深圳零时科技有限公司(简称:零时科技),公司成立于2018年11月,是一家专注于区块链生态安全的实战创新型网络安全企业。团队扎根区块链安全与应用技术研究,结合丰富的安全攻防实战经验和人工智能数据分析处理,为用户提供区块链安全漏洞风险检测、安全审计、安全防御、资产追溯以及企业级区块链应用创新解决方案。
现在,零时科技区块链安全100问已正式上线。通过通俗易懂的语言,为大家讲解区块链行业知识和区块链应用中存在的安全问题,让更多人了解区块链及其安全性。
当前区块链技术和应用正处于快速发展的初级阶段,面临着多种多样的安全风险。从区块链生态应用的安全,到智能合约安全、共识机制安全和底层基础组件的安全性,安全问题分布广泛且危险性较高。这对生态体系、安全审计、技术架构、隐私数据保护和基础设施的全局发展提出了全新的考验。
“伪装客服骗取私钥”
1. 攻击者伪装为客户潜伏在社群中 2. 当有用户出现转账或者提取收益求助时,攻击者及时联系用户协助其处理 3. 通过耐心的解答,发送伪装的专业工单系统,让用户输入助记词解决其交易异常 4. 攻击者拿到私钥后盗取资产,拉黑用户
“扫描恶意二维码被盗”
1. 攻击者将预先准备好的恶意二维码发送给用户; 2. 攻击者诱导用户使用钱包扫描二维码进行小额测试转账; 3. 用户输入小额或者指定金额后,确认转账交易(实际运行的是用户approve授权给攻击者USDT的过程); 4. 随后用户钱包大量USDT丢失(攻击者调用TransferFrom转走用户USDT)。
“贪小便宜,随意领取空投被盗”
1. 攻击者伪造成各种交易平台、DeFi、NFT等区块链项目; 2. 攻击者通过媒体社群发起可明显薅羊毛的空投活动; 3. 攻击者诱导用户使用钱包扫描二维码领取空投; 4. 用户扫码后点击领取空投(其实也是用户approve授权给攻击者USDT的过程); 5. 随后受害者账户大量USDT被转走(攻击者调用TransferFrom转走用户USDT)。
“在线云平台账号被盗”
多数人将秘钥/助记词通过截屏、拍照或者拷贝粘贴,然后同步保存在云端。攻击者会通过攻击这些云端平台账号,从而盗取私钥/助记词。目前零时科技安全团队已经收到大量用户反馈称将私钥/助记词保存在网盘或者笔记中,由于平台账号被盗,导致钱包资产被盗。
“热钱包服务器被攻击”
很多区块链应用都会使用热钱包,其中存有大量数字资产。由于热钱包服务器未进行安全加固或者运维不当,安全意识缺失,导致热钱包服务器被黑客攻击,进而导致热钱包中的数字资产被盗,甚至通过热钱包服务器作为跳板
