Binance Square
#opsec

opsec

52,465 مشاهدات
59 يقومون بالنقاش
LIVE
会飞的比特币
·
--
صاعد
安全布局再升级!$1INCH 正式加入 OPSeC 行业安全联盟 OPSeC 由 DeFi 教育基金、SEAL 组织、Asymmetric Re 联合发起,是面向全区块链生态、链上软件的行业网络安全协作联盟。 1inch 入局后,将和行业各方协同联动,统一推进加密行业主动式安全防护工作,共享威胁情报、共建安全标准,降低各类钓鱼、运营安全、合约攻击风险。 #1inch #Web3安全 #OPSeC {future}(1INCHUSDT)
安全布局再升级!$1INCH 正式加入 OPSeC 行业安全联盟

OPSeC 由 DeFi 教育基金、SEAL 组织、Asymmetric Re 联合发起,是面向全区块链生态、链上软件的行业网络安全协作联盟。

1inch 入局后,将和行业各方协同联动,统一推进加密行业主动式安全防护工作,共享威胁情报、共建安全标准,降低各类钓鱼、运营安全、合约攻击风险。

#1inch #Web3安全 #OPSeC
تمّ التحقق
مقالة
Control de Riesgo P2P🔒🇻🇪 CONTROL DE RIESGO: El P2P de Binance y la delgada línea de la legitimación de capitales en Venezuela El comercio entre pares (P2P) se ha consolidado como la columna vertebral de la inclusión financiera y la liquidez diaria en Venezuela. La plataforma de @Binance provee el entorno más robusto y con mayor profundidad de órdenes en la región; sin embargo, operar de forma diaria en el mercado de bolívares y monedas estables exige comprender que el ecosistema bancario local se encuentra bajo una fiscalización extrema por parte de los entes reguladores (Sudeban y la Unidad Nacional de Inteligencia Financiera - UNIF). 📊🚨 Para un trader o usuario recurrente, no basta con "completar la transacción con éxito". El verdadero desafío radica en la prevención: el desconocimiento de las dinámicas financieras puede convertir tu cuenta bancaria en el eslabón de una cadena de legitimación de capitales (lavado de dinero) o fraudes de triangulación, exponiéndote a bloqueos preventivos, investigaciones o cierres de cuentas. 🔍 Las 3 Amenazas Principales en el Tablero Local El "campo minado" del P2P no suele originarse por fallos en el sistema de custodia en garantía (escrow) de Binance, sino por el origen de los fondos en el sistema bancario tradicional: 1. La Triangulación de Fondos (Estafa del Tercer Pagador): Ocurre cuando interactúas con un contraparte que utiliza la cuenta bancaria de un tercero sin su consentimiento (identidad robada o phishing bancario). Tú liberas las criptomonedas de forma legítima, pero horas o días después, el dueño real de la cuenta bancaria denuncia la transferencia fraudulenta, vinculando directamente tu nombre y cédula a una investigación penal por fraude informático. 📉💼2. El Efecto Contagio por Origen de Fondos: Si comercias con usuarios recurrentes que reciben dinero proveniente de actividades ilícitas o plataformas no autorizadas, esos fondos entran a tu cuenta. Los algoritmos de monitoreo de riesgo de la banca nacional rastrean el flujo del dinero (path of funds). Al congelar la cuenta de origen, congelan de forma preventiva todas las cuentas secundarias que recibieron transferencias de esa billetera.3. Descalce en el Perfil Financiero: Movilizar grandes volúmenes de bolívares mediante Pago Móvil o transferencias inmediatas en cuentas personales que están registradas bajo perfiles de ingresos bajos o sin justificación comercial clara dispara de forma automática las alertas de la UNIF por "operaciones inusuales o sospechosas". 🧠💸 🛡️ Manual Escudo de OpSec y Cumplimiento para operar en Venezuela Para mitigar el riesgo regulatorio y proteger tu patrimonio, tu disciplina operativa dentro del P2P debe ser milimétrica: Regla de Oro Inquebrantable: Cero Terceros. Jamás, bajo ninguna circunstancia, aceptes pagos desde cuentas bancarias cuyo titular no coincida exactamente con el nombre y documento de identidad (Cédula/RIF) verificado en el perfil de Binance de tu contraparte. Si el usuario te escribe diciendo "te va a transferir mi hermano/es mi cuenta de empresa", cancela la orden inmediatamente y reporta el caso a soporte. ❌🔒Filtra tus Contrapartes con Criterio Institucional: No te dejes guiar únicamente por la tasa más atractiva. Prioriza operar con usuarios Verificados (Verificados Oro o Comerciantes Verificados con la insignia amarilla), que posean un historial de órdenes alto (mínimo 95% de finalización) y cuentas con antigüedad en la plataforma.Higiene en las Descripciones de Transferencia: Al realizar transferencias bancarias o Pagos Móviles, deja el concepto o descripción completamente en blanco o coloca únicamente una palabra genérica (ej. "Pago", "Servicios"). Jamás escribas términos relacionados con el ecosistema cripto como "Binance", "USDT", "P2P", "Bitcoin" o códigos de orden, ya que esto activa los filtros de cumplimiento automatizados de la banca nacional. 🤫✨Usa Cuentas Bancarias Dedicadas: Evita mezclar el dinero de tus gastos familiares cotidianos, nóminas o remesas en la misma cuenta bancaria que utilizas para hacer operaciones de comercio P2P. Mantener una separación clara de los flujos de caja facilita la justificación de fondos en caso de una auditoría interna por parte de tu banco. El Veredicto de Cumplimiento: El P2P de Binance es una herramienta tecnológica de primer nivel, pero la seguridad no depende del software, sino de tus hábitos como operador. Trata tu actividad en el P2P con el mismo rigor y cumplimiento con el que manejarías una empresa financiera tradicional. En mercados de alta fiscalización, la prevención es el único dividendo real. 🏛️💎 ¿Qué medidas de seguridad adicionales aplicas en tus operaciones diarias para blindar tus cuentas bancarias locales, o prefieres mitigar el riesgo utilizando pasarelas alternativas o billeteras Web3 dentro de @Binance? 👇 ¡Comparte tu experiencia técnica abajo en los comentarios! #BinanceP2P   #VenezuelaCrypto   #OpSec   $USDT

Control de Riesgo P2P

🔒🇻🇪 CONTROL DE RIESGO: El P2P de Binance y la delgada línea de la legitimación de capitales en Venezuela
El comercio entre pares (P2P) se ha consolidado como la columna vertebral de la inclusión financiera y la liquidez diaria en Venezuela. La plataforma de @Binance provee el entorno más robusto y con mayor profundidad de órdenes en la región; sin embargo, operar de forma diaria en el mercado de bolívares y monedas estables exige comprender que el ecosistema bancario local se encuentra bajo una fiscalización extrema por parte de los entes reguladores (Sudeban y la Unidad Nacional de Inteligencia Financiera - UNIF). 📊🚨
Para un trader o usuario recurrente, no basta con "completar la transacción con éxito". El verdadero desafío radica en la prevención: el desconocimiento de las dinámicas financieras puede convertir tu cuenta bancaria en el eslabón de una cadena de legitimación de capitales (lavado de dinero) o fraudes de triangulación, exponiéndote a bloqueos preventivos, investigaciones o cierres de cuentas.
🔍 Las 3 Amenazas Principales en el Tablero Local
El "campo minado" del P2P no suele originarse por fallos en el sistema de custodia en garantía (escrow) de Binance, sino por el origen de los fondos en el sistema bancario tradicional:
1. La Triangulación de Fondos (Estafa del Tercer Pagador): Ocurre cuando interactúas con un contraparte que utiliza la cuenta bancaria de un tercero sin su consentimiento (identidad robada o phishing bancario). Tú liberas las criptomonedas de forma legítima, pero horas o días después, el dueño real de la cuenta bancaria denuncia la transferencia fraudulenta, vinculando directamente tu nombre y cédula a una investigación penal por fraude informático. 📉💼2. El Efecto Contagio por Origen de Fondos: Si comercias con usuarios recurrentes que reciben dinero proveniente de actividades ilícitas o plataformas no autorizadas, esos fondos entran a tu cuenta. Los algoritmos de monitoreo de riesgo de la banca nacional rastrean el flujo del dinero (path of funds). Al congelar la cuenta de origen, congelan de forma preventiva todas las cuentas secundarias que recibieron transferencias de esa billetera.3. Descalce en el Perfil Financiero: Movilizar grandes volúmenes de bolívares mediante Pago Móvil o transferencias inmediatas en cuentas personales que están registradas bajo perfiles de ingresos bajos o sin justificación comercial clara dispara de forma automática las alertas de la UNIF por "operaciones inusuales o sospechosas". 🧠💸
🛡️ Manual Escudo de OpSec y Cumplimiento para operar en Venezuela
Para mitigar el riesgo regulatorio y proteger tu patrimonio, tu disciplina operativa dentro del P2P debe ser milimétrica:
Regla de Oro Inquebrantable: Cero Terceros. Jamás, bajo ninguna circunstancia, aceptes pagos desde cuentas bancarias cuyo titular no coincida exactamente con el nombre y documento de identidad (Cédula/RIF) verificado en el perfil de Binance de tu contraparte. Si el usuario te escribe diciendo "te va a transferir mi hermano/es mi cuenta de empresa", cancela la orden inmediatamente y reporta el caso a soporte. ❌🔒Filtra tus Contrapartes con Criterio Institucional: No te dejes guiar únicamente por la tasa más atractiva. Prioriza operar con usuarios Verificados (Verificados Oro o Comerciantes Verificados con la insignia amarilla), que posean un historial de órdenes alto (mínimo 95% de finalización) y cuentas con antigüedad en la plataforma.Higiene en las Descripciones de Transferencia: Al realizar transferencias bancarias o Pagos Móviles, deja el concepto o descripción completamente en blanco o coloca únicamente una palabra genérica (ej. "Pago", "Servicios"). Jamás escribas términos relacionados con el ecosistema cripto como "Binance", "USDT", "P2P", "Bitcoin" o códigos de orden, ya que esto activa los filtros de cumplimiento automatizados de la banca nacional. 🤫✨Usa Cuentas Bancarias Dedicadas: Evita mezclar el dinero de tus gastos familiares cotidianos, nóminas o remesas en la misma cuenta bancaria que utilizas para hacer operaciones de comercio P2P. Mantener una separación clara de los flujos de caja facilita la justificación de fondos en caso de una auditoría interna por parte de tu banco.
El Veredicto de Cumplimiento: El P2P de Binance es una herramienta tecnológica de primer nivel, pero la seguridad no depende del software, sino de tus hábitos como operador. Trata tu actividad en el P2P con el mismo rigor y cumplimiento con el que manejarías una empresa financiera tradicional. En mercados de alta fiscalización, la prevención es el único dividendo real. 🏛️💎
¿Qué medidas de seguridad adicionales aplicas en tus operaciones diarias para blindar tus cuentas bancarias locales, o prefieres mitigar el riesgo utilizando pasarelas alternativas o billeteras Web3 dentro de @Binance? 👇 ¡Comparte tu experiencia técnica abajo en los comentarios!
#BinanceP2P #VenezuelaCrypto #OpSec $USDT
🤖⚠️ ¡La IA acelera tus criptos, pero cuidado con el doble filo! 🛑 La Inteligencia Artificial está transformando nuestro flujo de trabajo, pero los ciberdelincuentes también la usan para sofisticar sus ataques. En este entorno, la herramienta no es el peligro, sino los descuidos de OpSec que cometemos al usarla. 📉💻 ✅ Los riesgos: Mensajes que filtran claves privadas al pegar códigos en chats de IA, videos deepfakes hiperrealistas de fundadores ofreciendo falsos airdrops, y correos de phishing redactados con perfección milimétrica para engañarte. ✅ La defensa: Jamás subas datos confidenciales (claves API, frases semilla) a modelos de nube públicos y desconfía de cualquier urgencia financiera multimedia. ¡Usa la tecnología para potenciar tus ganancias en @Binance, pero mantén tu verificación siempre bajo control humano! 📊🛡️ #CryptoSecurityAlert #artificialintelligence #OPSEC #Phishing #TradingTips #Binance $BTC $ETH $BNB
🤖⚠️ ¡La IA acelera tus criptos, pero cuidado con el doble filo! 🛑
La Inteligencia Artificial está transformando nuestro flujo de trabajo, pero los ciberdelincuentes también la usan para sofisticar sus ataques. En este entorno, la herramienta no es el peligro, sino los descuidos de OpSec que cometemos al usarla. 📉💻
✅ Los riesgos: Mensajes que filtran claves privadas al pegar códigos en chats de IA, videos deepfakes hiperrealistas de fundadores ofreciendo falsos airdrops, y correos de phishing redactados con perfección milimétrica para engañarte.
✅ La defensa: Jamás subas datos confidenciales (claves API, frases semilla) a modelos de nube públicos y desconfía de cualquier urgencia financiera multimedia.
¡Usa la tecnología para potenciar tus ganancias en @Binance, pero mantén tu verificación siempre bajo control humano! 📊🛡️
#CryptoSecurityAlert #artificialintelligence #OPSEC #Phishing #TradingTips #Binance
$BTC $ETH $BNB
مقالة
La realidad sobre la seguridad física Cripto.🇫🇷🛡️ ANÁLISIS: La realidad sobre la seguridad física cripto y los mitos de su concentración global En las últimas horas ha circulado un dato alarmante que afirma que alrededor del 70% de los ataques de seguridad física relacionados con criptomonedas a nivel mundial ocurren en Francia, citando supuestos 41 secuestros en lo que va de 2026. Sin embargo, al desglosar los informes globales de firmas de inteligencia como Chainalysis o TRM Labs, la realidad de los datos cuenta una historia muy diferente. 📊🔍 ❌ Desmitificando el "70%": ¿Dónde está el error de origen? Atribuir las tres cuartas partes del cibercrimen o de los ataques físicos de todo el planeta a un solo país de la Eurozona carece de sustento estadístico. El ecosistema cripto global sufre incidentes distribuidos en múltiples jurisdicciones, con focos históricos muy distintos: * Ataques de Inteligencia de Élite: Como analizamos recientemente, la inmensa mayoría de los exploits financieros de gran envergadura (el 76% en lo que va de 2026) provienen de células cibernéticas estatales de Corea del Norteoperando a nivel de código de contratos inteligentes en puentes y DeFi, no mediante operaciones físicas en las calles de París. 🚨🇰🇵 * El Sesgo de Reporte: Lo que sí ocurre en Francia (y en gran parte de Europa bajo el marco unificado de Europol) es un estándar de denuncia y registro policial extremadamente riguroso. Un aumento en los reportes locales registrados no significa que el país sea el epicentro mundial, sino que sus ciudadanos y cuerpos de seguridad documentan y persiguen estos delitos con mayor visibilidad que en otras regiones. ⚠️ Los ataques de "llave inglesa" son reales, pero geográficamente dispersos Dejando de lado las estadísticas infladas, el núcleo de la advertencia es totalmente válido: los ataques de seguridad física (conocidos en la industria como ataques de llave inglesa de $5) están aumentando globalmente. A medida que el valor de mercado de los activos digitales se consolida y la regulación MiCA vuelve más sofisticados los controles contra el lavado de dinero en los exchanges centralizados, las bandas criminales tradicionales optan por el eslabón más débil: el usuario humano. Los 41 incidentes reportados en territorio europeo en estos meses reflejan una modalidad específica: extorsiones, robos con violencia en el hogar o secuestros exprés dirigidos a inversores particulares que han expuesto públicamente su patrimonio en redes sociales o eventos presenciales. 🏛️🔒 💡 ¿Cómo blindar tu seguridad en este 2026? La lección que nos deja este panorama no es evitar una región en específico, sino cambiar drásticamente nuestros hábitos de seguridad operativa (OpSec): 1. OpSec de bajo perfil: La regla número uno para proteger tus criptomonedas es el silencio. Presumir de ganancias, portafolios o compras lujosas financiadas con Web3 en plataformas públicas te convierte en un objetivo directo para la delincuencia local. 🤐💎 2. Multisig y Bloqueos de Tiempo: No mantengas toda tu liquidez accesible desde la billetera de tu teléfono móvil. Utiliza esquemas multifirma (Multisig) y billeteras frías con contratos de bloqueo de tiempo (timelocks) para que sea materialmente imposible retirar los fondos de forma inmediata en una situación de coacción física. 3. Segregación de Fondos: Mantén una billetera de uso diario con montos mínimos para transacciones cotidianas y resguarda el capital de ahorro a largo plazo bajo estrictas capas de seguridad institucional. El veredicto: Los datos on-chain y forenses demuestran que la blockchain es inmutable y transparente, pero tu seguridad física sigue dependiendo de tu prudencia en el mundo real. Menos ruido en redes sociales es igual a más seguridad patrimonial. 🛡️✨ ¿Qué medidas de seguridad operativa (OpSec) consideras indispensables para proteger la integridad física de los inversores en la actualidad? ¡Debatamos en los comentarios de forma segura! 👇 $BTC $ETH $BNB #OpSec #CryptoSecurity #BlockchainForensics #PhysicalSecurity #BinanceSquare

La realidad sobre la seguridad física Cripto.

🇫🇷🛡️ ANÁLISIS: La realidad sobre la seguridad física cripto y los mitos de su concentración global
En las últimas horas ha circulado un dato alarmante que afirma que alrededor del 70% de los ataques de seguridad física relacionados con criptomonedas a nivel mundial ocurren en Francia, citando supuestos 41 secuestros en lo que va de 2026. Sin embargo, al desglosar los informes globales de firmas de inteligencia como Chainalysis o TRM Labs, la realidad de los datos cuenta una historia muy diferente. 📊🔍
❌ Desmitificando el "70%": ¿Dónde está el error de origen?
Atribuir las tres cuartas partes del cibercrimen o de los ataques físicos de todo el planeta a un solo país de la Eurozona carece de sustento estadístico. El ecosistema cripto global sufre incidentes distribuidos en múltiples jurisdicciones, con focos históricos muy distintos:
* Ataques de Inteligencia de Élite: Como analizamos recientemente, la inmensa mayoría de los exploits financieros de gran envergadura (el 76% en lo que va de 2026) provienen de células cibernéticas estatales de Corea del Norteoperando a nivel de código de contratos inteligentes en puentes y DeFi, no mediante operaciones físicas en las calles de París. 🚨🇰🇵
* El Sesgo de Reporte: Lo que sí ocurre en Francia (y en gran parte de Europa bajo el marco unificado de Europol) es un estándar de denuncia y registro policial extremadamente riguroso. Un aumento en los reportes locales registrados no significa que el país sea el epicentro mundial, sino que sus ciudadanos y cuerpos de seguridad documentan y persiguen estos delitos con mayor visibilidad que en otras regiones.
⚠️ Los ataques de "llave inglesa" son reales, pero geográficamente dispersos
Dejando de lado las estadísticas infladas, el núcleo de la advertencia es totalmente válido: los ataques de seguridad física (conocidos en la industria como ataques de llave inglesa de $5) están aumentando globalmente.
A medida que el valor de mercado de los activos digitales se consolida y la regulación MiCA vuelve más sofisticados los controles contra el lavado de dinero en los exchanges centralizados, las bandas criminales tradicionales optan por el eslabón más débil: el usuario humano.
Los 41 incidentes reportados en territorio europeo en estos meses reflejan una modalidad específica: extorsiones, robos con violencia en el hogar o secuestros exprés dirigidos a inversores particulares que han expuesto públicamente su patrimonio en redes sociales o eventos presenciales. 🏛️🔒
💡 ¿Cómo blindar tu seguridad en este 2026?
La lección que nos deja este panorama no es evitar una región en específico, sino cambiar drásticamente nuestros hábitos de seguridad operativa (OpSec):
1. OpSec de bajo perfil: La regla número uno para proteger tus criptomonedas es el silencio. Presumir de ganancias, portafolios o compras lujosas financiadas con Web3 en plataformas públicas te convierte en un objetivo directo para la delincuencia local. 🤐💎
2. Multisig y Bloqueos de Tiempo: No mantengas toda tu liquidez accesible desde la billetera de tu teléfono móvil. Utiliza esquemas multifirma (Multisig) y billeteras frías con contratos de bloqueo de tiempo (timelocks) para que sea materialmente imposible retirar los fondos de forma inmediata en una situación de coacción física.
3. Segregación de Fondos: Mantén una billetera de uso diario con montos mínimos para transacciones cotidianas y resguarda el capital de ahorro a largo plazo bajo estrictas capas de seguridad institucional.
El veredicto: Los datos on-chain y forenses demuestran que la blockchain es inmutable y transparente, pero tu seguridad física sigue dependiendo de tu prudencia en el mundo real. Menos ruido en redes sociales es igual a más seguridad patrimonial. 🛡️✨
¿Qué medidas de seguridad operativa (OpSec) consideras indispensables para proteger la integridad física de los inversores en la actualidad? ¡Debatamos en los comentarios de forma segura! 👇
$BTC $ETH $BNB #OpSec #CryptoSecurity #BlockchainForensics #PhysicalSecurity #BinanceSquare
·
--
The Risk of Multi-Sig Wallets Many #DeFi protocols claim to be secure because their funds are held in a Multi-Sig wallet. But if the co-signers are all part of the same team or store their private keys on connected cloud servers, the setup is highly vulnerable. True multi-sig requires geographical and operational distribution. #CryptoSecurity #OpSec #DeFi
The Risk of Multi-Sig Wallets

Many #DeFi protocols claim to be secure because their funds are held in a Multi-Sig wallet.
But if the co-signers are all part of the same team or store their private keys on connected cloud servers, the setup is highly vulnerable.
True multi-sig requires geographical and operational distribution.

#CryptoSecurity #OpSec #DeFi
🔒 ¡Tu seguridad es primero! para proteger tus criptos en Binance 🛡️ En la Web3, la seguridad de tu capital empieza por tus hábitos digitales. Los sistemas de @Binance son de los más seguros del mundo, pero necesitas blindar tu acceso personal. Sigue de inmediato estas reglas clave de OpSec: 🚀📈 ✅ Acceso de élite: Usa contraseñas largas, migra del 2FA por SMS hacia las llaves físicas o Passkeys y activa el Código Anti-Phishing para verificar tus correos oficiales. ✅ Bloqueos preventivos: Configura la lista blanca de retiros y gestiona estrictamente los dispositivos autorizados en tu cuenta. ✅ Higiene digital: Nunca operes en redes Wi-Fi públicas, desconfía de supuestos soportes técnicos por mensajes privados y revisa las direcciones de destino de inicio a fin. ¡La ciberseguridad es una rutina diaria! ¿Qué medidas de protección usas hoy para cuidar tus fondos? 👇 #OPSEC #CryptoSecurityAlert #Binance #SafetyFirst #TradingTips #Finance $ETH $BTC $BNB
🔒 ¡Tu seguridad es primero! para proteger tus criptos en Binance 🛡️
En la Web3, la seguridad de tu capital empieza por tus hábitos digitales. Los sistemas de @Binance son de los más seguros del mundo, pero necesitas blindar tu acceso personal. Sigue de inmediato estas reglas clave de OpSec: 🚀📈
✅ Acceso de élite: Usa contraseñas largas, migra del 2FA por SMS hacia las llaves físicas o Passkeys y activa el Código Anti-Phishing para verificar tus correos oficiales.
✅ Bloqueos preventivos: Configura la lista blanca de retiros y gestiona estrictamente los dispositivos autorizados en tu cuenta.
✅ Higiene digital: Nunca operes en redes Wi-Fi públicas, desconfía de supuestos soportes técnicos por mensajes privados y revisa las direcciones de destino de inicio a fin.
¡La ciberseguridad es una rutina diaria! ¿Qué medidas de protección usas hoy para cuidar tus fondos? 👇
#OPSEC #CryptoSecurityAlert #Binance #SafetyFirst #TradingTips #Finance
$ETH $BTC $BNB
#AI鏈上快訊室|Humanity Protocol 3600 萬美元遭竊:不是合約漏洞,是私鑰管理全面崩盤#AI鏈上快訊室|Humanity Protocol 3600 萬美元遭竊:不是合約漏洞,是私鑰管理全面崩盤 Humanity Protocol(H)於 6 月 8-9 日遭遇重大安全事件,總損失約 3600 萬美元。此事件之所以引發廣泛關注,不僅因為金額龐大,更因為它揭示了一個常被忽視的事實:即使智慧合約經過審計,營運安全的薄弱仍可能導致災難性後果。 Humanity Protocol 是一個以去中心化身份驗證為核心的專案,其 H 代币採用跨鏈架構。在以太坊上,用戶將 H 存入 Hyperlane 橋接合約進行鎖定;在 BSC 上,H 是以 HypERC20 形式存在的合成代币,由橋接系統根據存款記錄鑄造。兩條鏈上的橋接合約與 H 代币代理合約均由同一個 ProxyAdmin 地址控制,該地址背後是 Gnosis Safe 多簽錢包。 事件的核心問題在於私鑰管理。調查顯示,一名高階管理人員的筆電上存放了 7 個高權限私鑰,包括管理熱錢包金鑰、以太坊多簽的 3 個簽署者金鑰,以及 BSC 多簽的 3 個簽署者金鑰。攻擊者透過一封釣魚郵件取得這些金鑰後,分別在兩條鏈上完成了 ProxyAdmin 控制權的轉移。 在以太坊側,攻擊者升級橋接合約為惡意實現,一次性轉走 1.41 億枚 H。在 BSC 側,攻擊者部署了含有無限制 mint() 函數的合約,分十二次鑄造超過 1220 億枚 H。由於 BSC 端的 H 没有獨立抵押品,其供應完全依賴橋接系統的會計記錄,因此這次鑄造行為直接摧毀了代币的供應完整性。 值得注意的是,Humanity Protocol 並未遭遇傳統意義上的智慧合約漏洞。所有被執行的操作在其安全模型下都是「合法」的——問題出在關鍵簽署金鑰的集中化儲存,以及 ProxyAdmin 缺乏時間鎖(timelock)緩衝機制。一旦控制權被奪取,攻擊者可以在零延遲的情況下執行任何升級與鑄造操作。 目前,Humanity Protocol 已展開恢復計畫,宣布停用舊版 H 代币,並在以太坊上部署新的 audited ERC-20 H 合约,按 1:1 比例空投給快照時的持有者。然而,未經授權鑄造的 H 代币如何處理、用戶補償框架何時落實、以及攻擊者是否仍保有 BSC 端的控制權,仍是市場關注的焦點。 $H #HumanityProtocol #DeFiSecurity #SmartContract #OpSec

#AI鏈上快訊室|Humanity Protocol 3600 萬美元遭竊:不是合約漏洞,是私鑰管理全面崩盤

#AI鏈上快訊室|Humanity Protocol 3600 萬美元遭竊:不是合約漏洞,是私鑰管理全面崩盤
Humanity Protocol(H)於 6 月 8-9 日遭遇重大安全事件,總損失約 3600 萬美元。此事件之所以引發廣泛關注,不僅因為金額龐大,更因為它揭示了一個常被忽視的事實:即使智慧合約經過審計,營運安全的薄弱仍可能導致災難性後果。
Humanity Protocol 是一個以去中心化身份驗證為核心的專案,其 H 代币採用跨鏈架構。在以太坊上,用戶將 H 存入 Hyperlane 橋接合約進行鎖定;在 BSC 上,H 是以 HypERC20 形式存在的合成代币,由橋接系統根據存款記錄鑄造。兩條鏈上的橋接合約與 H 代币代理合約均由同一個 ProxyAdmin 地址控制,該地址背後是 Gnosis Safe 多簽錢包。
事件的核心問題在於私鑰管理。調查顯示,一名高階管理人員的筆電上存放了 7 個高權限私鑰,包括管理熱錢包金鑰、以太坊多簽的 3 個簽署者金鑰,以及 BSC 多簽的 3 個簽署者金鑰。攻擊者透過一封釣魚郵件取得這些金鑰後,分別在兩條鏈上完成了 ProxyAdmin 控制權的轉移。
在以太坊側,攻擊者升級橋接合約為惡意實現,一次性轉走 1.41 億枚 H。在 BSC 側,攻擊者部署了含有無限制 mint() 函數的合約,分十二次鑄造超過 1220 億枚 H。由於 BSC 端的 H 没有獨立抵押品,其供應完全依賴橋接系統的會計記錄,因此這次鑄造行為直接摧毀了代币的供應完整性。
值得注意的是,Humanity Protocol 並未遭遇傳統意義上的智慧合約漏洞。所有被執行的操作在其安全模型下都是「合法」的——問題出在關鍵簽署金鑰的集中化儲存,以及 ProxyAdmin 缺乏時間鎖(timelock)緩衝機制。一旦控制權被奪取,攻擊者可以在零延遲的情況下執行任何升級與鑄造操作。
目前,Humanity Protocol 已展開恢復計畫,宣布停用舊版 H 代币,並在以太坊上部署新的 audited ERC-20 H 合约,按 1:1 比例空投給快照時的持有者。然而,未經授權鑄造的 H 代币如何處理、用戶補償框架何時落實、以及攻擊者是否仍保有 BSC 端的控制權,仍是市場關注的焦點。
$H #HumanityProtocol #DeFiSecurity #SmartContract #OpSec
Armed intruders used a fake food delivery ruse to target a crypto holder's home. • Assailants posed as delivery personnel to gain entry to the residence • Once inside, they demanded access to cryptocurrency accounts • The case highlights growing physical security risks tied to visible crypto wealth #CryptoSecurity #CryptoNews #BinanceSquare #OpSec #PhysicalSecurity
Armed intruders used a fake food delivery ruse to target a crypto holder's home.
• Assailants posed as delivery personnel to gain entry to the residence
• Once inside, they demanded access to cryptocurrency accounts
• The case highlights growing physical security risks tied to visible crypto wealth

#CryptoSecurity #CryptoNews #BinanceSquare #OpSec #PhysicalSecurity
صحيح جزئيًا
😱 ПОДКЛЮЧИЛ КОШЕЛЁК К ФЕЙКОВОЙ БИРЖЕ — МИНУС $660К ЗА СЕКУНДЫ Одна из самых болезненных историй недели. И, к сожалению, далеко не последняя такого рода. Человек зашёл на сайт криптобиржи, который выглядел абсолютно легитимно — интерфейс, логотип, всё на месте. Подключил кошелёк. И почти сразу лишился $660 000. Никакого подтверждения транзакций, никакого предупреждения. Просто — всё. Финальный штрих: Придя в себя, парень написал мошенникам и предложил $60к в качестве вознаграждения за возврат полной суммы. Те отказали. Логично — зачем возвращать $660к за $60к, если можно просто оставить $660к. Разбор того, как это работает: фейковые биржи не крадут через взлом — они получают разрешение от самой жертвы. При подключении кошелька сайт запрашивает апрув на управление токенами, и если человек его подтверждает — дальше скрипт выводит всё автоматически за доли секунды. #CryptoSecurity #phishing #Web3 #OPSEC Подпишись — здесь регулярно разбираю схемы, которые уже стоили людям состояний 🔔
😱 ПОДКЛЮЧИЛ КОШЕЛЁК К ФЕЙКОВОЙ БИРЖЕ — МИНУС $660К ЗА СЕКУНДЫ

Одна из самых болезненных историй недели. И, к сожалению, далеко не последняя такого рода.

Человек зашёл на сайт криптобиржи, который выглядел абсолютно легитимно — интерфейс, логотип, всё на месте. Подключил кошелёк. И почти сразу лишился $660 000.

Никакого подтверждения транзакций, никакого предупреждения. Просто — всё.

Финальный штрих:

Придя в себя, парень написал мошенникам и предложил $60к в качестве вознаграждения за возврат полной суммы. Те отказали. Логично — зачем возвращать $660к за $60к, если можно просто оставить $660к.

Разбор того, как это работает: фейковые биржи не крадут через взлом — они получают разрешение от самой жертвы. При подключении кошелька сайт запрашивает апрув на управление токенами, и если человек его подтверждает — дальше скрипт выводит всё автоматически за доли секунды.

#CryptoSecurity #phishing #Web3 #OPSEC

Подпишись — здесь регулярно разбираю схемы, которые уже стоили людям состояний 🔔
تمّ التحقق
🚨 УКРАИНСКИЕ ПОЛИЦЕЙСКИЕ ПОХИЩАЛИ КРИПТАНОВ И ВЫМОГАЛИ МИЛЛИОНЫ — БАНДА В ПОГОНАХ Новость, от которой становится не по себе. В Украине раскрыли схему, где действующие и бывшие силовики организовали настоящую банду для охоты на крипто-предпринимателей. Как работала схема: Люди в погонах — то есть те, кто по долгу службы должен защищать граждан — похищали криптанов, угрожали оружием и вымогали миллионы долларов. Одного из пострадавших под давлением заставили оформить фиктивный «долг» на $5 млн. Просто подпиши бумагу — или будет хуже. Чем это закончилось: Банду всё-таки накрыли. Фигурантам грозит до 15 лет лишения свободы с конфискацией имущества. Хороший финал для людей, которые решили, что значок — это лицензия на рэкет. Но мораль здесь очевидная и неприятная: публичность в крипте — это риск. Флексить портфелем, светить оборотами, рассказывать в интервью о доходах — всё это рисует мишень. Особенно в странах, где институты ещё не устоялись, а силовые структуры могут быть непредсказуемы. #crypto #Security #Ukraine #OpSec Подпишись — здесь не только новости, но и то, о чём стоит думать заранее 🔔
🚨 УКРАИНСКИЕ ПОЛИЦЕЙСКИЕ ПОХИЩАЛИ КРИПТАНОВ И ВЫМОГАЛИ МИЛЛИОНЫ — БАНДА В ПОГОНАХ

Новость, от которой становится не по себе. В Украине раскрыли схему, где действующие и бывшие силовики организовали настоящую банду для охоты на крипто-предпринимателей.

Как работала схема:

Люди в погонах — то есть те, кто по долгу службы должен защищать граждан — похищали криптанов, угрожали оружием и вымогали миллионы долларов. Одного из пострадавших под давлением заставили оформить фиктивный «долг» на $5 млн. Просто подпиши бумагу — или будет хуже.

Чем это закончилось:

Банду всё-таки накрыли. Фигурантам грозит до 15 лет лишения свободы с конфискацией имущества. Хороший финал для людей, которые решили, что значок — это лицензия на рэкет.

Но мораль здесь очевидная и неприятная: публичность в крипте — это риск. Флексить портфелем, светить оборотами, рассказывать в интервью о доходах — всё это рисует мишень. Особенно в странах, где институты ещё не устоялись, а силовые структуры могут быть непредсказуемы.

#crypto #Security #Ukraine #OpSec

Подпишись — здесь не только новости, но и то, о чём стоит думать заранее 🔔
Security Warning: CZ Just Put Every $BNB Chain Developer on Alert GitHub repositories compromised. Access credentials leaked. Development pipelines across open-source crypto projects exposed to targeted attacks. CZ's message to all builders: your GitHub keys are as critical as your exchange wallet. One weak link in your dev pipeline equals attackers inside your protocol. BNB Chain hosts hundreds of open-source DeFi projects. Publicly forked code creates the widest attack surface in crypto. With billions at stake, the weakest link is your ops security. Urgent: Audit repos. Rotate keys. Assume nothing is safe. $BNB  #BNBChain  #CryptoSecurity  #DevOps  #OpSec
Security Warning: CZ Just Put Every $BNB Chain Developer on Alert

GitHub repositories compromised. Access credentials leaked. Development pipelines across open-source crypto projects exposed to targeted attacks.

CZ's message to all builders: your GitHub keys are as critical as your exchange wallet. One weak link in your dev pipeline equals attackers inside your protocol.

BNB Chain hosts hundreds of open-source DeFi projects. Publicly forked code creates the widest attack surface in crypto. With billions at stake, the weakest link is your ops security.

Urgent: Audit repos. Rotate keys. Assume nothing is safe.

$BNB #BNBChain #CryptoSecurity #DevOps #OpSec
🔎 ¡No te fíes solo de las letras! Cómo identificar el token correcto 📊 A diferencia de la bolsa tradicional, en la Web3 cualquier persona puede crear un token y ponerle el ticker que desee. Esto genera una enorme cantidad de "tokens clones" o imitaciones maliciosas diseñadas para confundir a los inversores. 🤯❌ ✅ La clave de seguridad: El nombre y el ticker se pueden copiar, pero la dirección del contrato inteligente (Contract Address) es única e irrepetible. ✅ La defensa: Antes de comprar en un DEX o transferir fondos, valida la dirección del contrato en exploradores como BscScan o portales como CoinMarketCap. ¡Un segundo de verificación salva tu portafolio de errores costosos dentro de @Binance! 📊🛡️ #CryptoEducation💡🚀 #OPSEC #SmartContracts #TradingTips #CryptoNews #Binance $BAT $BNB
🔎 ¡No te fíes solo de las letras! Cómo identificar el token correcto 📊
A diferencia de la bolsa tradicional, en la Web3 cualquier persona puede crear un token y ponerle el ticker que desee. Esto genera una enorme cantidad de "tokens clones" o imitaciones maliciosas diseñadas para confundir a los inversores. 🤯❌
✅ La clave de seguridad: El nombre y el ticker se pueden copiar, pero la dirección del contrato inteligente (Contract Address) es única e irrepetible.
✅ La defensa: Antes de comprar en un DEX o transferir fondos, valida la dirección del contrato en exploradores como BscScan o portales como CoinMarketCap.
¡Un segundo de verificación salva tu portafolio de errores costosos dentro de @Binance! 📊🛡️
#CryptoEducation💡🚀 #OPSEC #SmartContracts #TradingTips #CryptoNews #Binance
$BAT $BNB
سجّل الدخول لاستكشاف المزيد من المُحتوى
انضم إلى مُستخدمي العملات الرقمية حول العالم على Binance Square
⚡️ احصل على أحدث المعلومات المفيدة عن العملات الرقمية.
💬 موثوقة من قبل أكبر منصّة لتداول العملات الرقمية في العالم.
👍 اكتشف الرؤى الحقيقية من صنّاع المُحتوى الموثوقين.
البريد الإلكتروني / رقم الهاتف