近日惊爆加密货币圈的大新闻就是美国司法部成功追踪并逮捕了2016年盗取bitfinex近12万枚比特币(目前市值约45亿美元)的黑客Heather Morgan和IIya Lichtenstein。加密圈这两天一直在猜测黑客是如何入侵bitfinex的,加密货币KOL Eric Wall 2年前曾在纽约听过女黑客的社会工程学演讲,他发长推讲述了对女黑客演讲的观感和见闻。
我从HeaterReyhan处得到的主要收获是在/img/2022812161409/0.jpg">
Heather解释了社会工程如何利用人们的认知偏见:“触发人们做他们已经编程好要做的事情”。
给出“白/灰帽黑客”的例子,例如AirBnB创始人在冷电子邮件/打电话预订时假装是自己的经纪人。
Heather显然不是一个笨蛋。这显然是一个聪明人给出的演讲。
她说话的方式和关于她专业领域的推理表明,她有相当体面的社交技能、幽默感和谦逊感。
金色晨讯 | 7月9日隔夜重要动态一览:21:00-7:00关键词:Square、加密货币托管商、美国银行
1.Jack Dorsey证实Square正在建立比特币硬件钱包;
2.Osprey比特币信托正申请成为SEC报告公司;
3.瑞典国民因加密欺诈案被判15年徒刑;
4.英国一男子将在垃圾填埋场寻找其包含3.78亿美元比特币的硬盘;
5.第一中西部银行信托部门持有近2.95万份GBTC;
6.乌克兰安全局捣毁非法大型加密货币矿场;
7.Circle在收购及出售Poloniex的过程中损失1.56亿美元;
8.Tetra Trust成为加拿大首个受监管的加密货币托管商;
9.美国银行组建由Alkesh Shah领导的加密货币研究团队。[2021/7/9 0:38:32]
如果你无法将此与她的超现实主义说唱身份“Razzlekhan”相吻合,请阅读她《福布斯》专栏中的以下段落。
在过去的几天里,我从加密推特中看不明白的是,为什么都说“Razzlekhan”明显不胜任她的能力。愚蠢=经常有智慧的强烈迹象
她毫不掩饰自己在生活中使用社会工程的事实。举例说明她渗透到的地方。
金色财经合约行情分析 | BTC量价齐升向上冲击,暂受阻于9800美元:据火币BTC永续合约行情显示,截至今日16:00(GMT+8),BTC价格暂报9731美元(+0.72%),20:00(GMT+8)结算资金费率为-0.004647%。
BTC昨晚下探在9370美元一带获得支撑,出现快速反弹,最高涨至9830美元。根据火币交割合约数据,BTC季度合约成交额翻倍,持仓量出现大幅拉升,后随着价格在高位震荡有所回调,精英多头占比稳定,季度合约升水稳定。BTC目前价格在日K 30日线上方反复,市场结构保持稳定。
USDT于火币全球站OTC的报价为7.04元,溢价率为-0.45%。[2020/6/8]
她提到在埃及爬篱笆,使保安让她和朋友参观受限的宫殿,而不是把她赶出去。
我不知道Heather和Ilya是否是黑客,谁都想知道(fwiw)。他们完全控制私钥的事实当然意味着一些参与。
但他们也可以从真正的黑客那里偷走/找回它,也可以直接参与了黑客攻击。
以下是昨晚一些有趣的聊天
Mike Belshe - BitGo联合创始人兼首席执行官
Ben·Davenport - BitGo联合创始人兼首席技术官(在黑客攻击时)
金色午报 | 1月10日午间重要动态一览:7:00-12:00关键词:央行数字货币、吴忌寒、以太坊开发者Virgil、DApp
1. 央行:基本完成法定数字货币顶层设计、标准制定、功能研发、联调测试等工作。
2. 河北省政协常委:积极布局区块链技术在实体产业中的扎根落地。
3. 学习时报:区块链最重要的还是在运营。
4. 山东自贸试验区济南片区发出三千余张区块链营业执照。
5. 甘肃区块链信任基础设施平台启动上线。
6. 吴忌寒卸任比特大陆全资子公司“创客云”监事一职。
7. 以太坊开发者Virgil Griffith已保释出狱。
8. 总计不超过461个钱包持有ETH、LTC、ADA、Tether中的至少40%。
9. 以太坊、波场和EOS 2019年上线Dapp共占98%的交易总额。[2020/1/10]
Zane Tacket -?社区主任/img/2022812161409/4.jpg">
金色相对论 | 同舟资本创始合伙人张了了:熊市是投资和布局的最佳时机:在本期金色相对论之“矿业危·机”中,针对金色财经内容合伙人佟扬“在数字货币低糜的情况下,为什么看好矿池矿场行业的发展?”的提问,同舟资本创始合伙人张了了表示:“数字货币和矿业其实是相辅相成的关系,pow的数字货币靠算力挖矿保障其安全性,如果没有矿池矿场集中算力的支持,pow的数字货币的安全性将无法保障。相比于高风险高流动性的数字货币,矿场矿池的投资和建设牺牲了一定的流动性,但收益更加长期和稳定。个人认为,熊市永远是投资和布局的最佳时机。纳米技术到极限,矿机的生命周期会延长,选择在熊市入场,等待下一轮行情,可能是更多行业投资和参与者的选择。但最后还是需要强调的是,任何投资,不管是数字货币还是矿业,都一定要在自己承受范围内去投资。”[2018/11/19]
上一张截图很有趣。/img/2022812161409/8.jpg">
通常,当涉及0day漏洞等的黑客*技术上非常复杂时,目标会分享尽可能多的细节(以免除内部人士的怀疑等)。
如果他们不分享细节,更有可能以他们不引以为豪的方式发生。
回到谈话中。
Heather提到她通过社交工程认识的人。有照片拼贴画。我们可以看到John McAfee第一排,第三列。
她还提到了与这样的人快速建立融洽关系的技巧。
她列举了一些如何影响他人的例子。
-?奉承
-对他们有用
-?贿赂
-?恐惧
出于某种原因,她强调了最后一个。她说,让别人处于报警的风险下,但如果你巧妙地这样做,它可以很好地工作......
她谈到首先在网上对目标进行尽可能多的研究。比如目标地区地图。公司组织结构图看起来像什么。跟踪人们的社交媒体。找出他们的喜好/厌恶。
Bitfinex首席技术官Paolo Ardoino正在阅读此长帖,并刚刚补充说,黑客是如何攻击成功的,可能值得写一本书。
我希望人们停止问这个问题。*没有*证据表明私钥在云存储中未加密。我已经发了这条推文。
一些进一步的解释,因为人们似乎可以放弃任何设法黑客入侵Bitfinex的人一定是超级人的想法
你不能接受黑客不完美吗?老实说,一个真正有才华的人不需要犯下冒险罪行就能实现他们的目标......
此外,在云存储中保留包含私钥的加密文件并不愚蠢!当然,这增加了一定程度的风险,但如果加密良好,它不一定会导致黑客攻击......
联邦调查局首先通过区块链追踪他们,发现他们使用/img/2022812161409/14.jpg">
在联邦调查局知道他们是谁后,他们没收了所有设备。分析设备。也许他们发现某个地方不小心记录了部分密码,并强硬地执行其余密码。也许他们找到了完整的密码。无论如何,错误已铸成,*没有*在云上拥有加密
或者也许演出结束后,他们甚至故意放弃了密码?正如/img/2022812161409/16.jpg">
无论如何,回到Heather。她提到了如何使用研究中的信息建立融洽关系的示例。也许你碰巧站在你研究过的一些他们喜欢的食物等。
我的解释:基本上是巴尼·斯丁森风格的追求目标。
Tom Trevethan说bitfinex被攻击是因为有bitfinex员工并打开收到自己宠物狗被撞伤的邮件导致的,这是我个人之前从未听说过的事情
这些是非常常见的社会工程技术(关于“达成一片”的主题)。
比如,你可以穿上杂工的衣服,走进一家繁忙的商店,看起来像你属于这几位商店,然后开始把昂贵的衣服从大楼里搬出来,说你在修理什么东西什么的。
她提到,她个人最喜欢的衣服之一是分层衣服,因为你可以边走边改变外观(脱下层/衣服=>新外观),并提到你可以用围巾做些事情来疯狂地改变自己(例如,必要时把它变成头巾)。
她讲述了搞砸的个人故事,比如试图通过阅读门卫保存的名单来进入某个地方,并意外+无意中试图冒充一个大个子男人。
听起来她对此非常热情,并在野外尝试了很多
这张PPT笑死我了。
它现在分为练习,这些练习将基于Heather实际经历的现实生活中略微调整的隐私情况。
有人问她为什么要这样做,她回应“挑战它”。
演讲结束她讲述了一些故事,还提到了她的朋友做了什么(例如,一个闯入Y Combinator活动并从Paul Graham那里获得资金的朋友),以及她的朋友是如何相互扮演的——例如,如果一个人被抓住了,他们就变回真的自己。
这很有趣,因为听起Heathe可能是某种黑客/社交工程师集体娱乐的一部分(如果这是她的爱好,这并不奇怪),这表明她可能不是单独攻击bitfinex,而是这样做的团队的一员。
最后,她被问及道德问题。她讲道,对她来说,“目的证明手段的合理的性”,并以“我想说我有自己的道德规范”结尾。
当年演讲视频地址:Youtu.be/JmahJCWJ8iM
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。