月,出售推特创办人杰克.多西(Jack Dorsey)第一条推文的交易平台Cent,就在上周传出已经暂停了NFT交易。他们遇上的问题包括,有人在未经许可下出售其他NFT的副本,还是有人将他人作品制作成自己的NFT等等。
Cent执行长兼创办人卡麦隆.赫贾兹(Cameron Hejazi)透露,这些问题非常严重,而且难以根绝,一本万利的情况下,人们会不断制作这些假货上架贩售,「这种状况不断发生,即使我们封锁违规帐户,但就像打地鼠一样,封锁一个就会冒出更多个出来。」
Cent已经不是主流的NFT平台,赫贾兹认为这个问题普遍存在於各大平台上。例如OpenSea先前就坦承,利用免费工具打造的NFT当中,高达80%以上都是仿冒品或有侵权问题,虽然打算限制免费用户可建立的NFT数量,却遭到用户反对而罢休。
目前OpenSea也还没提出替代方案,仅声称会利用多种办法阻止有心人士,并继续支持创作者,现在又遇上NFT窃盗的问题。而Cent很乾脆,坦承将暂时引入中心化的控管机构,希望能在去中心化解决方案问世前保护创作者的权益。
NFT的兴起吸引众多民众及企业涌入,但规范与环境都还跟不上这块走在科技最尖端的领域,势必会有越来越多的问题一一浮现,人们该如何保障自身权益、避免受到伤害,也是尝试新技术前必须预习的课题。
资料来源:Coindesk、Reuters、Kotaku
责任编辑:侯品如…
骇客侵入 Microsoft Teams 通讯软体传播恶意软体
这几年来,微软一直在推动旗下通讯服务 Microsoft Teams,尤其对企业用户来说,这款通讯软体能够在团队协作、沟通等生产力部分达到非常好的辅助效果。近日,安全研究人员警告,有些恶意人士正在侵入 Microsoft Teams 帐号以进入聊天群组中,并且向对话中的参与者传送恶意的执行档。
骇客侵入 Microsoft Teams 通讯软体传播恶意软体
每个月都有超过 2.7 亿人在 Microsoft Teams 上活动,虽然该平台在保护用户不受恶意档案滋扰的保护措施不足,还是有许多人对它抱持高度信任。近日安全研究单位 Check Point 旗下的 Avanan 研究人员发现,骇客开始在 Microsoft Teams 通讯平台的对话中偷渡内含恶意程式的执行档。
这些攻击从 1 月份开始出现,Avanan 检测到数千次攻击,Avanan 的研究人员 Carl Rogers 表示,根据现有数据中显示大多数攻击都是在美国五大湖地区的企业组织中发现,尤其是以当地媒体居多。另外 Avanan 说明,恶意人士会在聊天群组中插入一个内含木马的「User Centric」的执行档 (exe 档案),诱使用户点击运行,你甚至不须下载,只要点两下就会动作。一旦执行,该恶意软体就会将数据写入系统注册表中,在 Windows 电脑中安装 DLL …
资安报告:北韩骇客 2021 一整年偷了 4 亿美元的虚拟货币!
根据区块链资安公司 Chainalysis 的调查发现,北韩骇客在 2021 一整年里对虚拟货币平台发起了至少 6 次攻击,总共获得约值 4 亿美元的虚拟货币。
Chainalysis 表示,北韩骇客一旦入手盗来的比特币、以太币之後,就会透过一整套缓慢谨慎的洗钱程序套现。以以太链为例,北韩骇客首先会透过过去中心化交易所,将 ERC-20 Token 直接换成 ETH,然後再透过所谓的「混币器」(Mixer),用数千个以太帐户反覆交易後再试图换成比特币,再次混币後把所有比特币集中到一个新的钱包内。
不过 Chainalysis 指出,北韩骇客反而不会急着把最後这些被清洗完的比特币换成法币变现,而是等待比特币价格上涨时再试图售出。Chainalysis 表示,过去五年北韩骇客所盗取的虚拟货币总额可能上看 15 亿美元之谱。
虽然 Chainalysis 并没有透露所有北韩骇客受害者到底有哪些,但有明确指出,根据恶意软体、被盗资金流向研判,去年 8 月份日本交易所 Liquid.com 所失窃的 9700 万美元虚拟货币就是北韩骇客所为。这群骇客被外界称为「Zinc」(也有人称呼为 Lazarus、APT38),研判是有几个子团体以松散的形式组成。
Chainalysis 判断北韩骇客手上至少还有价值 1.7 亿美元的虚拟货币尚未清洗过流出市面。
核稿编辑:赵正玮…