针对Electrum比特币钱包的新攻击

这个聪明:

攻击的工作原理:

  • 攻击者在Electrum钱包网络中添加了数十台恶意服务器。
  • 合法电子钱包的用户发起比特币交易。
  • 如果事务到达其中一个恶意服务器,这些服务器会回复一条错误消息,提醒用户从恶意网站(github repo)下载钱包应用程序更新。
  • 用户单击该链接并下载恶意更新.
  • 当用户打开恶意Electrum钱包时,应用程序要求用户输入一个双因素认证(2FA)代码。这是一面红旗,因为这些2FA代码只在发送资金之前被请求,钱包启动时也不是这样。
  • 恶意的Electrum钱包使用2FA代码窃取用户的资金并将其转移到攻击者的比特币地址.

这里的问题是,允许Electrum服务器在用户钱包内触发带有自定义文本的弹出窗口。

发表于1月7日,2019年6点13分•26日评188滚球网站论

188滚球网站评论

1月7日,2019年7:06 AM

有趣的是,额外出现的服务器会提前被注意到,在实际攻击发生前的一到两周里,有很多关于他们为什么会分崩离析以及他们是否打算做任何恶意的猜测。大多数人似乎认为,他们只是在那里试图收集数据去匿名交易和持有。所以即使有人看到附件来了,没有人确切知道它将要做什么。

克莱夫·罗宾逊1月7日,2019年34点

虽然75万美元听起来很多,但它是penuts,如果他们试图以任何方式使用比特币,可以追踪到[1]。

那么,为什么袭击者要同时承担麻烦和费用呢?

这表明,攻击实际上不是为了获取比特币的经济利益,但看起来是这样的。这就是真正的意图,强调的事实是,电子钱包网络和电子钱包设计都有缺陷。

问题就变成了“谁会从破坏电子系统的信誉中获益?”

当然,真正的问题是,

    因为所有的软件几乎都保证有可以转化为攻击向量的错误,谁知道这将是愚蠢的足够使用这样的系统来存储真正的价值而没有有效的保险到位?

看看Ross j的作品。安德森和英国剑桥大学计算机实验室的其他人研究如何做到这一点,

https://www.lightbluetouchpaper.org/2018/03/26/tracing-stelled-bitcoin/

菲特1月7日,2019年是52

虽然你确实可以追踪比特币自己的系统,变得非常困难,即使不可能,如果硬币被转换成其他加密货币。
例如,Monero和Zcash很难追踪。
如果你只愿意用美分兑换美元,你实际上可以匿名得到那些硬币。

约翰1月7日,2019下午12点48分

@clive为什么人们会关心BTC是否被偷?
@Phaete是正确的,但即使在他的例子中,购买(被盗)BTC的人显然也不在乎,或者知道有人会以高于第一个买家的价格买下它。

大多数买家不在乎,或者不知道是否有能力弄清楚他们正在购买的硬币是否被“污染”。

斯科普里1月7日,2019:43点

“这表明,攻击实际上并不是为了获得经济利益而获取比特币,”但看起来是这样。”

证据?“佩纳特”

乔治·贝拉瑞斯1月7日,2019年下午1:53

所以,这些人们信任他们的钱的编码员基本上是重新发明了电子邮件?下一步是什么?垃圾邮件?

为什么我们不喜欢银行和联邦存款保险公司呢?

杰西汤普森1月7日,2019年24点

看着那张污浊的纸,我真的对90%的恶意软件扫描器感到非常失望,因为他们认为有效载荷是干净的。在弹出的6个警告中,我想卡巴斯基是我唯一认识的人。P

克莱夫·罗宾逊1月7日,2019下午3点49分

@约翰,Phaete,斯科普里,

…为什么人们会关心BTC是否被偷?

你是在替我说明我的观点。

我被告知,你从宝石,金属,甚至现金上得到的利率是公开市场利率的十分之一。如你所说,

Phaete是对的

据,

    如果你只愿意用美分兑换美元,你实际上可以匿名得到那些硬币。

这样一来,75万美元就变成了7.5万美元,甚至更少。

现在那些参与的人花了几周的时间和金钱来建立这个组织。

当这包括在内时,投资回报率是多少?

我认为这样做的人并不特别愚蠢,毕竟是新的攻击,不是复制猫。我可能错了,他们可能非常愚蠢,只是运气好,但正如我们的主持人@bruce所说,“这很聪明”,在我看来,我并不孤单。

因此,基于此,我认为投资回报率太低了。但是,当你把美国至少20至50年监禁的风险——对于非常轻微甚至没有犯罪的人——加进去,风险等式就会发生很大变化……

从这个角度来看,我们忽略了避免引渡和辩护律师费的高昂成本。假设三个人是75K/(25x3) = 1K/年,不考虑通货膨胀。

面对这次攻击的投资回报率最好是可疑的。因此我要问一个问题,

    谁从破坏电子系统中获益?

作为下一个合乎逻辑的步骤。

当然不同意,但不要做一个膝跳反应放一些实际的数字来支持它。或者想出一个替代的可能性来解释我们所知道的和评估的原因。

否则你就不能提出可信的论点,更像是一个自相矛盾的论点。

克莱夫·罗宾逊1月7日,2019年下午4:35

@全部,

我在上面又讲了一点,它还没有被跳上历史的舞台。

    因为所有的软件几乎都保证有可以转化为攻击向量的错误,谁知道这将是愚蠢的足够使用这样的系统来存储真正的价值而没有有效的保险到位?

但在你想这么做之前,请看这个,

https://medium.com/@nancynakamoto11949/the-princess-bride-and-the-secrety-of-the-tester-business-model-d76a08c94734

它指出了为什么你真的应该避免加密货币,除了高风险投机。即使有人提出索赔,它们基本上是不可验证的,您承担了所有风险。

正如他们在英国的酒吧所说,

    名字你的毒药

克莱夫·罗宾逊1月7日,2019年下午4:57

仅供参考…

之前我提到过剑桥计算机实验室,早在2004年,理查德·克莱顿(Richard Clayton)就曾与我有过偶尔的不满,他是一篇关于为什么“工作证明”不能真正用于限制垃圾邮件的论文的合著者。

网址:https://www.cl.cam.ac.uk/~rnc1/proofwork.pdf

你们中的一些人认为这是未来失败的预兆。构成大多数加密货币基础的区块链在“收益递减规律”的参考框架中使用“工作证明”。

我们有将近15年的数据我们有这个小块的信息要考虑,

https://www.theguardian.com/technology/2018/nov/05/energy-cost-of-mining-bitcoin-more-two-than-of-copper-or-gold

是的,把你的钱花在野猫采矿上,比如在澳大利亚,你可能会得到更好的回报,金钱和努力…

65535个1月7日,2019年下午6:03

在Electrum钱包基础设施中添加10台服务器听起来很奇怪……或者甚至是一个恶意的诡计,如果不是由Electrum预先宣布的话。服务器可以是仆人,也可以是霸主,这取决于它们的使用方式。

布鲁斯。注意问题,首先要求2FA,然后将钱包作为红旗发行。

我同意。

@克莱夫·罗宾逊

您的LightBlue TouchPaper链接指向使用FIFO的会计方法和一些混合了编码的法律案例作为跟踪比特币盗窃的方法。这很有趣,包括博客结尾的评论。188滚球网站

我会问我的另一半或另一半如何用浅蓝的试纸来解释这些会计问题。188滚球网站那不在我的范围内。

一、区块链银行作为普通银行需要进一步完善。骗局太多了。

比特币的真正发明者会很快被发现吗?我会的。

蜻蜓1月7日,2019年下午6:22

所以,比特币制酒杯不存在了吗?或者不再工作了?

我想这就是为什么比特币在网上购买非法商品时很有用——你可以花费交易价值的几个百分点,让它与其他交易完全融合在一起,买家之间的联系,卖方,和事务,无法跟踪。在短短几分钟内以低廉的价格实现了全自动洗钱。

而且,如果我的理解是正确的,然后,一个小偷设法通过一个不倒翁得到他们的非法比特币之前,盗窃被发现,应该是明确的-他们应该在这一点上有一个混合的BTC从各地。所以,如果最初被盗的BTC无效,小偷几乎什么都没丢,还有数百人也损失了一小部分暴跌的交易。

普通读者1月7日,2019年9:34下午

@dragonfrog酒杯确实存在。像bestmixer这样大的网站很难追踪。它甚至不是黑网类型,因为他们有Youtube的营销材料[0]。当然,去黑网是另一种选择,因为有些国家的人不会执行比特币法律或接受贿赂,以及发送比特币和接收电汇的协议,比特币,西联会,或任何其他类型的货币也将是期权。


〔0〕:https://www.youtube.com/watch?V=UXCEZlbvt-W


所以有人想,“为什么袭击者既麻烦又花钱?”因为他们只会被抓是很幼稚的。

先生。C1月7日,2019年17点

@克莱夫:
教授。安德森有法律,因此逻辑,错了。信不信由你,破产法自1816年以来一直在进步。在现代法律中,将账户中的部分资金归于各种来源的一般名称是“公平追查”。在大多数情况下,正确的方法称为“最低中间余额”方法。它是这样工作的:

0.定义一套关于哪类钱先离开账户的法律假设。从这个,设计一个等级规则。(例如,礼物带来的钱比工资带来的钱先离开,在支付养老金之前就离开了。)

1.在账户中出现任何利息之前的某个时间点开始。将此时帐户中的所有内容标记为“other”。

2.一次向前推进一个事务。如果是押金,根据资金来源对流入资金进行标记。如果是取款,应用排序规则来决定先借记哪个标签以满足取款要求。

3.重复2,直到事务历史记录用尽,达到今天。

一般来说,使用的顺序规则不是FIFO,但更确切地说,“利息基金最后离开”。

这是一个很好的规则,当你是法院,你已经查封了账户,现在必须分发其内容。它会告诉你账户里有什么。

如果你能掌握任意账户,这也是一条很好的规则。它准确地告诉你利息在哪里。(这比国际足联更好,它会在两笔交易的一半之后,将这笔钱标记在一个无辜的第三方手中,即使罪犯的账户里还有同样多的钱。(例如:“20个干净的BTC输入->20个脏的BTC输入->20个BTC输入无辜的商人。”FIFO将钱标记在商人手中。而“所有物留到最后”则是罪犯账户上的钱。

这也是我能想到的最好的规则,当被偷的加密货币兑换成现金的时候,抓住这个机会。然而,如果被盗资金(或其等价物)在商品/服务交易中完全消散,这将不起作用(也不起作用)。

菲特1月8日,2019年12:18 AM

@克莱夫·罗宾逊,

你的ROI是基于西方标准的,对于世界上最大的人口来说,投资回报率为7.5万是不错的。
也有可能这只是一种机会犯罪。
我只是不相信这个不光彩的角度。

我发现,随着时间的推移,低数量的事务非常有趣
他的弹出窗口是否只影响了网络的很小一部分,或者别的什么?

吉姆1月8日,2019上午1:19

我认为他们可以以接近全部市场价值的价格洗掉大部分的衣物。

很多没有kyc的交易所,可以将其作为莫内罗矿业公司的收益进行归属和洗钱。

软钱包是低垂的水果,有点像90年代早期的银行安全

斯科普里1月8日,2019年4:27 AM

“当然不同意,但不要做一个膝跳反应,放一些实际的数字来支持它。”

我想指出的是,你没有那样做。你的观点毫无根据。

现在这不一定是一场激烈的比赛,像你这样的人,但是严重吗?

这是"怀疑论者"的观点他们不想对积极归因下定论即使它已经被证明和承认了,但他“只知道”这起盗窃案的动机。

我不喜欢说那些明显的废话。

吉姆1月8日,2019年33点

好的,这是一些数字给你@skopje,你可以进行大宗交易。我们来验证一下。

兑换XMR时,存款限额:13.3907 BTC

1BTC=4000美元(约)
1 xmr=53美元(大约)

汇率1Btc=72.75或3855,75美元或9639375%,使这些资金无法追查。

汇率来源:coinmarketcap.com

如果你愿意的话,我也可以详细说明为什么莫内罗是私人的。

Monero环签名由实际签名者组成,然后与非签名者组合形成一个环。

数字1加密交换还允许您不带任何ID存款

https://www.binance.com/en/blog/286445971261435904/Binance+2018+Recap

这里有很多数字来支持这一切!

鲍勃1月8日,2019上午10时54分

@65535时

评论是链188滚球网站接中唯一有用的部分。这在初学者中是很常见的现象他们开始理解一些基本的东西他们认为他们已经解决了所有的问题,一切都很简单,实际上,他们只是错过了大部分画面。

整件事读起来就像有人在当地社区大学上了会计101,然后说:“啊哈!这解决了所有问题!见鬼去吧!”

道格拉斯天堂艺术。1月9日上午2019时02分02分

也许每个人都应该阅读加密货币罪犯努力。关于他们是如何被追踪的,但被抓住了,会被越来越多的人抓住,不仅是当前和未来的交易,而且很可能是过去的交易。

正如其中一位受访者所指出的,去年,财政部开始调查逃税的加密货币,逃避和犯罪行为。从历史上看,财政部在对待犯罪时往往比许多执法机构(leas)更残忍一些,完成Leas无法完成的任务。

文章还注意到对主要加密货币交易所的资产包括计算机记录的关闭和扣押。另外,由于担心与更可疑的加密货币联系在一起,其他交易所也取消了这些交易。此外,许多使用加密货币洗钱系统的人还不够谨慎。

所有这些都表明加密货币洗钱系统不足以让普通的网络犯罪分子藏匿在幕后。因此,需要在洗钱过程中使用其他更传统的洗钱过程作为防火墙,这将给罪犯带来额外的费用。

1月11日,2019年3:42 AM

@clive robinson写道,“由于所有的软件几乎都保证有可以转化为攻击向量的错误,谁知道这将是愚蠢的足够使用这样的系统来存储真正的价值,而没有有效的保险到位?”

如果这是真的,那么,加密货币和我们的法定货币之间的唯一区别就是有效的保险政策。这不仅是美元,而且考虑到所有其他货币,如果我们再进一步挖掘一些国家购买彼此的债券,作为一种有效的保险政策,通常被称为货币挂钩。恕我直言。

1月11日,2019凌晨4点13分

@clive robinson写道,“是的,把你的钱花在野猫采矿上,比如在澳大利亚,你可能会得到更好的回报,金钱和努力……”

像所有的货币体系一样,以货币表示的每个参与者,是否加密,为了货币的生存,必须通过可感知的奖励给予足够的激励。如果你看不到“金钱和蜂蜜”,一美元的价值是多少,但在大多数情况下,它满足了我们的BAISC生存需求。在比特币等精心设计的系统中,“发行当局”不再是中央集权,而是采取比法令更民主的行动。同时,菲亚特对民主的主张很大程度上基于需求,加密货币系统旨在通过将铸造过程分散到非常低的进入壁垒,实现供需民主化。虽然大多数情况都是这样,加密货币的供应仍然可以控制在少数人的手中,通过影响铸造工艺(ASIC制造商)和改变软件/协议。因此,菲亚特也将面临类似的问题。毕竟,它们都是“软件”。

克莱夫·罗宾逊1月11日,2019年上午6:32

@乔,

如果这是真的,

但你并没有证明事实并非如此。如果你愿意,我可以换种说法吗?比较随意的街角无人看管的纸板箱和银行里有守卫的金库等,以作为长期实践来储存钻石。你可以在银行的保险库里购买贵重物品的保险,但幸运的是,在一个随意的街角发现了一个无人看管的纸板箱。

关于,

像所有的货币体系一样,以货币表示的每个参与者,是否加密,为了货币的生存,必须通过可感知的奖励给予足够的激励。

你故意回避我的观点,比特币在资源上的有效成本比在澳大利亚挖洞寻找黄金等要高得多,风险也大得多。

显然你是个加密货币迷,正如我更愿意指出的那样,它离取代标准货币还差得很远。简而言之,这是一个非常高风险的猜测,也是一个环境灾难。

我是训练有素的工程师,不是自学成才的投机者。因此,我倾向于看的不是潜在的收益,而是现实的损失。

你必须考虑的一个简单的事实是“工作证明”是一个非常糟糕的主意,虽然这听起来像是一个真正的过程,但它是一艘至今仍在触礁的船。更糟糕的是,即使它看起来是有效的,我们还没有足够安全的软件系统来阻止它的输出奖励很容易被窃取。

其次,与信用卡交易处理相比,区块链的速度较慢……

这些都是现实世界中根本无法解决的问题,在某些情况下,我们甚至不知道如何开始解决它们。

所以如果你想推测,这是你的钱,但请不要试图让它听起来像是一种稳定的货币,因为这不是,也不是从它的历史来判断,到目前为止,它会是任何时间很快。

1月14日,2019凌晨4点22分

关于克莱夫·罗宾逊,“你在慎重地回避我提出的观点,这就是利用比特币进行资源生产的有效成本,比在澳大利亚境内挖洞寻找黄金等更高、更具风险。”

仅供参考。我们已经废除了金本位制。因此,就复杂的算术和“软件”而言,“法定货币”与“加密货币”并没有什么区别。唯一真正的区别在于,为了保持“货币稳定”,数学是如何通过复杂的对冲算法来应用的。恕我直言。

然而,我绝不提倡用crypto取代菲亚特。“货币”的繁荣取决于支持当局及其愿望。

克莱夫·罗宾逊1月14日,2019年8:16下午

@乔,

金本位与我刚才所说的无关。你不能用加密货币购买大多数消费品或电力,您必须使用公认的国家支持的货币。主要用于国际贸易,即美元(美元)。

所以,如果你把购买设备的所有数据和运行这些设备去采矿的电力都计算出来,你可以用美元来计算价格。同样,你可以做所有的购买ASIC板和权力运行他们也以美元。因此,在这一点上你是在比较相似与相似。

然后,您可以绘制一个过去十年左右的比较成本图,以及您为1usd输入获得了多少“产品”。再次进行同类比较。

然后你可以用美元对产品的汇率绘制第二个图表,从中扣除生产成本,从而找到当时正在进行的过程利润。

结果对于加密货币来说并不是那么令人印象深刻。

需要注意的重要一点是,在通胀修正后,开采黄金的成本在每单位产品(千克或金衡盎司)中保持相当稳定。然而,在许多情况下,开采加密货币的成本急剧上升(正如比特币所预期的那样)。

在这一点上,与黄金或任何其他贵金属公开市场相比,加密货币不是一种对矿山的好投资,也不是对Jems的好投资[1]。

加密货币唯一感兴趣的是“工作证明”成本的内置增长。这是一种非常谨慎的方法,可以使开采的加密货币的价值随着时间而上升,因此,通过囤积而鼓励投机,但更重要的是,使大量加密货币价值由早期的实施者持有,这些实施者囤积了他们开采的加密货币。这种趋同的结果是,通过通常的供需机制,当与更稳定的政府支持货币(如美元)相比较时,加密货币价值的剧烈价格波动。

过去几周我没有查过,但是我被告知比特币从20万美元/比特币跌到了12月初的3.5万美元/比特币,跌到了其价值的1/6,导致很多比特币的开采停止了,因为它对我的开采已经没有任何生产力了。Oh和其他专门为PC硬件开发的加密货币也出现了相关的下跌,从而导致高端显卡的价格下跌……

因此,加密货币挖掘显示了投机投资的所有关键迹象,而不是作为一种真正的工作货币使用。它一直在上升,而且很快就能看到昂贵得令人瞠目结舌的采矿成本,以至于一旦一种加密货币获得了黏性,只有在电价人为偏低的情况下,才能开采。通常是通过政府补贴。这无疑会在某些时候受到严厉的压制。

也有人注意到它是在使用廉价电的地方开采的,电力的低成本部分是由于使用了像褐煤这样的低级燃料,客气地说,这是一场环境灾难。

加密货币的这种投机行为不仅将其标记为投机行为,它们也是“黑郁金香”市场。此外,由于工作成本证明被强制升级的方式非常谨慎地有利于早期实施者,可以看出,不仅个别加密货币是投机性的,但“新”加密货币的数量也是投机的。实际上,很多加密货币市场被设计成像其他虚假投资一样运作,比如传销,你可能知道这是骗人的。这意味着,法律当局可能会及时采取措施,反对内置此类机制的加密货币系统的设计者和早期实施者。

[1]但不是钻石,戴比尔斯维持着一个事实上的垄断企业联盟,并在80-90%的毛坯钻石市场上拥有非常重要的控制权。他们囤积了大量开采的粗钻,以维持人工价格的大幅上涨,

https://are.berkeley.edu/~sberto/debers.pdf网站

此外,美国各银行还通过操纵金属市场和铸锭铝供应(短期地埋)来保持铝的人工高价。

留下你的评论188滚球网站

允许的HTML:

布鲁斯·施耐尔的照片。188滚球网站

188滚球网站施耐尔的安全是一个个人网站。表达的意见不一定是……的意见IBM弹性.