分散式加密货币贷款平台'Lendf.Me'在18月25日遭受安全漏洞，约XNUMX万美元的加密货币被盗。

通过使用DeFi智能合约中的漏洞利用，回调机制使黑客能够反复提取ERC777令牌，这种漏洞利用使他们可以耗尽帐户，而不会立即更新新余额并显示盗窃，直到为时已晚。

发现这一点后，情况似乎再糟不过了，因为首席执行官在分享新闻时公开发表了这份令人沮丧的声明：

“这次攻击不仅损害了我们的用户，合作伙伴和我的联合创始人，而且还损害了我个人。这次攻击中，我的资产也被盗。

这次袭击是我的失败。 虽然我没有执行它，但我应该已经预见到它并采取了预防措施。 我要向遭受伤害的每个人表示敬意，我将竭尽所能做到这一点。 我衷心向我们的用户，我们的新投资者以及我的团队道歉，让他们失望。”

听起来公司倒闭了，可能永远消失了-这仅仅是故事的开始。

该网站的首席执行官杨敏道想尝试进行谈判，因此他让他的团队在区块链上为黑客留下了笔记。 “与我们联系。为了您的美好未来” 以及他们的直接联系信息。

激进的反击...

他们在这里采取了正确的行动-他们的团队立即采取行动，成立了专门从事基于区块链的网络安全的安全公司SlowMist以及新加坡警察。

然后，他们在社交媒体上宣布，追踪黑客的过程已经开始。

虽然我们不知道可能会导致黑客窃取的线索（如果有的话），但该公司开始了一场运动，将他们置于偏执状态，并在他们的网站上指出“黑客在攻击前后留下的痕迹 允许他们 “与国内外各方的资源进行交叉核对，以获得突破性的线索，与黑客之间的距离越来越近”。

与此同时，他们开始联系其他交易所，让他们意识到黑客入侵，将他们列入黑名单并冻结任何收到被盗硬币的钱包。

骇客无法应付热...

压力太大，黑客开始破解 - 一家安全公司在追踪他们的过程中的组合，随着越来越多的交易所将他们列入黑名单，代币变得难以消费，导致黑客决定它只是不是值得了。

他们开始归还一些被盗的加密货币，然后一定是真的使他们感到恐惧-第二天，他们将剩下的所有东西都寄回了。

令人惊讶的是，几乎全部25万美元都被收回了...

虽然公司说“全部”资产已被收回，但我们只能核实原来的24万美元中有25美元已归还。 但是我们不会因一百万美元的损失而感到困扰，这仍然是一项出色的工作！

已承诺所有资金被盗的用户将被100％退还。

该公司现在正在邀请第三方专家来分析这里出了什么问题以及将来需要采取哪些措施来加强他们的安全性。

可以肯定地说，这是与黑客交易的一部分-该公司已撤回了对新加坡警方提起公诉的要求。 

泄漏的图像显示了创建/导入钱包的能力（单击图像可放大）

来自德国网站“关于三星的一切” 泄露 图像被描述为“原型”-因此假设它们是合法的，值得注意的是这与最终版本相去甚远。

尽管移动设备的钱包选项并不短缺，但与使用可下载的应用程序相比，制造该设备的制造商具有一个相当大的优势-该加密货币钱包可以使用三星的硬件生物识别安全性。

到目前为止（如上图所示），列为``受支持''的唯一加密货币是以太坊。 可以肯定地说，其中包括所有ERC20令牌，因此一开始需要数千个令牌。 还可以安全地假设比特币将受到发布的支持。

现在最大的问题是-还支持哪些其他硬币？ 

最终可以添加任意数量的加密货币，但在发布时会包含一些影响力。

三星在有记录的最近四个季度（一年）中共售出了295亿部智能手机。 这是一个拥有很多人口袋里有钱包的世界的快速方法。

发布日期距离不到一个月-20月XNUMX日！

------- 

我们采访了Kenny的创始人兼首席执行官Fenny Fok FLX钱包一个创新的硬件加密货币钱包，以了解我们对下一代这项技术的期望...

您制作FLX钱包的动机是什么？ 您认为其他人遗漏了什么或做错了什么？
我要说的主要动机来自加密钱包的困难和复杂性。 对于那些不太懂技术的人来说，想要进入加密货币领域，会有一个陡峭的学习曲线。 我们使用了那里的一些主流钱包产品，基本上说“这真的很难”。 我作为工程师已有将近二十年的时间，我立即想到-我们可以简化此过程。 我想这会导致加密钱包所缺少的-易用性和便利性。

告诉我们一些您在加密货币世界以及技术/硬件领域的背景。
在高通公司担任工程总监超过17年之后，我于2015年成立了eSmart Tech Inc.，致力于提供世界一流的产品设计和工程服务。 我们的团队拥有44项已获授权的专利和10多项正在申请的美国专利，他们正在不断设计创新的想法。 我们已经为客户提供了10多种嵌入式产品设计，例如智能物联网设备。 在2018年，我为加密货币项目建立了FLX Partnership。 FLX利用eSmart的工程团队来构建FLX One。


我以为没有很多人具有构建硬件加密货币钱包的先前经验。 考虑到这一点，请向我们介绍您的团队，您是如何找到并招募他们的？ 您的团队在最终产品中显示哪些特殊技能？ 
是的，这是一种相对较新的设备。 基本上，硬件加密货币钱包是嵌入式系统。 在高通任职期间，我专注于嵌入式系统和移动设备。 无疑，这使我在寻找具有正确技能的人来制造成功产品方面具有优势。 我认为我们的发展速度肯定会突出团队的技能。 我们已经能够克服许多挑战，并迅速为FLX One添加了出色的功能。 这个团队有很好的协同作用。

当然，当涉及到任何形式的加密货币钱包时，安全是头等大事。 FLX Wallet如何解决这些问题？ 
从项目开始，安全性绝对是一个大问题。 对于FLX One上的硬件和软件，我们做出的每个决定都将安全放在首位。 在开发过程中，我们购买了工具来帮助我们发现设计中的漏洞并尝试破解FLX One。 我们还会定期测试固件和移动应用程序，以确保其安全性。 细节，例如钱包上蓝牙的硬件中断，交易签名过程，FLX密钥，固件篡改检测以及许多其他功能，都是使FLX One尽可能安全的一部分。

引导我们完成找回丢失的钱包的过程吗？
这可能是FLX One最令人兴奋的功能之一。 我们想为现有加密钱包实施备份和恢复的方式提供新的，更简单的方法。 钱包的标准备份方法是在一张纸上写下一堆短语，我们也将其作为FLX One的一个选项提供。 每个FLX One都附带一个额外的硬件，即FLX Key。 我们实际上将它设计成看起来像钥匙的钥匙，它已集成到您的钱包设置中。 在安装过程中，系统会指示您通过集成的USB连接器将FLX Key插入FLX One。 为了安全起见，FLX One会生成备份您的钱包所需的信息，然后将其复制到FLX Key（全部离线）中。 此备份已加密，并且FLX密钥已永久锁定。 您将FLX密钥存储在安全的位置，以防丢失或损坏FLX One。 如果需要还原，就像在还原选项下的新钱包中插入密钥一样简单。 在几秒钟内，您的FLX One将恢复。 这项正在申请专利的设计使FLX One上的备份和恢复更加方便，而且我们认为这几乎是现代技术用户所期望的。


告诉我们有关iPhone和Android应用的信息...
iPhone和Android应用程序基本上是您使用FLX One发送/接收加密，使用内置交换，设置活动硬币列表以及许多其他功能的方式。 FLX One通过加密的蓝牙连接连接到移动应用程序。 有些人会听到无线信号，因此可能会感到不舒服，因为有人要抓住无线信号。 我们已经考虑到了这种潜在的安全隐患。 使用FLX One时，FLX One上不会传送任何窃贼可用的东西。 为了方便起见，我们喜欢使用手机应用程序的方法，并希望更实用地使用加密技术来进行大规模采用。 如果加密将成为未来的日常购买方式，则它必须是可移动的。 您并不想完全破坏柜台上一台完整的笔记本电脑并连接电缆进行交易。 在当今世界，也有越来越多的人通过笔记本电脑使用手机。 移动应用程序才有意义。

钱包目前与哪些令牌兼容？ 有没有新的补充？
当前，FLX One支持那里的大多数主要令牌。 我们的最新版本具有Ripple和DASH支持以及集成的Exchange功能。 我们正在开发对Monero的支持，该支持也将很快发布。 目前，大约支持25个令牌。 我们还支持任何ERC-20令牌。 这些令牌在FLX One上全部受本机支持。 如果您使用过一些主流钱包，那绝对是一个优势。 这意味着您只需要FLX One和移动应用程序，而无需第三方应用程序。 至于即将推出的新产品-绝对可以！ FLX路线图上有很多令人兴奋的事情。 幸运的是，您可以在FLX One上更新固件，因此可以随时了解所有将来的功能。 您也可以访问flxwallet.com，或加入我们的社交媒体平台之一以了解我们的最新动态。

在哪里可以购买FLX硬件钱包？ 
FLX One可以在亚马逊上购买，也可以直接从我们的网站上购买， 流星钱包网.

对于那些可能不知道的人来说，交易所通常会向加密货币初创公司收取费用来列出他们的新硬币——当然，他们都想进入的交易所是 Binance, 目前每日交易量最高。

这就是为什么骗子已经采取 LinkedIn 联系这些新硬币背后的人，或者更好的是 - 通过倾听他们的雇主作为诱饵他们与他们联系 Binance 职位名称为“列表协调员”。

然后，他们指导他们进行完全伪造的申请程序，当然，最后他们会被批准将其硬币列出来-他们所要做的就是通过支付那笔上市费来最终确定硬币。 那是骗子用钱消失的时候。

这种骗局无论如何都不是新事物，但它越来越受欢迎，这导致币安首席执行官赵长鹏（被称为“ CZ”） 发表 这个公开警告 Twitter 说 “500 多名“币安员工”中的大多数 LinkedIn 是假的。 "



几周前，全球加密出版社的另一位记者报道了 不同的骗局故事 也涉及 Binance （除其他事项外），除此人外，冒充员工的人分发了一个非常合法的免费电话“支持”电话号码，当有人致电寻求支持时，他们实际上被骗去泄露了他们的登录信息。

我不得不承认，时机似乎很奇怪。 我今年早些时候出版了 一篇文章 回应DEA分享了他们关于加密货币的发现 “ DEA特殊代理人：90％的加密交易曾经用于非法目的-如今，这一数字仅为10％。”

但是，即使非法加密货币的使用率一直处于历史低位，并且每周都有更多合法实体进入市场，美国国土安全部仍将少数不良苹果作为优先事项。

也许，只是在问题解决之前就“解决”问题。

刚发布 文件 在DHS网站上，如果私营企业认为可以帮助他们找到所要解决的问题的解决方案，请邀请私营企业与他们联系。 本文档中专门针对区块链的一节名为“用于国土安全取证分析的区块链应用程序”。

他们首先提到了两个顶级隐私硬币的名称：

“该提案寻求区块链法医分析在诸如Zcash和Monero等新型加密货币中的应用。”

他们将其推理解释为：

“这些经常被强调的新的区块链平台的主要特征是匿名和隐私保护的能力。尽管这些特征是可取的，但在跟踪和理解非法性质的区块链上的交易和行为方面也同样具有令人信服的兴趣。” 

如果个人或公司认为他们可以做到，则需要说明如何做，建立原型，然后将其付诸实践。 将其拉下-您将获得一份宝贵的政府合同。

现在的问题是-这些隐私硬币有多私人？ 寻找漏洞的动机变得更加强大。

我已经涵盖了加密货币世界中的各种骗局，超出了我希望的范围，而且我要注意的一件事是-它们只会变得越来越大胆。

到现在为止，一切都错过了“个人接触”-不久前，他们所忙的只是建立假的交换站点，而当有人输入他们的登录信息时，它实际上只是将受害者的用户名和密码发送给了骗子-只是那些老家伙。自互联网以来一直存在的网络钓鱼技巧。

然后他们继续冒充名人 Twitter，并运行虚假的“加密赠品”——但当然要接收你的免费加密，出于某种原因，你必须先给它们发送一些......我仍然不知道有人是怎么上瘾的。

还有很多其他的东西，这里没有太多列出，但是我的意思是，它们都是由一个隐藏在计算机屏幕后面的人完成的，这个人从未见过或听过。

但是现在-他们让受害者实际通过电话给他们打电话！

所以这是它的工作方式-骗子现在拥有真实的免费电话号码，并且他们将其发布到任何可能的地方。

我发现这些数字显示为各种知名加密货币交易所和基于区块链的产品和服务的客户支持热线——Binance、Coinbase、Ledger、Tezos、Bittrex、Kraken 等。

然后，为了确保在有人进行 Google 搜索时显示属于他们的电话号码，他们在各种流行的社交网站上创建了页面，包括 Facebook, LinkedIn, 和 GitHib - 许多似乎已经运行了数周......

Fake CoinBase 支持 LinkedIn.

假币安支持 LinkedIn.

假币安支持 Facebook.

GitHub上的Fake Binance支持。

因此，要弄清楚该骗局的工作原理，我必须自己打电话给他们。

一旦我拨通了某种自动系统后，立即接听电话并将其置于待机状态，然后开始播放古典音乐-值得赞扬的是，这确实感觉像是典型的客户服务呼叫体验。 但是，搁置约15分钟后，我挂了电话。

我想我第二天会再试一次...但是令我惊讶的是-他们打电话给我！

我给他们打的第一通电话是下午三点左右在旧金山。 但是我接到的回叫电话是在凌晨1点2分打进来的-很明显的迹象表明这些家伙不在美国。

我回答了，他们告诉我他们使用了“区块链支持”-这是有道理的，因为他们无法说出他们来自哪个交易所，因为他们不知道我在打电话给哪个交易所-他们用同一部手机发送垃圾邮件他们所有人的号码！

我待在网上的时间足够长，以了解他们如何使用它-首先，他们下载了TeamViewer，对于不熟悉它的人，它允许两个人互相连接，一个人可以控制其他人的计算机。 这是一个出于各种正当理由而使用的程序，但在不当之手却是危险的工具。

然后他们要做的就是让某人登录到他们的帐户，抓住计算机的控制权，而在受骗子控制下，他们会将您所有的加密货币发送到他们的钱包中。

我发现的与此骗局相关的最受欢迎号码是：

888-884-0111
888-399-2543
800-631-6981

我之所以将它们放在本文中是出于一个原因-现在，当有人进行Google搜索以查看电话号码是否合法时，他们会找到它。

在那里要当心并记住-切勿在除其官方网站以外的任何地方找到交流的联系信息。

自昨天以来，我们一直在追踪这个故事，并且我们认为它已经达到可以发表文章的地步-这个故事又发生了疯狂的转变。 肯定还有更多，但是到目前为止我们所知道的非常有趣。

该交易所被称为“ MapleChange”，总部位于加拿大，问题始于昨天，当时该交易所的用户注意到他们所有的代币都消失了。

就在那时，他们发布了以下公告 Twitter:


此时，尽管他们的用户不满意，但他们似乎正在耐心地等待，看看MapleChange下一步将做什么，并找出他们的“调查”结果是什么。

但在收到有关他们资金发生情况的任何更新之前，他们注意到 MapleChange 删除了他们的社交媒体账户，从他们的 Discord 聊天频道开始。 此时他们的 Twitter 帐户仍然活跃，用户开始公开抨击该公司。

指控各不相同，从说 MapleChange 只是试图逃避问题，到说他们是整个事情的幕后黑手，MapleChange 自己偷了资金，目前正在执行“退出骗局”——两者都有 ICO和小型交易所过去曾被抓获，他们在那里筹集资金，然后假装成为黑客的受害者，以此为借口窃取这些资金。

MapleChange回应了这些指控 Twitter 使用：


然后——他们的 Twitter 账号也消失了。

我以为这就是我们在一段时间内听到的全部内容，但事情又发生了转机——当 Reddit 用户着手处理此案并追踪交易所 CEO 的个人信息并开始在讨论 MapleChange 的任何地方发布它时，如这条推文所示一个 Twitter 仅为巨魔 MapleChange 创建的帐户：


突然，MapleChange重新激活了他们的帐户-他们的两个 Twitter 和Discord频道现已重新上线。

许多人说，一旦首席执行官被“猎杀”，MapleChange突然回来，这绝非偶然。 但是MapleChange提供了以下解释：


这使我们了解了现在的情况-似乎所有的比特币和莱特币都已经一去不复返了，其余的一旦可以 “正确识别客户并交回适当的金额” 根据MapleChange。

仍然未知的是比特币和莱特币的价值被盗。 虽然最初被指控丢失919 BTC，但MapleChange坚持认为 “我们钱包里再也没有919BTC”。

仍然不知道的是，接下来加拿大的执法部门将会发生什么，针对MapleChange的民事诉讼肯定会随之而来。 

FBI在美国这里将检查交易所的服务器，而用户将准备提起诉讼。 但这是加拿大的第一次，我们将很快学习它们如何应对此类涉及加密货币的事件。

如果有人有其他信息， 立即联系我们 或联系 Twitter @GlobalCryptoDev.

每年，受人尊敬的网络安全机构Group-IB都会发布年度报告，并 根据 TheNextWeb获得了最新的最新摘要-朝鲜是大多数主要的加密货币交易所黑客的罪魁祸首。

涵盖的日期范围是2018年2018月至882年571月，其中价值XNUMX亿美元的加密货币被盗，朝鲜从中获得了XNUMX亿美元的信用。

问题是，一旦出现“朝鲜”一词，每个人都将注意力集中在谁做了，而不是他们怎么做。

最近的黑客图表。 “ Lazarus”是NK黑客组织。

最令人担忧的部分是-使用的方法不是很复杂。

鱼叉式网络钓鱼仍然是攻击企业网络的主要媒介。 例如，欺诈者在CV垃圾邮件的掩护下传送了恶意软件，该恶意软件嵌入了文档中。在成功入侵本地网络之后，黑客浏览本地网络以查找用于与专用加密货币钱包一起工作的工作站和服务器。” 报告说。

让我们明确一下我们在这里看到的是什么——交易所内的无能，以及训练有素的员工。

上面列出的每种方法都涉及交换中的人员犯的业余级别的错误，而不是其网络中的实际安全漏洞。 无论是打开实际上是恶意软件的电子邮件附件，还是打开“社交工程”，这都是一个很好的表述方式-某人只是在交易所内与某人交谈，就可以将其输入某人的帐户。

这让我感到疑惑-可以肯定的是，我坚信北朝鲜拥有由国家资助的专门用于窃取加密货币的业务-我绝对不是在争辩他们的无辜。

但是，当交易所陷入陈旧、简单的骗局，导致大量资金被盗时——你不得不怀疑，如果嫌疑人实际上是一名 14 岁的黑客，他们是否会承认这一点。 一个快速分散公众注意力的方法是将话题转移到朝鲜这个热门话题上。 请记住，部分是这些交易所的“内部调查”得出这些结论。

但事实是，这里的责任直接归咎于这些交易所 显然，员工具有较高的访问权限和较低的安全培训。 

即使朝鲜落后于所有这些，充其量，他们只是碰巧先这样做了。 如果真的可以轻松通过交易所安全性-最终有人会这样做。

骗局的运作方式是这样的——设置看起来像已知且受信任的交易所的网站，诱骗人们点击链接，然后窃取他们的登录信息。 一旦他们有了这个，他们就可以登录真正的交易所并耗尽他们的钱包。

根据乌克兰政府的声明：

“警察收到欺诈者活动的业务信息后，根据乌克兰《刑法》第3条（欺诈）第190部分开始了刑事诉讼。其中，网络警察的员工采取了多种操作措施，其结果是确定了参与这一罪行的人。他们是第20至26岁在第聂伯城的居民。”

在窃取受害者加密货币后，他们将使用将加密货币转换为法定现金的交易所兑现，将资金转移到以其他被盗身份开设的银行账户。

乌克兰的网络犯罪调查人员说，他们逮捕的6个人共创建了4个虚假的交换站点。

日本有16人被捕-怀疑是在一个业余在线犯罪组织的幕后，该犯罪组织制造了该恶意软件以秘密使用受害者计算机开采Monero（在XMR下进行交易），并建立了各种网站来诱骗受害者并将他们带到在不知不觉中安装了恶意软件。

逮捕行动于上个月悄然开始，最后3名嫌疑人于本周被捕。 当地新闻媒体 Asashi 报道：

“ 16月18日宣布了针对48名年龄在14至XNUMX岁之间的男子的案子，尽管第一次逮捕是在XNUMX月进行的。犯罪嫌疑人都经营自己的网站，据称他们未经他们的同意就将程序发送到了站点用户的计算机上。

这些程序在用户的计算机上生效，以执行通常繁琐而费时的挖矿任务来赚取加密货币。”

如果您正在描绘一个高度组织化的犯罪天才群体，我也应该提及-他们在1000个中仅赚了大约16美元。