evilcos

Alcuni recenti interrogativi sulla sicurezza, sono sicuro di avere tutte le risposte e le ho già date. Ma davvero non mi piace parlare a vuoto, i commenti sulle domande sono molto interessanti; se vuoi davvero migliorare la tua comprensione in questo ambito, puoi fare riferimento a molte fonti e riflettere...

Credi in te stesso, puoi guadagnare così tanto anche investendo in criptovalute, la sicurezza non è affatto un problema! 😊

C'è ancora qualcuno che copia direttamente e diligentemente le frasi mnemoniche in chiaro nel gestore di password?

C'è ancora qualcuno che fa screenshot delle parole mnemoniche e le mette direttamente nell'album per fare un backup?

Un ingegnere con uno stipendio di $5K gestisce $10M di attivi, e tu ti fidi di lui, perché non ha il coraggio di appropriarsene, o perché non può appropriarsene?

Se il tuo programma di scalata non ha trucchi, ma la linea proxy che hai configurato è malvagia, può attaccare direttamente Google/X/Binance/OKX con un attacco man-in-the-middle? Se sei un hacker (la persona che controlla questa linea proxy), cosa faresti?

Rivisitando la settimana scorsa, nel mondo delle criptovalute, i giocatori individuali hanno cercato il nostro aiuto in quattro casi di furto: due di oltre 1 milione di dollari, uno di oltre 2 milioni di dollari e uno di oltre 6,5 milioni di dollari.

Non parlerò molto dei piccoli, sono stanco.

Ecco un consiglio: il rischio di sicurezza è un demonio nascosto nella zona cieca della vista, non lo vedi, ma è sicuramente lì, ci sarà sempre una scena, un momento in cui questo demonio salterà fuori.

Nessuno può esserne esente, ma chiunque ha l'opportunità di migliorare notevolmente la propria resilienza/robustezza/affidabilità…

Cadere in trappole è la migliore educazione, spero che tu abbia solo inciampato in un piccolo buco.

L'incidente di furto di Cetus è stato coperto dalla fondazione Sui, e gli utenti possono attualmente recuperare la maggior parte dei fondi. Slow Mist ha anche ricevuto una donazione di 20.000 dollari da @JaceHoiX, grazie mille!🫡

Le indagini sul tracciamento degli hacker sono ancora in corso, seguiamo gli sviluppi.

Possedere Bitcoin, installare un antivirus, utilizzare un gestore di password, queste tre cose hanno in comune: sembrano tutte molto semplici, ma metterle in pratica in modo sicuro è ancora troppo difficile. Nella realtà virtuale, una delle cose più difficili è l'integrazione tra conoscenza e azione...

La posizione influisce e persino determina le emozioni e il giudizio personale; ad esempio, dopo che si verifica un furto o una truffa, il nostro punto di partenza è aiutare tempestivamente la vittima a limitare le perdite e a recuperare i danni. Potremmo unire quante più risorse possibile per affrontare la situazione, anche se questo approccio può sembrare molto centralizzato.

Rispetto coloro che difendono lo spirito di decentralizzazione, a patto che questa persona sia stata derubata e non abbia l'idea o l'intenzione di utilizzare forze centralizzate.

Le persone malvagie infrangono prima le regole; perché dovresti aiutarle a riflettere, ingannandoti e ingannando gli altri con la falsità?

Qual è il modo corretto? Se davvero vuoi difendere lo spirito di decentralizzazione in un sistema, non puoi semplicemente dire 'non essere malvagio', ma dovresti progettare un sistema che 'non può essere malvagio'. Se davvero si verifica un incidente di sicurezza, nessuno può utilizzare forze centralizzate per intervenire, o il costo di farlo è estremamente elevato. Allora anche se c'è l'idea di utilizzare forze centralizzate, non può essere attuata.

Ribadisco: questo è un bosco oscuro, impara di più sulla sicurezza per armarti, almeno puoi alzare la soglia per essere derubato.

Rivelare alcune bande di truffatori di false aziende di sicurezza:

@JascottRecovery @SHIELDHUNTER_PR @BCRescue_ @ben__ethh

Queste sono bande criminali che si spacciano per aiutare gli utenti a risolvere problemi di sicurezza come il furto di portafogli, causando poi un danno secondario agli utenti…

Comunque, questo tipo di rivelazione è una soluzione temporanea… spero che tutti non vengano derubati, e se accidentalmente lo fate, mantenete la calma e non credete facilmente a nessuno.

Un consiglio di sicurezza, se i tuoi fondi vengono rubati, è meglio rendere pubblico l'indirizzo del portafoglio (se sei preoccupato per la privacy, puoi nascondere opportunamente alcuni caratteri nel mezzo), oppure almeno imparare da questo giocatore qui sotto, che ha reso pubblico l'indirizzo dell'hacker.

Perché c'è questo consiglio? È perché un altro utente derubato ha avuto l'intervento delle forze dell'ordine; durante le indagini, hanno scoperto la fonte dei fondi dell'indirizzo dell'hacker di questo giocatore, e stavano per continuare a indagare... Ho escluso il sospetto di questo giocatore attraverso vari dati storici, altrimenti sarebbero potuti sorgere problemi.

Alcuni hacker di oggi amano particolarmente incastrare gli altri; in quel momento, non dovrai affrontare solo il dolore di avere i fondi rubati, ma anche la possibile cooperazione con le indagini delle forze dell'ordine... Essere considerato un sospettato non è affatto piacevole...

Un altro caso di furto di mnemonic di piccoli gruppi/chiavi private è emerso, la causa della fuga è sconosciuta, l'indirizzo dell'hacker è:
0x9AB593baC174B4B792be8482b760Ce632d16392a

Attualmente, i profitti non sono molti, ci sono quasi 200 indirizzi di portafogli rubati, ci sono due vittime che cercano aiuto, come mostrato, questi ENS e Twitter sono utenti rubati. Durante le feste, la sicurezza prima di tutto...

cc @MistTrack_io @SlowMist_Team

Web3/Crypto sicurezza quadro due immagini, ho iniziato a disegnare nel 2018, questa è l'ultima versione, se si desidera espandere il contenuto temo che sarà molto, così tanto che, per quanto riguarda la quantità, si prega di confrontare autonomamente il framework ATT&CK (prospettiva degli attacchi)…

Noi @SlowMist_Team ci concentriamo sulla sicurezza complessiva, non è solo phishing quotidiano😱

Noi @MistTrack_io siamo attualmente in fase di test del nostro MCP, l'esperienza finora è abbastanza buona, ma ci sono alcuni requisiti:

1 Devi avere un client che supporti MCP, come Claude/Cursor, riferimento: https://t.co/mIGFaQflg2
2 Hai bisogno della chiave API di MistTrack, è a pagamento: https://t.co/sEN6HkgYT4

Poi, puoi fare richieste a questo client AI integrato con MistTrack MCP usando il linguaggio naturale.

L'analisi dei rischi e il monitoraggio sulla blockchain diventeranno più semplici, questo è un nostro piccolo passo, ma un grande passo per il futuro dell'analisi della sicurezza nel Crypto.😃

Indirizzo open source: https://t.co/rJECN2R5th
https://t.co/IsCCKMNx8c indirizzo:

⚠️Uno screenshot inviato da un giocatore, ma lui si fida di Chrome, clicca "sì, continua" e poi entra nel sito di phishing falso @ChangeNOW_io (nota la lettera e nello screenshot, ho menzionato questo tipo di phishing Punycode nel manuale nero), e poi ha perso oltre 20.000 dollari di asset...

Questo è il problema di Chrome, il meccanismo di raccomandazione non funziona bene, ha raccomandato un sito di phishing agli utenti... l'utente stava cercando di visitare il sito legittimo...😭

Monero 门罗币 questo cinese è stato tradotto da chi?

🔥L'uso di EIP-7702 è attivo, questi Indirizzi Delegati devono resistere, se il vostro codice di contratto intelligente (a parte i gruppi di phishing e simili) ha problemi, gli utenti ne soffriranno...

Recentemente, alcuni attori o progetti influenti nel settore delle criptovalute sono stati colpiti da attacchi di phishing tramite falsi software per Zoom. Ci sono alcuni dettagli che sono particolarmente "pericolosi" e che è importante tenere a mente:

1/ I link di Zoom che si vedono su Telegram/X sembrano veri domini ufficiali, ma in realtà sono stati falsificati con piccoli trucchi. Cliccandoci sopra, non porteranno mai al dominio ufficiale (ricorda https://t.co/yC8gGpF4gJ e https://t.co/RxetCoPUh4), questa è una cosa da tenere particolarmente a mente.

2/ Le persone che ti attirano a scaricare falsi software per Zoom sono spesso abili nel loro discorso, facendoti credere che non possano essere falsi. Un punto chiave è che le persone che vedrai in video durante la riunione sono in realtà create con deepfake... Non c'è bisogno di dubitare, nell'era dell'IA la falsificazione di video e audio può sembrare molto realistica...

3/ Una volta controllato il computer target, si aprono vari attacchi successivi, non limitati ai diritti già esistenti sul computer target o ai fondi. Se si tratta di un computer di un tecnico con diritti su piattaforme cloud, la situazione può diventare ancora peggiore...

Se ti trovi di fronte a questo tipo di minaccia e hai bisogno di aiuto, puoi contattarci. Qui stiamo solo usando Zoom come esempio, ci sono molti altri software per riunioni con nomi strani, quindi fai attenzione.

😵‍💫Ogni volta che ci sono festività, ci sono molti problemi...Ieri era relativamente tranquillo, oggi ci sono già stati tre furti, due dei quali sono legati a truffe su Telegram. Gli account di conoscenti sono stati hackerati, e i truffatori hanno orchestrato attentamente la situazione in base al contesto delle conversazioni, le registrazioni vocali inviate sono anche simulate (ora ci sono alcuni strumenti di intelligenza artificiale molto pratici che possono simulare voci storiche)...Non si può fidare solo di una fonte, quando si tratta di denaro, è assolutamente necessario stabilire un altro meccanismo di verifica di una fonte affidabile...