资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
ETH加密货币协议安全漏洞引发关注
加密货币用户通常更关注用户界面,而较少关注复杂的内部协议。近期,专家们对Crypto-MCP(模型-上下文-协议)中的一个关键漏洞表示担忧,该协议用于连接和与区块链交互。这一漏洞可能使黑客窃取数字资产,他们可以重定向交易或暴露助记词——访问加密货币钱包的关键。
Crypto-MCP协议的功能与风险
Crypto-MCP是一种旨在支持区块链任务的协议,包括查询余额、发送代币、部署智能合约以及与去中心化金融(DeFi)协议交互。来自Base的Base MCP、来自Solana的MCP以及Thirdweb MCP等协议提供了强大的功能,如实时区块链数据访问、自动化交易执行和多链支持。然而,如果管理不当,协议的复杂性和开放性也会带来安全风险。
漏洞的发现与影响
开发者Luca Beurer-Kellner在四月初发现了这一问题。他警告称,基于MCP的攻击可能通过协议泄露WhatsApp消息,并绕过WhatsApp的安全机制。随后,Chromia的数据和人工智能负责人Superoo7报告了Base-MCP中的一个潜在漏洞,该问题影响了Cursor和Claude这两个流行的人工智能平台。该漏洞允许黑客使用“提示注入”技术更改加密货币交易中的接收地址。
例如,如果用户尝试将0.001 ETH发送到特定地址,黑客可以插入恶意代码将资金重定向到他们的钱包。更糟糕的是,用户可能不会注意到任何异常,界面仍会显示原始的交易详情。
开发者Aaronjmars指出一个更严重的问题:钱包助记词通常以未加密的形式存储在MCP配置文件中。如果黑客获得这些文件的访问权限,他们可以轻松窃取助记词并完全控制用户的钱包和数字资产。
用户防护建议
目前,尚未确认有利用此漏洞窃取加密资产的案例,但潜在威胁十分严重。根据Superoo7的建议,用户应通过仅使用来自可信来源的MCP、保持钱包余额最小化、限制MCP访问权限以及使用MCP-Scan工具检查安全风险来保护自己。
其他安全威胁
黑客可以通过多种方式窃取助记词。去年年底,Security Intelligence的一份报告揭示了一种名为SpyAgent的Android恶意软件通过窃取截图来获取助记词。卡巴斯基也发现了使用OCR从图像中提取助记词的SparkCat恶意软件。与此同时,微软报告了一种针对Google Chrome上20个加密货币钱包浏览器扩展的恶意软件,包括MetaMask和Trust Wallet。
