evilcos

最近的一些安全灵魂拷问，我肯定都有答案的，而且答案也都给过。但我真不喜欢废话，问题的评论区很精彩，你真的想提高这方面的认知可以多参考、多琢磨...

相信自己，炒币都可以赚的那么多，安全绝对没问题！😊

Hiện nay còn ai sẽ trực tiếp sao lưu cụm từ ghi nhớ rõ ràng vào trình quản lý mật khẩu không?

现在还有人截图助记词直接丢相册做备份的？

Một kỹ sư với mức lương $5K quản lý tài sản trị giá $10M, bạn tin anh ta, là vì anh ta không dám chiếm dụng, hay vì anh ta không thể chiếm dụng?

Nếu chương trình thang máy của bạn không có mánh khóe, nhưng đường truyền proxy bạn cấu hình lại có ác ý, liệu có thể tấn công trung gian trực tiếp vào Google/X/Binance/OKX của bạn không? Nếu bạn là hacker (người kiểm soát đường truyền proxy này), bạn sẽ làm gì?

Nhìn lại, trong tuần này, trong số các sự kiện bị đánh cắp mà các cá nhân trong thị trường tiền ảo tìm kiếm sự giúp đỡ của chúng tôi, có hai sự kiện lớn, trên 1 triệu đô la Mỹ, một sự kiện trên 2 triệu đô la Mỹ, và một sự kiện trên 6.5 triệu đô la Mỹ.

Những sự kiện nhỏ thì không cần nói nhiều, thật mệt mỏi.

Ở đây tôi chia sẻ một kinh nghiệm: Rủi ro an toàn là con quỷ ẩn nấp trong vùng mù tầm nhìn, bạn không thể nhìn thấy, nhưng chắc chắn nó đang ở đó, luôn có một tình huống, một khoảnh khắc, con quỷ này sẽ nhảy ra.

Không ai có thể thoát khỏi, nhưng bất kỳ ai cũng có cơ hội, đều có thể nâng cao đáng kể sự kiên cường / sức mạnh / độ tin cậy của mình...

Vấp ngã là bài học tốt nhất, hy vọng bạn chỉ vấp phải một vài cái hố nhỏ.

Sau khi sự kiện bị đánh cắp của Cetus được quỹ Sui bảo lãnh, người dùng hiện tại có thể lấy lại hầu hết số tiền. Chậm Sương cũng đã nhận được 20.000 đô la từ cá nhân @JaceHoiX, xin cảm ơn rất nhiều! 🫡

Việc theo dõi hacker vẫn đang tiếp tục, hãy chờ xem diễn biến tiếp theo.

Sở hữu Bitcoin, cài đặt phần mềm diệt virus, sử dụng trình quản lý mật khẩu, ba điều này có điểm chung là: nhìn thì có vẻ rất đơn giản, nhưng để thực hiện một cách chắc chắn thì vẫn còn rất khó. Một trong những điều khó nhất trong thế giới ảo là sự nhất quán giữa kiến thức và hành động...

Lập trường ảnh hưởng thậm chí quyết định cảm xúc và phán đoán cá nhân, chẳng hạn như sau khi xảy ra sự kiện bị trộm/bị lừa, điểm xuất phát của chúng ta là kịp thời giúp nạn nhân hạn chế tổn thất và thu hồi thiệt hại, chúng ta có thể liên kết càng nhiều nguồn lực càng tốt để ứng phó, dù cho hành động này có vẻ rất tập trung.

Tôi tôn trọng những người bảo vệ tinh thần phi tập trung, miễn là người đó bị trộm, họ sẽ không có ý nghĩ hoặc hành động sử dụng sức mạnh tập trung.

Những kẻ xấu trước hết phá vỡ quy tắc, bạn còn giúp họ suy nghĩ, nhất định phải dùng giả nhân giả nghĩa để đánh lừa chính mình và đánh lừa người khác?

Cách làm đúng là gì? Một hệ thống nếu bạn thực sự muốn bảo vệ tinh thần phi tập trung, thì bạn không thể chỉ kêu gọi don't be evil (đừng làm điều ác) mà nên thiết kế thành can't be evil (không thể làm điều ác). Nếu thật sự xảy ra sự cố an ninh, không ai có thể sử dụng sức mạnh tập trung để can thiệp, hoặc nói cách khác, chi phí để sử dụng rất cao. Thế thì ngay cả khi có ý nghĩ sử dụng sức mạnh tập trung, cũng không thể thực hiện được.

Vẫn câu đó, đây là một khu rừng tối, hãy học thêm kiến thức an toàn để trang bị cho bản thân, ít nhất có thể nâng cao ngưỡng bị tấn công của mình.

Vạch trần một số băng nhóm lừa đảo giả danh công ty an ninh:

@JascottRecovery @SHIELDHUNTER_PR @BCRescue_ @ben__ethh

Đây đều là những băng nhóm tội phạm lợi dụng việc có thể giúp người dùng giải quyết các vấn đề an ninh như bị đánh cắp ví, sau đó khiến người dùng bị tổn thương lần nữa…

Dù sao đi nữa, việc tôi vạch trần này chỉ là giải quyết phần ngọn chứ không phải gốc rễ… Hy vọng mọi người không bị đánh cắp, nếu không may bị đánh cắp, cũng nhất định phải bình tĩnh, đừng dễ dàng tin tưởng bất kỳ ai nữa.

Một lời khuyên an toàn, nếu bạn bị đánh cắp tài sản, địa chỉ ví tốt nhất nên được công khai (nếu lo ngại về quyền riêng tư, có thể che đi một số ký tự ở giữa), hoặc ít nhất hãy học hỏi từ người chơi dưới đây, người đã công khai địa chỉ của hacker.

Tại sao lại có lời khuyên này? Bởi vì một người dùng khác bị đánh cắp, vụ án của họ có sự can thiệp của cơ quan thi hành pháp luật, trong quá trình điều tra đã phát hiện ra nguồn gốc tài sản của hacker là người chơi này, họ gần như đã tiếp tục điều tra... Tôi đã loại trừ nghi ngờ về người chơi này thông qua nhiều dữ liệu lịch sử, nếu không thì có thể đã gặp rắc rối.

Hiện nay, một số hacker đặc biệt thích đổ lỗi, bạn sẽ không chỉ chịu nỗi đau của việc bị đánh cắp tài sản, mà còn có thể phải phối hợp với cuộc điều tra của cơ quan thi hành pháp luật sau đó... Bị coi là nghi phạm cũng không phải là điều dễ chịu...

Một sự cố rò rỉ từ khóa ghi nhớ/khóa riêng của một nhóm nhỏ khác xuất hiện, lý do rò rỉ vẫn chưa biết, địa chỉ hacker là:
0x9AB593baC174B4B792be8482b760Ce632d16392a

Hiện tại thấy lợi nhuận không nhiều, địa chỉ ví bị đánh cắp gần 200 cái, có hai nạn nhân đang tìm kiếm sự giúp đỡ, như trong hình những ENS và Twitter này đều là người dùng bị đánh cắp. Dịp lễ lớn, mọi người an toàn là trên hết...

cc @MistTrack_io @SlowMist_Team

Bản đồ an toàn Web3/Crypto, tôi bắt đầu vẽ từ năm 2018, đây là phiên bản mới nhất, nếu muốn mở rộng nội dung có lẽ sẽ rất nhiều, nhiều đến mức nào, xin hãy tự so sánh với khung ATT&CK (góc nhìn tấn công)…

Chúng tôi @SlowMist_Team chú trọng đến an toàn tổng thể, không phải chỉ là những vụ lừa đảo hàng ngày 😱

Chúng tôi @MistTrack_io đang trong quá trình thử nghiệm MCP của chính mình, hiện tại trải nghiệm khá tốt, nhưng có một số yêu cầu:

1 Bạn cần có các client hỗ trợ MCP như Claude/Cursor, tham khảo: https://t.co/mIGFaQflg2
2 Bạn cần có MistTrack API Key, cần phải trả phí: https://t.co/sEN6HkgYT4

Sau đó, bạn có thể yêu cầu AI client tích hợp MistTrack MCP bằng ngôn ngữ tự nhiên.

Phân tích rủi ro và theo dõi trên chuỗi sẽ trở nên đơn giản hơn, đây là một bước nhỏ của chúng tôi, nhưng là một bước lớn trong công việc phân tích an toàn Crypto trong tương lai.😃

Địa chỉ mã nguồn mở: https://t.co/rJECN2R5th
https://t.co/IsCCKMNx8c địa chỉ:

⚠️Một người chơi đã gửi ảnh chụp màn hình, nhưng anh ấy tin tưởng Chrome, nhấn "Có, tiếp tục", sau đó đã vào trang web giả mạo @ChangeNOW_io (chú ý đến chữ cái e trong ảnh chụp màn hình, tôi đã đề cập đến phương pháp lừa đảo Punycode trong sổ tay đen), sau đó đã bị đánh cắp tài sản hơn 20.000 đô la...

Đây chính là cái bẫy của Chrome, cơ chế gợi ý chưa được làm tốt, đã gợi ý cho người dùng một trang web lừa đảo... Người dùng thực sự đã truy cập vào trang web thật...😭

Monero 门罗币 này được dịch bởi ai?

🔥EIP-7702 的使用在活跃了，这些 Delegated Address 要挺住，你们（钓鱼等团伙例外）的智能合约代码出问题，用户就惨了...

Gần đây, một số dự án hoặc cá nhân có ảnh hưởng trong lĩnh vực tiền mã hóa đã bị tấn công bằng phần mềm họp giả Zoom. Có một số chi tiết nhỏ cần phải chú ý:

1/ Liên kết Zoom trong Telegram/X nhìn có vẻ là tên miền chính thức, nhưng thực tế là bị lừa đảo thông qua một số thủ thuật, khi nhấp vào chắc chắn sẽ không phải là tên miền chính thức (hãy ghi nhớ https://t.co/yC8gGpF4gJ và https://t.co/RxetCoPUh4), điểm này cần đặc biệt chú ý.

2/ Những người dụ dỗ bạn tải phần mềm họp giả Zoom thường là những người có khả năng ăn nói rất tốt, khiến bạn cảm thấy không thể nào là giả, và một điểm quan trọng là những người tham gia hội nghị mà bạn thấy lúc đó, video thực ra là bị làm giả bằng deepfake... đừng nghi ngờ, thời đại AI cho phép video và giọng nói giả mạo rất chân thực...

3/ Sau khi kiểm soát máy tính mục tiêu, sẽ có nhiều kiểu tấn công khác phát sinh, không chỉ giới hạn ở quyền hạn và tài chính có sẵn trên máy tính mục tiêu, nếu là máy tính của kỹ thuật viên, có quyền truy cập vào các nền tảng đám mây liên quan, thì tình hình sẽ còn tồi tệ hơn...

Nếu bạn gặp phải những mối đe dọa như vậy và cần sự giúp đỡ, hãy liên hệ với chúng tôi. Ở đây chỉ là lấy Zoom làm ví dụ, các phần mềm họp khác có tên gọi rất đa dạng, chỉ cần chú ý nhiều hơn là được.

😵‍💫Mỗi khi có kỳ nghỉ thì quái vật lại nhiều... Hôm qua còn khá yên bình, hôm nay đã xảy ra ba vụ trộm, trong đó hai vụ liên quan đến lừa đảo trên Telegram, tài khoản quen biết bị đánh cắp, kẻ lừa đảo dựa vào bối cảnh trong các cuộc trò chuyện để dàn dựng kế hoạch, các đoạn ghi âm gửi đi cũng được mô phỏng lại (hiện nay có một số công cụ AI rất tiện lợi để mô phỏng dựa trên giọng nói lịch sử)... Không thể chỉ tin một nguồn, liên quan đến tiền bạc, nhất định phải thiết lập một cơ chế xác minh nguồn đáng tin cậy khác...