- 置顶
- 📢 Gate.io动态大使正在火热招募中!
还不知道如何参加成为动态大使?
查看下图 👇️
🎁 成为动态大使,解锁专属特权,享受专属周边福利!
- 专属福利任务
- 精美周边
- 粉丝专属红包支持
- 动态VIP5、黄V特权
- 每月荣誉大使评选
赶快点击报名链接参与 ➡️ https://www.gate.io/questionnaire/4937
更多:https://www.gate.io/announcements/article/38592
- 亲爱的动态用户们,动态使用界面全新升级啦!新版本界面更清新简洁、操作更流畅丝滑,还有多项贴心新功能上线,快来更新体验吧!你对新版界面有什么感受?你最喜欢的新功能是哪一个?你发现了哪些惊喜或变化呢?发帖分享新版动态使用体验,瓜分 $50 分享奖励!
🎁 我们将精选 5 位发布优质帖子的幸运用户,每人奖励 $10!
参与方式:
1. 关注 Gateio动态_Official;
2. 带上 #我的动态升级体验# 标签发帖,分享你的使用感受,比如界面风格体验、细节功能变化、你最喜欢的新功能,或优化建议等;
3. 帖子内容需至少 30 字,并且只带本活动标签;
动态界面焕新介绍文章:https://www.gate.io/post/status/10738915
活动截止时间:2025/5/16 18:00(UTC+8)
你的体验是我们持续优化的动力!赶快参与和大家分享吧!
- Gate.io Launchpad首发上线: $PFVS
投入 $USDT ,瓜分 10,000,000 $PFVS !投入越多,可获代币越多!
📅 认购时间:5月13日 11:00 – 5月16日 20:00(UTC+8)
只需 $1 即可参与:https://www.gate.io/launchpad/2300
了解更多:https://www.gate.io/announcements/article/44878
#GateioLaunchpad#
- OBOL 项目分享活动开启!调研 Obol (OBOL) 项目,在Gate.io动态发布您的看法观点,瓜分 $100 OBOL!
💰️ 选取10名优质发帖用户,每人轻松赢取 $10 OBOL 奖励!
项目简介:
Obol 致力于分布式、去中心化和民主化未来的数字基础设施——从以太坊开始,并扩展到整个 Web3 平台。作为 Layer 1 区块链和去中心化基础设施网络的基础,Obol Collective 拥有全球最大的去中心化运营商生态系统。目前,全球超过 800 个去中心化运营商运行 Obol 分布式验证器 (DV),保障主网超过 10 亿的资产安全,Obol 正在赋能下一代去中心化系统。
参与方式:
1.调研$OBOL项目,发表你对项目的见解。具体可包含但不限于:
🔹 Obol 是什么?
🔹 Obol 去中心化验证器有何优点?
🔹 $OBOL 代币经济模型如何运作?
2.带上$OBOL现货交易链接:https://www.gate.io/trade/OBOL_USDT
3.推广$OBOL Launchpool 质押挖矿活动,分享OBOL Launchpool 参与步骤及质押福利,质押$GT、$BTC、$OBOL 免费瓜分2,250,000 $OBOL空投奖励,年华收益率高达168%:https://www.gate.io/launchpool/OBOL?pid=291
- 👩 Gate.io 动态用户体验调研活动开启!💻
💙 诚挚邀请您参与我们的问卷调查,您的宝贵意见将帮助我们不断优化产品,提升体验!
💰 完成并成功提交问卷,即有机会瓜分$200 点卡奖池!
👉 立即参与:https://www.gate.io/questionnaire/6641
⏰ 活动时间:5月8日 16:00 – 5月18日 24:00 UTC+8
黑客利用Ledger主持人账户传播网络钓鱼链接
这次最新的攻击紧随之前的网络钓鱼活动,包括在四月发送给客户的假冒Ledger品牌信件。以太坊最新的Pectra升级还通过EIP-7702引入了一个危险的漏洞,使得链下签名成为可能,这可能允许黑客在没有用户确认的情况下控制钱包。这引起了安全研究人员的一些重大担忧,他们甚至称这一威胁为关键。在BNB链上,Mobius Token (MBU)遭受了215万美元的攻击,当时一个恶意智能合约抽走了数百万个代币并将其转换为稳定币。
再次针对账本用户
硬件钱包提供商Ledger确认,其Discord服务器已被安全保护,此前一名攻击者于5月11日入侵了一名管理员的账户。攻击者利用该账户发布恶意链接,旨在欺骗用户透露他们的钱包种子短语。
据Ledger团队成员Quintin Boatwright表示,泄露事件很快得到了控制。受损的管理员账户被移除,恶意机器人被删除,诈骗网站被举报,所有权限也进行了审核并锁定,以防止进一步的滥用。然而,一些社区成员指控攻击者滥用管理员权限禁止和静音试图报告泄露事件的用户,这可能延迟了Ledger的初步响应。
此次诈骗涉及一条消息,声称在Ledger的系统中发现了新的漏洞,并催促用户通过一个欺诈链接验证他们的种子短语。用户随后被提示连接他们的钱包并关注虚假的屏幕指示,这对资金安全构成了严重风险。目前尚不清楚是否有用户成为此次诈骗的受害者,但欺骗性消息的截图在X上广泛传播。
这最新的钓鱼尝试遵循了一个令人不安的趋势。四月,骗子向Ledger硬件钱包的拥有者发送了实体信件,敦促他们通过二维码输入他们的恢复短语,借此进行安全检查。这些信件有官方品牌和引用,使其看起来合法。
一些收件人推测,这些邮件与2020年7月的一个数据泄露事件有关,当时超过270,000名Ledger客户的个人信息,包括姓名、电话号码和地址,被泄露到网上。在数据泄露的下一年,几位用户报告收到伪造的Ledger设备,这些设备被植入了恶意软件。总体来看,似乎Ledger的客户正被复杂的诈骗者特别针对。
Pectra 更新引入了危险漏洞
不仅是Ledger用户需要保持警惕。以太坊最近的Pectra网络升级于5月7日上线,推出了旨在提高可扩展性和增强智能账户功能的强大新特性。然而,它也暴露了一个严重的新攻击向量,这可能允许黑客仅通过链下签名来清空用户的钱包。
问题的核心是EIP-7702,这是升级的一个关键部分,它使用户能够通过签署消息将其外部拥有账户(EOAs)的控制权委托给智能合约 — 无需提交链上交易。
此更改允许攻击者通过网络钓鱼尝试或虚假应用程序来利用毫无戒心的用户。如果恶意行为者获得有效签名,他们可以使用 SetCode 交易 ( 类型 0x04) 在受害者的钱包中安装代码,将调用重定向到攻击者控制下的合约。从那里,他们可以在用户从未授权典型交易的情况下将 ETH 或代币转出钱包。安全研究人员 Arda Usman 和 Yehor Rudytsia 确认这一风险是迫在眉睫和关键的。依赖于传统假设的智能合约,如 tx.origin 检查,现在变得脆弱。
此攻击特别危险的原因在于,它可以通过普通的链下互动轻松部署——Discord 消息、网络钓鱼网站或虚假 DApp。未能正确显示或解释新交易类型的钱包界面尤其容易受到攻击,由于链_id = 0 签名的潜在风险,签名甚至可以在任何以太坊兼容链上重用。Rudytsia 解释说,从现在开始,甚至硬件钱包也容易受到签署恶意委托消息的攻击。
用户被敦促不要签署他们不理解的消息,特别是那些涉及账户随机数或不明格式的消息。钱包开发者必须迅速适应,通过集成签名解析和清晰的警告,来应对委托尝试,因为EIP-7702启用的消息常常绕过现有标准,如EIP-191和EIP-712。
虽然多重签名钱包由于需要多个批准而提供更多保护,但单钥钱包仍需发展以检测这些新威胁。除了EIP-7702,Pectra升级还包括EIP-7251,将验证者质押上限提高到2,048 ETH,以及EIP-7691,改善了通过增加每个区块的数据块数量来提高二层扩展性。不幸的是,委托机制的意外后果已经证明是一个主要的安全隐患。
Mobius 代币被漏洞利用
与此同时,根据区块链安全公司 Cyvers Alerts 的报告,超过215万美元的数字资产在5月11日针对 Mobius Token (MBU) 的智能合约上被盗,发生在 BNB Chain 上。此次攻击执行得非常精准,在恶意智能合约部署后仅仅几分钟内便开始。Cyvers 在攻击发生之前就对此表示了怀疑。
攻击者于大约07:33 UTC时使用钱包地址0xb32a53…发起了攻击,时间仅在部署恶意合约后的两分钟。此次攻击针对的受害者钱包被识别为0xb5252f…,成功窃取了2850万MBU代币。被盗代币随后迅速转换为USDT稳定币,导致总损失为$2,152,219.99。Cyvers确认攻击者使用合约地址0x631adf…进行了一系列恶意交易。
这家安全公司将这一漏洞标记为“关键”,因为黑客使用的合同逻辑和异常交易行为令人怀疑。目前,攻击者的钱包仍然处于活动状态,被盗资金已被存入Tornado Cash。
这一漏洞是2025年加剧的加密盗窃潮流的一部分。根据区块链安全公司PeckShield的报告,仅在4月,就有近3.6亿美元的加密资产在18起重大黑客事件中被盗。这比3月的损失增长了990%,当时仅有3300万美元因黑客攻击而损失。
四月份总额的一个最严重事件是一个未经授权的330百万美元比特币转移,后来确认是针对一位老年美国居民的社会工程攻击所致。
总体而言,Mobius Token 的漏洞再次提醒我们,DeFi 平台迫切需要改进合约审计和实时威胁检测系统。