条目标记“比特币”

第1页共2页

针对Electrum比特币钱包的新攻击

聪明:

如何攻击:

  • 攻击者在Electrum钱包网络中添加了数十台恶意服务器。
  • 合法电子钱包的用户发起比特币交易。
  • 如果事务到达恶意服务器之一,这些服务器会回复一条错误消息,敦促用户从恶意网站(GitHub repo)下载钱包应用程序更新。
  • 用户单击该链接并下载恶意的更新
  • 当用户打开恶意Electrum钱包时,该应用程序要求用户提供双因素身份验证(2FA)代码。这是一个危险信号,由于这2FA代码只在发送资金前被要求,钱包启动时也不是这样。
  • 恶意的Electrum钱包使用2FA代码窃取用户的资金并将其转移到攻击者的比特币地址

这里的问题是,允许Electrum服务器在用户钱包内触发带有自定义文本的弹出窗口。

发布于1月7日,2019年6点13分查看评论188滚球网站

密码货币的尼古拉斯·韦弗

值得一读吗版本)。这是开场白:

Cryptocurrencies,虽然这个想法看起来很有趣,它们根本就不符合目的。它们不是货币,它们非常低效,它们在信任方面并没有得到有效的分配。涉及加密货币的风险主要体现在四个方面:参与者面临的经济风险,加密货币生态系统的系统性风险,和社会风险。

我没怎么写加密货币,但我同意韦弗的怀疑。

编辑添加(8/2):Paul Krugman on加密货币

发布于7月24日,2018年6点29分查看评论188滚球网站

调节比特币

Ross Anderson有一篇关于加密货币交换的新论文。从他的博客:

比特币回来的解释了加密货币世界的问题。比特币交易所正在发展成为一个影子银行系统,它们不向客户提供真正的比特币,而是显示一种“平衡”,允许客户与其他人进行交易。但是如果Alice给Bob发了一个比特币,他们都是同一家交易所的客户,它只是调整它们的平衡,而不是在区块链上做任何事情。这是一个电子货币服务,根据欧洲法律,但是法律是强制性的吗?这并不重要。我们一直在关注细节。

发布于6月5日,2018年上午6:32查看评论188滚球网站

跟踪比特币被盗

Ross Anderson有一个非常有趣的纸关于追踪被盗比特币。从一个博客:

此前追踪受污染硬币的尝试要么使用“毒药”,要么使用“理发”方法。假设我打开一个新地址,支付3个被盗比特币和7个新开采的比特币。然后下毒,输出的是10个偷来的比特币,在削发的情况下,10个比特币被标记为30%被盗。经过数千个街区,毒素污染将把数百万个地址列入黑名单,理发时,污迹扩散,因此,这两种方法在追踪被盗财产方面都不是很有效。比特币尽职调查服务用AI/ML代替了头发污染追踪,但结果仍不令人满意。

我们发现,早在1816年,高等法院必须在克莱顿的案件中解决这个问题,它涉及一家破产银行的资产和负债。法院裁定,资金必须以“先入”为基础,通过账户进行追踪。先出(FIFO);存入账户的第一便士用来满足第一次提款,等等。

Ilia Shumailov编写了一个软件,将FIFO污染应用到区块链上,结果令人印象深刻,精度有了很大的提高。更重要的是,先进先出污染跟踪是无损的,不同的发型;所以除了追踪一枚偷来的硬币,找出它的去向,您可以从任何UTXO开始,追溯它以查看它的整个祖先。这不仅仅是好的法律;这也是很好的计算机科学。

发布于3月28日,2018年上午6:30查看评论188滚球网站

“加密”被重新定义为加密货币

我同意Lorenzo Franceschi-Bicchierai,”Cryptocurrencies不是“加密””:

最近在互联网上,比特币和其他数字货币世界的人们开始使用“加密”这个词作为数字货币总体上管制宽松、蓬勃发展的世界的一个笼统术语,或者“加密货币”这个词——顺便说一句,它甚至不应该被称为“货币”。

[…]

需要澄清的是,我不是唯一对此感到愤怒的人。比特币确实和其他技术使用加密:所有cryptocurrency事务是由“公钥”众所周知,“私钥”只有一方知道­——这是一片的基础加密方法(称为公钥,或非对称加密)如PGP。但密码学家说,这并不是他们真正的特征。

“大多数加密货币与严肃的密码术几乎没有任何关系,”马修·格林,一位研究密码学的著名计算机科学家,通过电子邮件告诉我的。“除了数字签名和哈希函数的琐碎使用,这是个愚蠢的名字。”

这是个愚蠢的名字。

12月4日,2017年9点14分查看评论188滚球网站

建设智能化Ransomware

马修·格林和学生推测真正设计良好的赎金系统应该是什么样的:

大多数现代赎金软件都使用比特币这样的加密货币来支付赎金。这或许不是比特币等系统最有力的论据,但比特币似乎不太可能很快消失。如果我们不能解决比特币的问题,或许用比特币制作“更可靠”的赎金软件是可能的。

[…]

回想一下在赎金过程的最后一步,勒索软件操作员必须向受害者交付解密密钥。这一步对运营商来说是最棘手的,因为它要求他们管理密钥和响应互联网上的查询。如果运营商能完全取消这一步,不是更好吗?

[…]

至少在理论上,开发一个完全由赎金支付提供资金的DAO是可能的——反过来,它会无意识地与真实的人类签订契约来开发更好的赎金,把它部署到人类目标上,然后…冲洗重复。从长远来看,这样一个系统不太可能是稳定的——人类很聪明,善于摧毁愚蠢的东西——但它可能会运行得很好。

社会没有自我毁灭的原因之一是,有智慧和技能的人往往不是以犯罪为生的。如果它曾经成为一条可行的职业道路,我们注定是要失败的。

发布于3月7日,2017年8点15分查看评论188滚球网站

针对奥地利酒店的物联网赎金

袭击者控制了一个奥地利酒店网络 赎金,要求1800美元的比特币解锁网络。除此之外,上锁的网络不允许任何客人打开酒店房间的门。

我预计物联网赎金将成为未来几年的主要犯罪领域。我们多久才能看到这种战术被用于对付汽车?对恒温器?我猜是在一年内。只要赎金不太贵,人们会支付。

编辑补充:似乎有很多关于赎金软件到底是做什么的困惑。早些时候的报道称,酒店的客人被锁住了内部他们的房间,这当然很荒谬。现在一些报道称没有人被锁在他们的房间外。

编辑后增加(2/13):更多信息

张贴于1月31日,2017年8点49分查看评论188滚球网站

追踪Kickass网站的所有者

这是故事是如何做到的。首先,torrent列表上的一个虚假广告将该网站链接到一个拉脱维亚银行账户,一个电子邮件地址,以及Facebook页面。

使用基本的网站追踪服务,Der-Yeghiayan能够发现(通过反向DNS搜索)七个明显KAT网站域名的主机:kickasstorrents.com,kat.cr,kickass.to,kat.ph,kastatic.com,凯特电视台和Kickass.cr。这挖出了两个芝加哥的IP地址,它们作为KAT名称服务器使用了四年多。特工们随后能够合法获取服务器的访问日志副本(解释了为什么最终是芝加哥的联邦当局以涉嫌犯罪的罪名起诉了Vaulin)。

使用类似的工具,国土安全部的调查人员还在一个域名上执行了一项名为WHOIS的查找,将人们重定向到KAT的主要站点。WHOIS搜索可以提供名称,地址,网站注册人的电子邮件和电话号码。在…的情况下kickasstorrents.biz,来自哈尔科夫的Artem Vaulin,乌克兰。

Der-Yeghiayan能够将WHOIS查找中找到的电子邮件地址链接到据称是vault用来操作KAT的苹果电子邮件地址。似乎正是这个苹果账户将vault涉嫌参与的所有事情联系在了一起。

2015年7月31日苹果提供的记录显示,me.com账户被用来在iTunes上购买东西。日志显示同一天访问KAT Facebook页面时使用了相同的IP地址。2012年凯特开始接受比特币捐赠后,72,767美元以Vaulin的名义转入Coinbase账户。那个比特币钱包是用同一个me.com邮箱注册的。

另一个文章

发布于7月26日,2016年6月42日上午查看评论188滚球网站

布鲁斯·施耐尔的照片。188滚球网站

188滚球网站施耐尔的安全是一个个人网站。表达的意见不一定是……的意见IBM有弹性