资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
邪恶永无宁息
四月的最后一个周末依旧风波不断,连环攻击与漏洞利用事件接踵而至。其中最经典的网络钓鱼尝试之一,目标直指Robinhood。
4月26日,多位Robinhood用户在社交媒体上发出警报,称收到了来自官方邮箱的邮件提醒。邮件主题为“您最近的Robinhood登录记录”。内容显示“检测到您账户上的未识别活动”,并附带一个“立即查看活动”的可点击按钮。每封邮件都声称检测到用户账户发生变更,且登录设备显示为iPhone 17 Pro。用户迅速在社交媒体上警示此事,这起钓鱼企图很快被揭穿。
攻击手法
攻击者通过创建或修改Robinhood账户,向设备名称字段注入了恶意代码或链接。Robinhood系统随后将该未经过滤的字段直接套用至自动发送的“近期登录”邮件模板中。这使得用户收到了看似真实的警报,其中包含一个恶意的“查看活动”按钮。点击该链接将跳转至伪造的登录页面,诱使用户输入用户名、密码,有时甚至包括双重验证码,从而让攻击者获得接管账户所需的一切信息。
Robinhood同日发布警告,敦促用户删除相关邮件并避免点击可疑链接。对于已点击链接并遇到问题的用户,公司要求其立即联系官方。Robinhood进一步说明:“此次钓鱼企图是通过滥用账户创建流程实现的。我们的系统或客户账户并未遭到入侵,个人信息与资金未受影响。”
加密货币领域风波再起
过去两个周末对加密货币领域而言可谓多事之秋。从Drift漏洞利用到KelpDAO事件,恶意行为者在四月最后一个周末持续攻击加密货币项目与机构。周日遭遇攻击尝试的并非只有Robinhood。
借贷协议Purrlend于4月25日监测到其在MegaETH和HyperEVM网络上的异常活动后,暂停了运营。这两个均是注重速度的新型区块链网络。攻击者从HyperEVM中抽走约120万美元,主要为美元稳定币。MegaETH网络则损失了约32.5万美元。总损失约达152万美元。攻击者的钱包地址在两网络的公开区块浏览器上可见,但资金尚未追回。
数小时后,莱特币网络在零日漏洞遭利用后,发生了13个区块的重组。重组是指网络回溯并重写区块链上近期区块或交易的过程。零日漏洞指在遭利用前不为人知的缺陷。攻击者发现了莱特币MimbleWimble扩展区块隐私层的此类漏洞。该功能旨在帮助用户更私密地发送交易,隐藏金额与地址。莱特币团队数小时内便发布了漏洞修复补丁。尽管没有资金永久损失,但此事暴露了协调漏洞,并引发部分用户对新功能安全性的质疑。
Sui生态最大借贷协议Scallop周日遭遇攻击,造成约14万美元损失。事件发生后,Scallop团队冻结了受影响合约,查明漏洞并恢复了运营。用户存款未受影响。攻击者目标是一个于2023年11月部署的旧版合约。他们绕过标准开发工具包路径,直接与该旧合约交互,通过质押代币操纵系统验证逻辑,获取了异常高额奖励。此外,攻击者曾短暂篡改价格数据,扭曲汇率以低成本借贷资产。据称攻击者已提出归还80%资金以换取赏金,但Scallop尚未确认达成协议。Scallop随后宣布核心合约已解冻,并确保用户存款与资金未受影响,存取款功能已恢复正常。
