Cosmos 修复了关键安全漏洞以保护 1.26 亿美元的资产

安全和欺诈继续压在加密货币行业的肩上。 最近发生的一些事件包括其开发人员成功修补了 Cosmos IBC 协议中的一个关键漏洞，避免了超过 1.26 亿美元的潜在损失。 然而，女巫攻击的兴起仍然是一个主要威胁，诈骗者利用流行的空投并创建虚假账户来操纵区块链网络并误导合法用户。 卡巴斯基还报告了一个针对 Telegram 用户的复杂骗局，欺骗他们在与 TON区块链相关的虚假收益计划中购买毫无价值的“助推器”。

Cosmos 开发团队成功解决重大安全漏洞

根据 不对称研究，Cosmos 开发人员成功纠正了区块链间通信 (IBC) 协议中的严重安全缺陷，该缺陷使超过 1.26 亿美元的资产面临风险。 该安全公司通过 Cosmos黑客One Bug Bounty 计划识别并私下报告了该漏洞。

该缺陷自2021年通过ibc-go实施IBC以来就一直存在，并成为IBC中间件引入后的主要风险。 这一新功能旨在促进 ICS20 代币的跨链转移，却无意中为黑客执行重入攻击提供了可能。 这将使攻击者能够在 Osmosis 和其他基于 Cosmos 的去中心化金融生态系统等网络上铸造无限量的代币。

幸运的是，该漏洞在任何恶意活动发生之前就得到了解决，Asymmetry Research 确认没有资金受到损害。 他们认为，虽然潜在的损害很严重，特别是在 Osmosis 这样的平台上，可能有超过 1.26 亿美元面临风险，但内置的费率限制有助于减轻可能的影响。 这些限制对于通过控制系统请求速率来防止压倒性攻击至关重要。

父子团队找回 600 万美元丢失的加密货币

如果人们没有像 Cosmos 那样快速行动并且资金被盗或丢失，大多数人会认为他们的加密货币将永远丢失。 一对父子相信所有的希望都没有消失。 在新罕布什尔州，克里斯·布鲁克斯和查尔斯·布鲁克斯为无法使用钱包的加密货币用户带来了希望。 通过他们的加密货币资产恢复业务，他们已成功找回了超过 600 万美元的丢失加密货币资产。

大约 70% 的客户在丢失比特币钱包密码后寻求帮助，而且通常没有任何助记词备份。 这些种子词备份是一种恢复方法，在 2015 年之后开始被广泛采用。对于这些较旧或缺乏备份的钱包，Chris Brooks 还解释说，他们经常使用暴力软件来猜测丢失的密码。 考虑到在大约 45% 的案例中恢复访问的成功率，该方法显然非常有效。

此外，布鲁克夫妇还在更独特的恢复场景中提供了帮助，例如帮助卡萨修斯币（比特币存储的一种物理形式）的收藏家在硬币的部分保护膜损坏、遮盖了私钥的几个字符后找回丢失的密钥。

除了恢复密码之外，两人还涉足诈骗追踪领域。 他们分析交易哈希值，以追踪被盗资金到诈骗者的钱包，这些资金通常最终流向交易所。 尽管查尔斯·布鲁克斯为执法部门编写了详细的报告，但他们对追回诈骗损失资金的可能性持现实态度，因为这些案件的积极结果很少见，而且严重依赖法律干预。

女巫攻击呈上涨趋势

尽管像布鲁克斯这样的行善者做出了努力，加密货币行业仍然成为诈骗者和剥削者的积极目标。 事实上，随着女巫攻击的兴起，加密货币行业目前面临着重大挑战。

随着空投变得越来越有利可图，这些攻击变得更加普遍，诱使用户操纵系统来获取代币。 例如，Farcaster 协议上的 Degen memecoin项目最近通过协调发帖和人为参与，禁止了约 2000 名涉嫌“挖矿”的用户，破坏了其空投活动的完整性。

同样，Bitget钱包也有 采取的步骤 打击用户使用模拟器和云手机人为夸大推荐积分和下载量以追求 BWB 代币奖励。 尽管做出了这些努力，Bitget钱包 承认，在不惩罚诚实用户的情况下准确指出不诚实的参与者可能非常困难。 目前，为了保持公平，他们对前 50 名涉嫌虐待者的扣分进行了限制。

这个问题也出现在其他加密货币项目中，例如以太坊第 2 层协议 Starknet，开发者 Banteg 在空投活动中发现了超过 1,800 个账户参与操纵行为。 即使有这些披露，有问题的账户仍然包含在空投中，这暂时将 Starknet 的估值提升至超过 200 亿美元。

Gamic 总部 报告 据透露，Sybil 攻击通常涉及自动创建帐户和完成任务的脚本或机器人，从而扭曲代币分配，并可能损害项目的声誉和市场稳定性。 不过，报告也承认，这些挑战正在推动区块链项目开发更复杂的用户验证和公平分配方法。 根据您的看法，这场针对 Sybil 攻击的持续斗争可能有助于打造更强大、更安全的区块链生态系统。

什么是女巫攻击？

Sybil 攻击是一种恶意策略，用于通过创建大量虚假帐户或节点来破坏网络。 这种类型的攻击出现在各种在线和链上网络中，旨在操纵系统以获取攻击者的利益。 示例包括在线投票系统中的欺诈活动、在社交媒体上传播错误信息或恶意链接以及压制区块链网络中的合法节点。 这些系统的完整性至关重要，因为它们通常旨在确保一旦记录交易或投票等行为，它们就不可逆转且值得信赖。

在公共区块链的背景下，女巫攻击可能会破坏区块链的最终性——数据一旦写入区块链，就应该保持不变且不可删除的原则。 这种最终性对于防止加密货币双重支出等问题以及确保智能合约和去中心化应用程序的可靠性至关重要。

加密货币世界中的 Sybil 攻击通常涉及创建多个虚假节点。 单个攻击者或操作多个节点的团体可以伪装成多个独立的网络参与者。 这些假节点可能会影响重要的网络决策、拦截私人数据，如果它们增持了超过一半的网络哈希能力，甚至会执行 51% 攻击。 在这些情况下，攻击者可以改变区块链的历史记录，阻止交易被确认，或者双花硬币，严重破坏区块链的安全性和可靠性。

Telegram 用户成为复杂 Toncoin 骗局的目标

诈骗者还利用开放网络 (TON)区块链及其 Toncoin (TON) 代币的流行度大幅上涨。 根据一个 报告 据网络安全公司卡巴斯基称，该骗局至少从 2023 年 11 月起就一直活跃，涉及精心设计的推荐计划，旨在从毫无戒心的代币持有者那里骗取 Toncoin。

受害者最初是通过朋友或熟悉的联系人发送的链接联系的，邀请他们加入由非官方 Telegram 机器人管理的“独家收入计划”，该机器人谎称存储加密货币。 为了让该计划看起来更真实，诈骗者指示受害者通过官方 Telegram 机器人、点对点市场或加密货币交易所等合法途径购买 Toncoin。

当受害者被说服购买名称为“自行车”、“汽车”、“火车”、“飞机”或“火箭”等、价格在 5 到 500 Toncoin 之间的“助推器”时，骗局会变得更加严重。 这些助推器的价格在 2 美元到 2,700 美元之间，被标记为在系统中赚钱所必需的。 然而，一旦购买了这些助推器，受害者就会永久失去对其资金的控制权。

诈骗者还推行推荐计划，鼓励受害者创建私人 Telegram 群组，并使用提供的推荐链接邀请朋友，并附有俄语和英语的视频说明。 每个受邀朋友赚取 25 TON 的承诺以及基于推荐购买的加成费的额外佣金将该计划变成了经典的金字塔结构，除了协调者之外，任何人都不存在利润。

通过这个骗局，所有被称为“合作伙伴”的参与者最终都会失去投资，唯一的受益者是骗子自己。 到目前为止，尚不清楚该骗局的具体范围或影响。