如果你觉得加密货币被攻击的频率比以往更高,你并没有想象错。DefiLlama 的一张图表显示了明显的激增。
几周前,业界媒体报道了 Claude 神经网络的新版本 - Claude Mythos - 据说它在发现代码漏洞方面特别擅长。Mythos 尚未公开发布。但一旦这类技术成熟,就无法再把魔鬼放回瓶子里。这波攻击激增很可能不是巧合。
即便如此,今天的 有关 Bisq 漏洞的新闻 仍然让我印象深刻。Bisq 是一个用于用法币买卖比特币的去中心化平台。它已存在 10 年,在过去 6 年里没有发生过任何被利用事件。它看起来并不是一个容易的目标:每笔比特币交易都需要买方和卖方的两个签名。没有复杂的智能合约供微妙的漏洞隐藏。要窃取资金,必须欺骗某个人签署一个恶意交易。更具体地说,你必须骗卖方签署一笔交易,使比特币释放给买方,而买方实际上并没有支付法币。
这个系统看起来几乎安全到了极点。然而,它仍然被利用了。
攻击者似乎发现的是:向卖方显示其要签署内容的应用并没有根据交易的原始技术数据来验证交易。相反,它依赖于买方在添加签名时提供的元数据。这正是攻击者操纵的部分。卖方以为他们是在把比特币从多重签名地址发回给自己,实际上他们签署的是一笔将资金转给攻击者的交易。换句话说,攻击者只是交易中的对手方。
这就是为什么如今比以往任何时候都更重要的是,流程的简洁性和对交易对手的信任在加密交易中至关重要。
在 rabbit.io,这正是我们的关注点:
- 你会看到需要发送某种加密货币的地址;
- 我们知道你希望接收另一种加密货币的地址;
- 仅此而已。
你唯一需要做的就是小心复制地址并发送正确的金额。我们把流程保持得尽可能简单并且尽可能可靠。
