作业借你抄
19.1K posts
作业借你抄
@chaozuoye
不是KOL ,公众号理财博主(已封)喂饭级博主| 合作TG👉: @chaozuoye| #OKX 新人首选一站式链上链下交易平台👉https://t.co/mb4fnWzjyB
Katılım Şubat 2020
2.4K Takip Edilen55.4K Takipçiler
1万块钱提升家庭和谐度
TOP1 : 扫地机器人 预算3000
现在的扫地机器人已经很成熟了,买个自动上下水的,基本一个月丢一次垃圾就行
家里有宠物缠毛问题的推荐云鲸,我家萨摩耶+布偶,完全不缠毛
TOP2 : 烘干机 预算3000
强烈推荐独立式烘干机洗衣机早就普及了,但晾衣服还是体力活
有了烘干机之后,我家智能晾衣杆直接吃灰
TOP3: 洗碗机 预算4000
提升感不如前两个强,但每次拿碗都是热的、干爽的,家里有父母同住的非常建议买
Eva 树姐👧🏻@EvaCmore
我也想花几十万娶个媳妇 给我生几个娃儿,天天给我洗衣做饭,打扫卫生,这比请一个免费保姆便宜太多了。 我不会介意每个月给她几千块生活费,照顾家庭开支。我会偶尔给她买个礼物逗她开心,给她点情绪价值。 要是她能自己上班赚钱,那就更好了,我还可以少给点钱。
中文
住过的大部分奢华酒店外卖只送到大堂,还得自己下去取
反而亚朵、全季这种快捷酒店,机器人直接送到门口
住得越贵,服务越少 🙂
ahhhhfs@abskoop
现在高端酒店 都派人亲自拿外卖送上来了吗🥲
中文
古法撸毛的墓志铭:3 年,3 家浏览器,超 500 万美元
2023 年,比特浏览器用户一夜醒来,钱包归零。
2025 年,AdsPower 用户更新了一次插件,几百万美元蒸发。
2026 年,一批 MoreLogin 用户报告资金异常,事件仍在调查中。
同样的故事,换了个名字,又来了一遍。
博主 @chaozuoye 最先拉响警报:黑客地址已卷走近 6 万美元,还在继续(参考:x.com/chaozuoye/stat… )。慢雾创始人余弦介入后确认,这是一场针对撸毛群体的批量盗币,累计损失迅速突破 8.5 万美元(分析原文:x.com/evilcos/status… )。余弦 @evilcos 同时强调:尚无直接证据指向 MoreLogin 本身。官方声明称已启动调查(官方声明:x.com/more_login/sta… )。
事件仍未定论。但所有受害者有一个共同身份:指纹浏览器用户。
这一幕,撸毛圈太熟悉了。
比特浏览器服务端缓存数据遭黑客入侵,涉及超 3000 个钱包,损失超 50 万美元。官方回应:甩锅 WPS。
AdsPower 遭遇供应链攻击。黑客入侵服务器,将插件替换为恶意版本。所有更新该插件的用户私钥泄露,超 2 万个地址、近 500 万美元资产被洗劫(事件回顾:x.com/OneKeyCN/statu… )。一年后,AdsPower 悄悄删除了当时的被盗公告,仿佛一切都没发生。
这些中心化、不开源的黑箱工具就像是定时炸弹。
它们往往有两个致命特点:第一,有能力作恶,能够直接接触到用户的钱包私钥缓存;第二,有动机作恶,托管的资金量远超其商业模式收入。
两者结合,没黑客,也要「有」黑客。
黑箱里的刀:指纹浏览器是怎么偷走你的钱的
只要你在联网电脑上使用钱包,私钥和助记词就缓存在本地,签名操作也在同一台设备上完成。这意味着攻击面是敞开的。总结过往事件,手法大致可以归为三类(详情参考:x.com/OneKeyCN/statu… ):
第一类:篡改插件,供应链攻击。 这是最致命的方式,也是 AdsPower 事件的核心手法。黑客不需要攻击你的电脑,只需要攻破浏览器的服务器,把插件替换成恶意版本。你以为自己在正常更新,实际上是在把私钥双手奉上。
第二类:缓存上传,暴力破解。 你的热钱包(比如 MetaMask)的私钥缓存以加密文件的形式保存在设备本地。一旦设备中毒,这些文件会被打包上传到黑客的服务器。如果你的锁定密码强度不够,黑客拿到缓存后可能几分钟就能暴力破解(缓存破解风险详解:x.com/OneKeyCN/statu… )。
第三类:键盘记录与远程控制。 高级木马可以记录你的每一次键盘输入,拿到钱包的解锁密码。更激进的做法是直接在夜深人静时远程控制你的设备,打开钱包,完成转账。
这三种手法有一个共同前提:
你的私钥缓存和签名操作,都放在联网设备,并运行在不开源可升级的软件中。
只要这个前提存在,再复杂的加密算法也抵不过一行被注入的恶意代码。
拆弹:两条路,一个原则
面对这种结构性风险,解法只有一个原则:把私钥从联网环境中彻底剥离出去。
路径一:开源浏览器 + Vibe Coding。 如果你有一定的技术能力,完全可以抛弃闭源的商业指纹浏览器。目前 GitHub 上已经有不少开源的反检测浏览器方案,你可以结合 AI 辅助编程(Vibe Coding)自行搭建和定制环境。代码开源透明,没有后门风险。不过这条路门槛较高,配置复杂,缺乏官方支持,我们并不作为首选推荐,但它确实是一个可行的方向。
路径二:硬件钱包,物理隔离。 对于工作室和团队来说,这是目前最成熟、最可靠的方案。
为什么?因为硬件钱包的核心逻辑就是物理隔离。
以 OneKey 为例,它的设计初衷就是让私钥远离病毒、木马和钓鱼攻击:
> 只进不出:助记词一旦输入硬件钱包,就保存在 EAL6+ 级别的离线安全芯片中,根本没有「导出查看」的功能。
> 绝对隔离:即使你的联网电脑或手机被黑客完全控制,他们也无法顺着网线获取到你的离线备份私钥,更无法代替你进行物理按键确认。
> 开源透明:OneKey 的软硬件代码从第一天起就完全在 Github 开源,并接受慢雾等顶级机构审计,拒绝黑箱操作。
对于需要多人协作的撸毛工作室,OneKey 还解决了一个更现实的问题:如何让员工操作钱包,但永远接触不到私钥?
流程很简单:离线生成助记词,导入硬件钱包,把硬件钱包派发给员工。员工只能通过物理按键确认交易,私钥始终锁在芯片里,配合多签机制,即便硬件钱包丢失或员工离职,资产依然安全。这套方案的详细实操教程可以参考这篇文章:《「黑奴」指南:如何安全地把硬件钱包借给朋友/团队员工使用?》(教程:x.com/OneKeyCN/statu… )。
此外,OneKey 硬件未来也将上线效率更高的 AI Agent 版本,敬请期待。
写在最后
最聪明的大脑,最美丽的叙事,却有最多的人倒在牛市来临之前的黑客事故。
不要再把命运交给了一个你看不见内部的黑箱了。
不要用真金白银去测试人性了。
区块链这座黑暗森林里,永远牢记两大安全法则:
> 私钥零信任。 简单来说就是保持怀疑,而且是始终对中心化的闭源软件保持怀疑。始终使用干净的电脑设备做和钱有关的操作。
> 分散资产。不要把所有资产放在同一个钱包、同一台设备、同一个工具里。热钱包只放日常交互需要的小额资金,大额资产转入硬件钱包离线保管。多个钱包、多套助记词、多签机制,任何单点被攻破都不至于全军覆没。
最后,祝各位剑开天门,没有后门。
OneKey 中文@OneKeyCN
撸毛圈传来噩耗,资金集体飞升黑客星球 ——记 Ads Power 指纹浏览器之殇 少年,听说你想用 0 撸剑开天门? 可曾想过,长老送你的这把利剑有「后门」! 1月25日,Web3 撸毛圈已经沉浸在年前的氛围中,等着年后分享 Bera、Linea 等空投喜悦。 殊不知,一场大劫来临。 黑客在 1 月 17 日就已摩拳擦掌。他注册登记了作案用的域名 logcollection[.]info,入侵了比特浏览器服务器,替换了 Ads Power 指纹浏览器的插件,让更新这个版本的插件的用户私钥全部泄露。 诡异的是,东窗事发之时,Ads Power 居然是先通过微信等私人方式联系部分用户告知被盗风险,没有选择立刻大范围警告。 当慢雾创始人余弦于 25 日 11:15 分在社交媒体发出警告时,超过 20,000 个地址、近 500 万美元的资产已在被无声收割,多少工作室养了几年的地址集群一朝作废。 只有少部分消息快的人和黑客赛跑成功,抢救回了资产。 🟢 中心化黑箱工具就 TM 是定时归零炸弹 这一灾难般的场景,何其眼熟? 就在 3 个月前,知名顶级 meme 交易工具 Dexx 用户的私钥尽数被盗,一觉醒来资产清零。 就在一年多前,同类工具比特浏览器发生盗窃,最后不了了之。(甚至还甩锅给了 WPS) 更眼熟的是,不久之前 Ads Power 还在投放推广 KOL 邀请注册返佣。翻翻 Ads Power 的推特历史,还能看到其 1 月 3 号刚以 90+ 分【高分】通过了 Certik 的安全认证审计,而 Certik 的推文已经悄悄地删除了,留下一个空荡荡的不可见引用推文。 更多的作案细节,安全机构仍在跟进调查中。无论是监守自盗还是外部入侵,都无一不说明了这种中心化的、不开源的黑箱工具的恐怖。 这种可能暴雷的工具往往有两个特点: 1)有能力作恶。这些工具往往能够直接接触到用户的钱包私钥缓存,甚至直接就能托管你的私钥——并且处在联网动态更新环境、对于用户不开源。 2)有动机作恶。托管/接触的资金的量和增长的速度,都远远超过了其商业模式收入,内部人员有 ROI 极大的盗窃跑路诱惑,成功了一辈子荣华富贵,谁看了不迷糊? 当然,也有第三种情况,就是安全防御能力匹配不上用户的增长,成为黑客的目标,被入侵拿下。 🟢 大道至简,请离线隔离你的私钥 不要嫌 OneKey 啰嗦….我们一遍一遍地强调过:只要你在联网电脑上的钱包,私钥助记词是缓存在电脑、并且签名操作在电脑操作的,都有可能导致资产被盗!!! 当签名环境与网络连接共存于同一内存空间时,再复杂的加密算法也抵不过一行被注入的恶意代码。 就比如你下载的随便一个视频播放器,突然哪天被黑客入侵。有能力的黑客,直接上传你的私钥缓存暴力破解,没能力的,记下你的 PIN 直接远程操作你的钱包转账。 那为什么指纹浏览器成为了目标?因为它是币圈撸毛精准用户——有钱可偷呀!毕竟 Web3 还是小众的,随便入侵一个软件,Web3 用户可能都不到 0.1%。 这一次被盗事件,你大可以打听一下,使用硬件钱包(OneKey、Ledger、Trezor 等)的工作室,都没有被盗。 为什么? 这些硬件钱包的目的就是帮助用户更好地离线地保护自己的私钥,保证私钥锁定在 EAL6+ 加密芯片中,没有任何利益方接触。它要确保的是——私钥从生成、备份到储存都永远不和网络连接。 以 OneKey 为例, OneKey 的硬件钱包和软件钱包更是从第一天就【完完全全】地在 Github 开源公开代码并被慢雾审计。物理的隔离,代码的限制,让被入侵的可能性降到最低。OneKey 有 Coinbase、Dragonfly 等知名机构的大额融资,不会发币,更不托管用户的私钥。 老实说,安全和便利有时候有些冲突。需要抄写助记词、手动确认每次交互、甚至使用硬件钱包来保存私钥、作转账签名。 或者你有技术能力/钞能力,花时间做个自己的多开操作脚本,而不是使用中心化不开源第三方,用着放心。(目前第三代的撸毛工作室基本都有这种技术能力了) 但这本身是有点反人性的,因为人都是懒惰的。 大部份人都想着「这种事情不会发生在我的身上吧?」,但只要发生一次,就归零,回归原点。 🟢 总结 最聪明的大脑,最美丽的叙事,却最多的人倒在牛市。 打听打听过去的中心化暴雷事件吧,哪一个不震撼人心? 那些门头沟、FTX 以及一众项目方的烟花好看吗? 用户的亿万级真金白银换的。 万千财富灰飞烟灭,仅在一刻之间。 希望你不要继续做侥幸者,学会隔离私钥自托管,适当出金,守护住你的大结果。 —— 🎁 既然你看到这里,OneKey 就偷偷抽个奖吧。 评论转发,痛快抽 1 台最新的 Classic 1s 硬件钱包,我们会和上次的抽奖一起开奖:) 最后祝各位剑开天门,没有后门。
中文
@chaozuoye 这三样我都配置了,为啥感觉还是很鸡肋,扫地机器人我总感觉扫的不干净,抹布也要换,烘干机除非急着穿,不然还是想晾晒一下,洗碗机每次还要放进去,餐具少了都不想启动
中文
