evilcos
0 Obserwowani
2 Obserwujący
2 Polubione
0 Udostępnione
Wszystko
Filmy
Tłumacz
最近的一些安全灵魂拷问,我肯定都有答案的,而且答案也都给过。但我真不喜欢废话,问题的评论区很精彩,你真的想提高这方面的认知可以多参考、多琢磨...
相信自己,炒币都可以赚的那么多,安全绝对没问题!😊
相信自己,炒币都可以赚的那么多,安全绝对没问题!😊
Tłumacz
现在还有人会把明文助记词直接地乖乖地备份在密码管理器里?
Tłumacz
现在还有人截图助记词直接丢相册做备份的?
Tłumacz
一个月薪 $5K 的工程师保管着 $10M 资产,然后你相信他,是因为他不敢挪用,还是因为他没办法挪用?
Zobacz oryginał
Jeśli twój program do wspinaczki nie ma oszustw, ale skonfigurowana linia proxy działa na twoją niekorzyść, czy może przeprowadzić atak typu man-in-the-middle na twoje Google/X/Binance/OKX? Jeśli jesteś hakerem (osobą kontrolującą tę linię proxy), co byś zrobił?
Tłumacz
回顾了下,这周,币圈个人玩家寻求我们帮助的被盗事件里,大额的,超 100 万美金的两个,超 200 万美金的一个,超 650 万美金的一个。
小额的就不多说了,麻了。
这里分享个心得:安全风险是躲在视野盲区里的魔鬼,你看不到,但一定在,总有某个场景,某个时刻,这个魔鬼就会跳出来。
没人可以幸免,但任何人都有机会、都可以大大提升自己的韧性/健壮性/可靠性…
踩坑是最好的教育,希望你只是踩了个把小坑。
小额的就不多说了,麻了。
这里分享个心得:安全风险是躲在视野盲区里的魔鬼,你看不到,但一定在,总有某个场景,某个时刻,这个魔鬼就会跳出来。
没人可以幸免,但任何人都有机会、都可以大大提升自己的韧性/健壮性/可靠性…
踩坑是最好的教育,希望你只是踩了个把小坑。
Tłumacz
如果你的钱包历史记录/消息提醒等出现如视频这样的历史记录,不用紧张,你的助记词/私钥没有泄露,也没异常授权。
出现这类交易的技术原理有两种:
1/ 假 Token 合约代码里的事件日志伪造(如图2/3/4),由于 Token 本身就是假的,合约代码就可以控制输出的日志细节,钱包/区块浏览器会基于日志细节做出相关的消息通知及历史记录。这是基本原理,不展开解释,记住就好。这个特性被假 Token 利用就可能让用户恐慌,以为钱包出现了什么异常,这个时候就要求钱包做好风险提醒了,如视频及图所示提醒还是挺明显的。
...
出现这类交易的技术原理有两种:
1/ 假 Token 合约代码里的事件日志伪造(如图2/3/4),由于 Token 本身就是假的,合约代码就可以控制输出的日志细节,钱包/区块浏览器会基于日志细节做出相关的消息通知及历史记录。这是基本原理,不展开解释,记住就好。这个特性被假 Token 利用就可能让用户恐慌,以为钱包出现了什么异常,这个时候就要求钱包做好风险提醒了,如视频及图所示提醒还是挺明显的。
...
Zobacz oryginał
Po incydencie kradzieży Cetus, po wsparciu fundacji Sui, użytkownicy mogą obecnie odzyskać większość swoich funduszy. SlowMist również otrzymało 20 tysięcy dolarów jako darowiznę od @JaceHoiX, bardzo dziękujemy! 🫡
Śledztwo w sprawie hakerów wciąż trwa, czekamy na dalszy rozwój sytuacji.
Śledztwo w sprawie hakerów wciąż trwa, czekamy na dalszy rozwój sytuacji.
Zobacz oryginał
Posiadanie bitcoina, instalowanie oprogramowania antywirusowego, korzystanie z menedżera haseł - wspólną cechą tych trzech rzeczy jest to, że wydają się bardzo proste, ale wdrożenie ich w praktyce jest zbyt trudne. W wirtualnym świecie najtrudniejszym rodzajem jedności wiedzy i działania...
Zobacz oryginał
Stanowisko wpływa, a nawet decyduje o emocjach i osądach jednostki, na przykład po zdarzeniu kradzieży/oszustwa, naszym punktem wyjścia jest jak najszybsza pomoc ofiarom w ograniczeniu strat i odzyskaniu utraconych dóbr, możemy połączyć jak najwięcej zasobów, aby stawić czoła sytuacji, nawet jeśli takie działanie wydaje się bardzo scentralizowane.
Szanuję tych, którzy bronią ducha decentralizacji, pod warunkiem, że ta osoba została okradziona i nie ma zamiaru ani zamiaru używać siły scentralizowanej.
Złoczyńcy łamią zasady, a ty jeszcze im w tym pomagasz, musisz oszukiwać siebie i innych za pomocą obłudy?
Jakie jest właściwe działanie? Jeśli naprawdę chcesz bronić ducha decentralizacji, nie możesz tylko krzyczeć don't be evil (nie bądź zły), ale powinieneś to zaprojektować jako can't be evil (nie może być zły). Jeśli naprawdę wystąpi jakieś zdarzenie związane z bezpieczeństwem, nikt nie może użyć siły scentralizowanej, aby interweniować, lub koszty takiego działania są niezwykle wysokie. Wtedy nawet jeśli ktoś ma takie zamiary, nie będzie w stanie ich zrealizować.
Cóż, to jest ciemny las, ucz się więcej o bezpieczeństwie, aby lepiej się uzbroić, przynajmniej możesz podnieść próg, aby stać się ofiarą.
Szanuję tych, którzy bronią ducha decentralizacji, pod warunkiem, że ta osoba została okradziona i nie ma zamiaru ani zamiaru używać siły scentralizowanej.
Złoczyńcy łamią zasady, a ty jeszcze im w tym pomagasz, musisz oszukiwać siebie i innych za pomocą obłudy?
Jakie jest właściwe działanie? Jeśli naprawdę chcesz bronić ducha decentralizacji, nie możesz tylko krzyczeć don't be evil (nie bądź zły), ale powinieneś to zaprojektować jako can't be evil (nie może być zły). Jeśli naprawdę wystąpi jakieś zdarzenie związane z bezpieczeństwem, nikt nie może użyć siły scentralizowanej, aby interweniować, lub koszty takiego działania są niezwykle wysokie. Wtedy nawet jeśli ktoś ma takie zamiary, nie będzie w stanie ich zrealizować.
Cóż, to jest ciemny las, ucz się więcej o bezpieczeństwie, aby lepiej się uzbroić, przynajmniej możesz podnieść próg, aby stać się ofiarą.
Tłumacz
揭露一些假冒安全公司的骗子团伙:
@JascottRecovery @SHIELDHUNTER_PR @BCRescue_ @ben__ethh
这些都是打着可以帮用户解决钱包被盗等安全问题,然后让用户被二次伤害的犯罪团伙…
不过吧,我这种揭露是治标不治本的…希望大家不要被盗,如果不小心被盗了,也务必冷静,不要再轻易相信任何人。
@JascottRecovery @SHIELDHUNTER_PR @BCRescue_ @ben__ethh
这些都是打着可以帮用户解决钱包被盗等安全问题,然后让用户被二次伤害的犯罪团伙…
不过吧,我这种揭露是治标不治本的…希望大家不要被盗,如果不小心被盗了,也务必冷静,不要再轻易相信任何人。
Zobacz oryginał
Bezpieczna rada: jeśli twoje środki zostały skradzione, najlepiej ujawnić adres portfela (jeśli obawiasz się o prywatność, możesz odpowiednio ukryć niektóre znaki w środku), lub przynajmniej zapoznać się z poniższym graczem, który ujawnił adres hakera.
Dlaczego ta rada jest ważna? Ponieważ inny użytkownik, który został okradziony, miał sprawę z interwencją organów ścigania, a podczas śledztwa odkryto źródło funduszy hakera, którym był ten gracz, który niemalże został dalej zbadany... Wykluczyłem tego gracza z podejrzeń na podstawie różnych danych historycznych, w przeciwnym razie mogło być naprawdę źle.
Niektórzy współcześni hakerzy szczególnie lubią przypisywać winę innym, więc możesz nie tylko cierpieć z powodu kradzieży środków, ale także potencjalnie musieć współpracować z dalszymi dochodzeniami organów ścigania... bycie traktowanym jako podejrzany również nie jest przyjemne...
Dlaczego ta rada jest ważna? Ponieważ inny użytkownik, który został okradziony, miał sprawę z interwencją organów ścigania, a podczas śledztwa odkryto źródło funduszy hakera, którym był ten gracz, który niemalże został dalej zbadany... Wykluczyłem tego gracza z podejrzeń na podstawie różnych danych historycznych, w przeciwnym razie mogło być naprawdę źle.
Niektórzy współcześni hakerzy szczególnie lubią przypisywać winę innym, więc możesz nie tylko cierpieć z powodu kradzieży środków, ale także potencjalnie musieć współpracować z dalszymi dochodzeniami organów ścigania... bycie traktowanym jako podejrzany również nie jest przyjemne...
Zobacz oryginał
Kolejny przypadek wycieku i kradzieży fraz pamięciowych/prywatnych kluczy w małej grupie, przyczyna wycieku nieznana, adres hakera to:
0x9AB593baC174B4B792be8482b760Ce632d16392a
Na razie zyski są niewielkie, skradzionych adresów portfeli jest blisko 200, a poszkodowanych, którzy zwracają się o pomoc, jest dwóch. Jak na zdjęciu, te ENS i Twittery to skradzione konta. W okresie świątecznym, bezpieczeństwo przede wszystkim...
cc @MistTrack_io @SlowMist_Team
0x9AB593baC174B4B792be8482b760Ce632d16392a
Na razie zyski są niewielkie, skradzionych adresów portfeli jest blisko 200, a poszkodowanych, którzy zwracają się o pomoc, jest dwóch. Jak na zdjęciu, te ENS i Twittery to skradzione konta. W okresie świątecznym, bezpieczeństwo przede wszystkim...
cc @MistTrack_io @SlowMist_Team
Zobacz oryginał
Web3/Krypto ramy bezpieczeństwa dwa obrazy, które zacząłem rysować w 2018 roku, to najnowsza wersja. Jeśli chcesz rozwijać treść, to prawdopodobnie będzie tego bardzo dużo, do jakiego stopnia, proszę samodzielnie porównać z ramami ATT&CK (z perspektywy ataku)...
My @SlowMist_Team skupiamy się na całkowitym bezpieczeństwie, a nie na codziennym phishingu😱
My @SlowMist_Team skupiamy się na całkowitym bezpieczeństwie, a nie na codziennym phishingu😱
Tłumacz
我们 @MistTrack_io 自己的 MCP 上线测试中,目前体验效果还不错,使用有门槛:
1 你本地得有 Claude/Cursor 等支持 MCP 的客户端,参考:https://t.co/mIGFaQflg2
2 你需要 MistTrack API Key,需要付费:https://t.co/sEN6HkgYT4
然后,你就可以用自然语言给这个整合了 MistTrack MCP 的 AI 客户端提需求了。
链上风险及追踪分析将会变更更简单,这是我们的一小步,也是未来 Crypto 安全分析工作的一大步。😃
开源地址:https://t.co/rJECN2R5th
https://t.co/IsCCKMNx8c 地址:
1 你本地得有 Claude/Cursor 等支持 MCP 的客户端,参考:https://t.co/mIGFaQflg2
2 你需要 MistTrack API Key,需要付费:https://t.co/sEN6HkgYT4
然后,你就可以用自然语言给这个整合了 MistTrack MCP 的 AI 客户端提需求了。
链上风险及追踪分析将会变更更简单,这是我们的一小步,也是未来 Crypto 安全分析工作的一大步。😃
开源地址:https://t.co/rJECN2R5th
https://t.co/IsCCKMNx8c 地址:
Zobacz oryginał
⚠️Zrzut ekranu przesłany przez jednego gracza, który zaufał Chrome, kliknął "Tak, kontynuuj" i wszedł na fałszywą stronę phishingową @ChangeNOW_io (zwróć uwagę na literę e na zrzucie ekranu, wspomniałem o metodzie phishingowej Punycode w czarnym podręczniku), a następnie stracił ponad 20 tysięcy dolarów...
To jest pułapka Chrome, mechanizm rekomendacji nie działa poprawnie, poleca użytkownikom strony phishingowe... użytkownik pierwotnie chciał odwiedzić prawdziwą stronę...😭
To jest pułapka Chrome, mechanizm rekomendacji nie działa poprawnie, poleca użytkownikom strony phishingowe... użytkownik pierwotnie chciał odwiedzić prawdziwą stronę...😭
Tłumacz
Monero 门罗币这个中文是哪位翻译的?
Tłumacz
🔥EIP-7702 的使用在活跃了,这些 Delegated Address 要挺住,你们(钓鱼等团伙例外)的智能合约代码出问题,用户就惨了...
Zobacz oryginał
Ostatnio fałszywe oprogramowanie do konferencji Zoom ma pewien wpływ na projekty lub osoby w kręgu kryptowalut, istnieje kilka szczegółów, które mogą być dość "mocne", dlatego warto ponownie przypomnieć o nich:
1/ Linki do Zooma, które wyglądają na prawdziwe oficjalne domeny w Telegramie/X, w rzeczywistości są oszukujące i sfałszowane przy użyciu pewnych sztuczek; po kliknięciu nie będą prowadzić do oficjalnej domeny (zapamiętaj https://t.co/yC8gGpF4gJ oraz https://t.co/RxetCoPUh4), na to należy szczególnie uważać.
2/ Osoby, które nakłaniają cię do pobrania fałszywego Zooma, to zazwyczaj tacy, którzy mają szczególnie dobre umiejętności perswazji, przez co będziesz miał trudności w uwierzeniu, że to może być fałszywe; kluczowym punktem w tej sytuacji jest to, że osoby, które widzisz na wideo, są w rzeczywistości sfałszowane za pomocą deepfake... nie ma co wątpić, w erze AI fałszywe wideo i dźwięk mogą być bardzo realistyczne...
3/ Po przejęciu kontroli nad docelowym komputerem, następuje wiele różnych ataków, które nie ograniczają się do istniejących na nim uprawnień i funduszy; jeśli to komputer technika, posiadający uprawnienia do odpowiednich platform chmurowych, sytuacja może być jeszcze gorsza...
Jeśli napotkasz tego rodzaju zagrożenia, możesz się z nami skontaktować. To tylko przykład z Zoomem, inne programy do konferencji mają różne dziwne nazwy, wystarczy być czujnym.
1/ Linki do Zooma, które wyglądają na prawdziwe oficjalne domeny w Telegramie/X, w rzeczywistości są oszukujące i sfałszowane przy użyciu pewnych sztuczek; po kliknięciu nie będą prowadzić do oficjalnej domeny (zapamiętaj https://t.co/yC8gGpF4gJ oraz https://t.co/RxetCoPUh4), na to należy szczególnie uważać.
2/ Osoby, które nakłaniają cię do pobrania fałszywego Zooma, to zazwyczaj tacy, którzy mają szczególnie dobre umiejętności perswazji, przez co będziesz miał trudności w uwierzeniu, że to może być fałszywe; kluczowym punktem w tej sytuacji jest to, że osoby, które widzisz na wideo, są w rzeczywistości sfałszowane za pomocą deepfake... nie ma co wątpić, w erze AI fałszywe wideo i dźwięk mogą być bardzo realistyczne...
3/ Po przejęciu kontroli nad docelowym komputerem, następuje wiele różnych ataków, które nie ograniczają się do istniejących na nim uprawnień i funduszy; jeśli to komputer technika, posiadający uprawnienia do odpowiednich platform chmurowych, sytuacja może być jeszcze gorsza...
Jeśli napotkasz tego rodzaju zagrożenia, możesz się z nami skontaktować. To tylko przykład z Zoomem, inne programy do konferencji mają różne dziwne nazwy, wystarczy być czujnym.
Zobacz oryginał
😵💫Co wakacje, to i demony... Wczoraj było stosunkowo spokojnie, dzisiaj już trzy przypadki kradzieży, z których dwa dotyczą oszustw związanych z Telegramem, konto znanego użytkownika zostało skradzione, oszuści starannie przygotowali pułapkę na podstawie kontekstu rozmowy, a wysłane nagrania dźwiękowe są również symulowane (teraz niektóre narzędzia AI są bardzo wygodne do symulacji na podstawie historycznych nagrań)... Nie można ufać tylko jednemu źródłu, w przypadku funduszy należy koniecznie ustanowić inny mechanizm weryfikacji zaufanego źródła...
Zaloguj się, aby odkryć więcej treści