Sabitlenmiş Tweet
OneKey 中文
6.1K posts
OneKey 中文
@OneKeyCN
安全、易用、开源。 OneKey 引领钱包新标准。 同时被 @Binance 和 @Coinbase 投资采用的安全硬件和软件钱包。 需要帮助? https://t.co/kpeo9PMVrp 开工单一对一解决。
官网下载或购买 👉 Katılım Temmuz 2022
233 Takip Edilen36.7K Takipçiler
Drift 2026年4月 $2.85亿
Bybit 2025年2月 $14亿
两家都用了硬件钱包 + 多签,
但如果硬件钱包不支持独立解析 + 独立验证签名,照样被秒。
攻击者通过社工/感染前端UI,让签名者在电脑上看到“正常转账”,但实际签的是恶意权限变更或转账。
硬件若只能“盲签”,就完全无法发现。
靠谱的硬件钱包,必须在设备自己的可信屏幕上完整独立解析交易内容(地址、金额、合约调用、权限变更等),让用户“所见即所得”地验证后再签名。
独立解析 + 独立验证才是防止被社工的护城河。
Drift@DriftProtocol
中文
@ZLiao3 @DriftProtocol @OneKeyHQ @ohyishi 要看硬件钱包是否有独立签名解析能力,
之前 bybit 也是用了某家不支持解析的「盲签」了
x.com/OneKeyCN/statu…
OneKey 中文@OneKeyCN
整个以太坊的多签资产差点被一锅端, Bybit 被盗 15 亿的安全报告太特么意外了! 简单理解: 1) 报告:Safe 负主要责任 黑客入侵了 Safe 的一台开发者机器,拿到他们的 AWS 服务权限。 随后提前两天部署了包含恶意代码的 Safe 前端逻辑,这个恶意逻辑专门针对 Bybit 的多签合约——就等着他们上钩。 此前多方都猜测前端修改是 Bybit 机器的本地修改,没想到竟然是 Safe 那边服务器远程修改。 黑客第一攻击目标选择了最肥的肉,不敢想如果 Safe 前端没有及时停止,还会有多少个亿要被盗。 2)补充:Bybit 如果进行签名解析可以避免! 从 OneKey 的角度看,Bybit 对签名的没有做任何解析,不管是 App 钱包还是硬件钱包,都直接盲签了。 评论附上完整报告。
中文
恐慌个 der。
量子威胁真实但远未迫在眉睫,社区早已准备后量子密码迁移。
Google 2029 年量子迁移截止日期,只是公司内部目标,与比特币被破解毫无关系。
“626 万 BTC 面临量子风险”严重夸大:只有早期 P2PK 地址永久暴露公钥。
担心地址反复使用不安全,钱包也都有自动换新功能。 OneKey App 设置 >钱包>多地址模式,可以开启自动换新比特币地址找零功能。
当前量子计算机只有几千个噪声量子比特,破解 ECDSA 需要数百万稳定量子比特,差距极大。届时银行和互联网的密码安危才是首要问题,涉及的经济体量要比比特币大多了。
OneKey 中文@OneKeyCN
站起来,不准跪! 比特币当然不怕量子计算。 华尔街和你在同一条船上,你在慌什么? 谷歌的量子芯片 Willow,距离破解比特币仍有非常非常非常非常非常遥远的距离。 OneKey 为你去魅 🧵(1/4)
中文
又来了,axios 供应链遭投毒。
axios 是 JavaScript / Node.js 最流行的 HTTP 请求库之一。
大家在 AI 编码工具(Cursor、Copilot、Claude 等)生成代码时,默认就是 npm i axios 不锁版本,安装了恶意版本 1.14.1 和 0.30.4 的话,就是直接踩雷。
你可以做些什么?
> 检查项目依赖(package.json 和 package-lock.json / yarn.lock)
> 安全版本:1.14.0(1.x) / 0.30.3(0.x)
> 如果装过受影响版本 → 视为机器可能已沦陷,立即轮换所有密钥、凭据、密码!
OneKey 安全团队在感知到威胁情报后,已对所有仓库和服务进行全面排查,确认未受此次 axios 供应链攻击影响。我们所有仓库均使用了安全的版本锁定机制,可有效预防类似攻击。
供应链攻击越来越狠,锁版本 + 定期审计是保命习惯。
Feross@feross
🚨 CRITICAL: Active supply chain attack on axios -- one of npm's most depended-on packages. The latest axios@1.14.1 now pulls in plain-crypto-js@4.2.1, a package that did not exist before today. This is a live compromise. This is textbook supply chain installer malware. axios has 100M+ weekly downloads. Every npm install pulling the latest version is potentially compromised right now. Socket AI analysis confirms this is malware. plain-crypto-js is an obfuscated dropper/loader that: • Deobfuscates embedded payloads and operational strings at runtime • Dynamically loads fs, os, and execSync to evade static analysis • Executes decoded shell commands • Stages and copies payload files into OS temp and Windows ProgramData directories • Deletes and renames artifacts post-execution to destroy forensic evidence If you use axios, pin your version immediately and audit your lockfiles. Do not upgrade.
中文
警告:SteakhouseFi 前端被 Inferno Drainer 黑客劫持了。
这个协议 TVL 高达 22 亿美元,覆盖 48+ 个 vault、7 条链、13.9 万用户,还是 Morpho 最大的 vault curator,并且和 Coinbase DeFi Lend 深度集成。
建议有接触过的朋友:
1、立刻停止使用 Steakhouse 的网页前端
2、赶紧检查自己最近的 approve 授权
3、用 revoke.cash 把可疑授权全部撤销
这次攻击又是因为前端托管在 Vercel 上,而且没加 CSP 安全头……跟之前 OpenEden、Curvance、Curve 被黑的套路一模一样。
DeFi 项目把合约安全做得再好,Web2 前端依然是最薄弱的环节。
这个黑客 Inferno Drainer 去年说关停后,现在又卷土重来,还用上了链上加密 C2、Cloudflare Workers 代理、EIP-7702 批量授权等新花招。
建议所有 DeFi 用户以后交易前都打开 OneKey 交易模拟防护!安全第一。
Steakhouse Financial@SteakhouseFi
🚨🚨Do not interact with the Steakhouse app until further notice. Our team has identified a phishing attack on Steakhouse domain (both app and website). No deposits are at risk. No contracts are affected. All Steakhouse depositors are safe. The issue may impact new users interacting with the malicious website served by the attacker. We are working to restore the frontend as soon as possible. We will communicate all updates asap.
中文
OneKey 中文 retweetledi
原来去年 OneKey 就内嵌了 Perps,原生 Hyperliquid,前端 0 费率!
在 HL 交易,不少人没意识到被前端钱包吃了不少手续费,有个地址刷合约交了快 18 万刀手续费,你猜怎么着,只有 5 万刀给了 HL,剩下 13 万多全被 MetaMask 拿走了。这就是所谓的 Builder Fee。市面上的钱包前端,有的收 0.1%,有的收 0.05%。手续费一来一回能差出十倍。
你以为在炒币,其实是在给钱包打工,交易量稍微大点,一年白扔一辆特斯拉。
@OneKeyCN 直接把 Hyperliquid 嵌进自家钱包里,网页和 App 点开就能玩,一分钱前端费都不收。
这就相当于你直接用底层的深度,不用给中间商交过路费。除了大饼以太,美股的英伟达特斯拉,加上黄金原油和预上市代币,全都能搞。
如果还没体验过one key钱包,下一个,你就回不去~
🔗onekey.so/r/OU5L1B
中文
