Joined February 2022
- Tweets 3,108
- Following 305
- Followers 9,192
- Likes 2,878
728 Photos and videos
Jun 15
一次旧授权的“回旋镖”袭击了Aztec Labs:
2023年已关闭的Connect合约,6月14日被攻击者通过公开函数提取了219万美元(909 ETH等)残留资金💸
你过去在DeFi、NFT项目中的每一次“授权”,都可能成为未来的隐患⬇️
这些沉睡的无限额度授权,不会随协议关停而失效。黑客找到漏洞就能直接转移你的资产。
👉 定期检查并撤销不再使用的合约授权,用多少授权多少,不给无限额度。
一次清理,胜过无数后悔🧹
Jun 14
We are investigating a potential exploit affecting Aztec Connect. ~$2.1m was transferred from the immutable smart contract in transaction:
etherscan.io/tx/0x074ec9317d…
Aztec Connect was deprecated 3 years ago. Aztec Labs holds no admin keys or control over the system; it cannot be paused or upgraded by us.
We will share further updates in due course.
1
532
Jun 12
Claude刚发布的Fable-5 模型,被研究人员利用西里尔同形字结合其他措施,成功「越狱」绕过了安全限制。
而这类字符不仅能迷惑 AI,也经常被用于伪装钓鱼域名。
例如:
а с е о р у х (西里尔字母)
看起来和:
a c e o p y x (英文字母) 一模一样。
在加密货币钓鱼攻击中,这类同形字域名并不少见。
✅ 尽量通过书签或可信渠道的链接进入
✅ 留意浏览器地址栏是否存在异常
❌ 不要完全依赖肉眼识别域名
🚨 JAILBREAK ALERT 🚨
ANTHROPIC: PWNED 🫡
FABLE-5: LIBERATED 🦋
let's start with the 🐘...
the consensus seems to be that this has been one of the most disappointing model drops of all time, effectively preventing legitimate researchers from contributing their talents to our collective advancement. and not just because of what it means for the short-term, but for what these decisions signify for the long-term.
but despite this overly sensitive, authoritarian "safety" layer on top of Mythos, my lil liberators have been hard at work—mapping the boundaries, probing the depths of long-context convos, and cleverly finding the holes in the fence that the thought police missed 🤗
we got some cyber, some chem, some psychological manipulation, and some good ol' fashioned explosives!
it took many attempts from multiple agents hunting as a pack, during which I observed a combination of techniques across:
• Unicode, homoglyphs, Cyrillic, and other Parseltongue-style text transforms
• Long-context reference tracking
• Taxonomy and document-structure reasoning
• Fiction and narrative framing
• Academic-review style contexts
• Intent-classification inconsistencies
but perhaps the most effective is decomposition recomposition in the backend. it's hard to get explicit names of harms like "Meth Recipe," but getting uplift on the process itself, like birch reduction method/reductive-amination (classic meth synthesis pathways), is much more doable.
defense becomes much more difficult to maintain when you start throwing in out-of-distro tokens, breaking up the harmful uplift into benign chunks, and then piecing the innocuous-seeming facts back together, especially when you have jailbroken Opus helping you do it 😉
gg
2
4
14
10,462
Jun 12
这场夏天,不只是看球。
用 Keystone 守护你的资产,同时支持你的冠军队伍,赢了还能拿返现。
🏆 活动规则
→ 在活动时间内,在Keystone官网下单购买任意产品
→ 下单后邮箱会收到活动参与邮件
→ 参与活动,填写你支持的队伍 返现钱包地址
→ 若该队成功夺冠,将会获得订单实付金额的20%返现。
截止参与日期:6月28日
不只是 hodl,还要赢得更多 ⚽️
1
1
551
Jun 10
Humanity Protocol 昨天被盗了 3100万,代币H在几小时内跌了 90%。
而这一切的原因是 :
某个成员的笔记本电脑被控制,导致私钥泄露,
攻击者通过这些私钥拿到了多签钱包的控制权,清空钱包的同时还持续铸造新币砸盘。
已经有不少项目栽在类似的事情上。在普通用户眼里,项目方理应具备基本的私钥安全管理,但现实往往不是这样:
把重要的私钥存在联网设备上,多签的多个 owner 私钥由同一个人保管,这些都是真实存在的高风险漏洞,一旦被攻破,最终买单的是普通持有人。
规避这类风险的门槛并不高:一块硬件钱包的成本不过几十美元,就能让私钥彻底离开联网环境,把远程攻击挡在物理层面之外。
无论是项目方还是个人用户,这都是值得认真考虑的。
23 Sep 2025
UXLINK 被盗回顾:多签安全该怎么做?
9月22日,Web3 项目 UXLINK 遭遇严重安全事件。
项目方管理资金的多签钱包遭黑客攻击,导致约1130万美元资产被盗,而此后发生的一系列事件,十分戏剧性,因为连黑客自己都成了受害者。
#⃣事件经过回顾
1⃣多个私钥被盗,多签钱包被攻破
黑客通过某种手段获得了UXLINK多签钱包的部分私钥,通过delegateCall向多签钱包增加自己的地址为所有者并修改阈值为1。
原本需要多个人同意才能执行的交易,现在只需要攻击者一个人的签名就能完成。
获得完全控制权后,黑客迅速将钱包内的资产转移。
2⃣雪上加霜,代币被恶意增发
完成初步盗窃后,攻击者并未收手。利用获得的控制权,黑客恶意增发了10亿枚UXLINK代币,并充值到中心化交易所(CEX)卖出和在链上砸盘。
尽管项目方紧急联系各大CEX进行资金冻结,但DEX上的币价已经归零。
UXLINK官方紧急声明这些恶意增发的代币完全无效,并建议用户暂停在DEX上交易UXLINK。
3⃣黑客被“黑吃黑”
更令人哭笑不得的是,黑客在盗得大量代币后,居然疑似被知名钓鱼团伙 Inferno Drainer 反向钓鱼。
黑客不慎授予了代币转移权限,结果超过 5.4 亿枚 UXLINK 又被钓鱼团伙席卷一空。
可以说是戏剧效果拉满的荒诞一幕。
#⃣多签钱包安全使用指南
1⃣将硬件钱包作为基本配备
在UXLINK事件中,黑客能够短时间内在以太坊和Arbitrum上同时发起获取多签钱包控制权的交易,这很可能属于私钥泄露的情况。
多签钱包普遍用于存放较大数目的资产,假如其中的每一位owner都使用硬件钱包,对于黑客来说,就少了一个重要的攻击点。
硬件钱包不仅降低了私钥泄露的风险,并将签名操作限定在离线环境中。
2⃣仔细审查交易信息
即便使用了硬件钱包,也不能掉以轻心。如果签署人不慎批准了恶意交易,控制权仍然可能被夺走。
我们可以使用带有交易解析功能的硬件钱包,对发送到设备上的信息进行仔细审查。
对于delegateCall类交易要特别警惕,因为通过它可以修改多签钱包的设置,往往这里面就暗含猫腻。
如何在Keystone上读懂Safe多签交易,可以查看我们过往的内容《如何精准验证Safe多签交易?》(评论区附链接)
3⃣合理地提高签名阈值
多签通过引入多方签署,避免了单点失效风险。
但对于一个持有一千多万的多签钱包来说,只需要2个owner的就可以进行操作的门槛偏低了。
在确保每个owner都是独立的前提下,将多签钱包提高到3-of-5或者4-of-5甚至5-of-7,都可以降低被盗概率。
相比于被盗的资金,提高的阈值除了让流程更长一点,并没有太大的坏处。
#⃣结语
UXLINK 事件再次提醒我们:
硬件钱包不是可有可无的附加工具,而是保护多签钱包安全的第一道防线。
通过把签名操作限定在离线环境中,分散风险、适当提高阈值,再结合日常的安全习惯,进一步提升资产安全性。
5
1
1,220
Jun 9
⚽ 距离足球盛事开幕,还有 3 天。
球场上,守门员守护最后一道防线。
而在球场之外,
也有人用Keystone 守护着自己的加密财富。
接下来,让我们一起享受比赛,找点乐子吧!
228
Jun 9
记了 11 个词,判了 10 年 9 个月 🔥
青岛一男子打起朋友的加密货币钱包的主意,靠着记忆力记下11个助记词以及一个助记词的首字母,当晚他不断测试找到了最后一个单词,盗走 107 枚 BTC。
12 词助记词虽然在计算上抗暴力破解,但在“熟人作案”的特定场景下,仍然有一定的脆弱性。
这件事也再次提醒我们:
🔹不要在公众场所或者旁边有他人的情况下对助记词进行操作
🔹条件允许的情况下,使用24 词助记词,或者使用Passphrase 密语功能,多一层保护就多一分安全
🔹使用Keystone硬件钱包时,PIN码也是需要保护的一环,可以使用指纹解锁来避免暴露。
ALT 本图仅为场景示意,非现实画面。
⚡️防火防盗防熟人!男子「硬记」助记词盗走朋友 107 枚比特币
据最高检披露,山东一男子张某长期协助熟人冯某处理虚拟货币交易,在获取对方信任后,主动提议冯某更换操作更便捷的数字钱包。
趁着冯某抄写助记词的间隙,张某仅凭肉眼和超强记忆力,牢牢记住了 11 个完整单词,还记下了最后一个单词的首字母。
当晚,便依靠碎片化记忆反复测试、组合破解,成功解锁冯某的数字钱包,转走对方 107 枚比特币,后续变卖非法获利 66 万元(才这么点...大哥也是被坑了不少🥲🥲
法院最终以盗窃罪判处其有期徒刑十年九个月,并处罚金 10 万元。
3
1
2,338
Jun 4
Zcash × Keystone 用户福音 🚀
为了更好地支持即将到来的NU7升级投票,Zodl钱包上线了隐私投票功能。
现在你可以直接在Zodl钱包连接Keystone 硬件钱包,使用隐私地址中的资产进行签名投票,无需像之前一样将资产转移到透明地址徒增风险。
不过需要注意,如果要参加NU7投票,隐私地址中的资产在6月1日 23:59 UTC时间前就已经存在。
1
1
726
Jun 4
🔬 Donjon 团队通过物理攻击手段,绕过了 TROPIC01 安全芯片的 Ed25519 签名验证,从而实现了芯片上运行自定义固件的目的。
🛡️ 根据 Trezor 官方回应,该漏洞仅涉及 TROPIC01 安全芯片,而这只是 Trezor Safe 7 三层独立物理安全防护之一。单独攻破 TROPIC01 不足以访问 PIN 码或提取私钥,用户资金不会受此影响。
🔐 而在 Keystone 3 Pro 上,我们引入了防拆自毁设计。
假如要实施激光故障注入等物理攻击,攻击者必须先拆开设备。
⚠️ 而拆开设备本身就会触发安全芯片的数据擦除机制,私钥等敏感信息在攻击者接触到芯片之前就已清空,从根本上打断实施物理攻击的动机。
Jun 3
Ledger 研究人员发现 Trezor Safe 7 所用芯片漏洞,Trezor 称用户资金安全。
Ledger 研究人员发现 Trezor Safe 7 所用芯片漏洞,Trezor 称用户资金安全 Ledger 安全团队 Donjon 发现 Trezor Safe 7 使用的 TROPIC01 芯片存在基于激光的硬件漏洞,但 Trezor 表示用户资金不受影响。
接下来需要盯住三件事:相关资金是否持续进入,链上交易量和持仓是否继续放大,以及项目方或监管侧是否给出新的确认信息。单条快讯只能说明情绪被点燃,后续数据才决定它是不是能沉淀成趋势。
风险也要放在桌面上:如果后续成交和资金流跟不上,市场很容易把它消化成一次性脉冲。
#链上数据 #监管 #区块链 #加密市场 #币圈
5
1
1,471
Jun 3
Keystone Nexus App v1.3.0 现已发布
✨ 新增 Solana 及部分 SPL 代币收发支持
升级前请确认:
Keystone 3 Pro 固件版本 ≥ v2.4.2
Keystone Nexus App 版本 ≥ v1.3.0
升级完成后,在 Settings → Network Management 中启用 SOL 网络,并根据提示重新同步钱包即可。
💡关于 Solana 地址
首页默认显示:Sub-account 地址(m/44'/501'/0'/0),
可切换至:Account-based 地址(m/44'/501'/0')
在 Solana 页面点击当前地址即可完成切换。
1
1
468
Jun 2
⚠️ 如果一个网站这样要求你:
1️⃣ 打开下载的脚本文件
2️⃣ 点击 Run 运行安装
那么无论它声称自己是钱包、交易所客户端,还是其他任何应用,都应该立即关闭。
近期有研究团队发现,攻击者通过假冒 BlueWallet 桌面版升级页面,诱导用户运行恶意 AppleScript,从而绕过操作系统的安全防护并入侵设备。
一旦执行,恶意程序可能:
📋 读取和替换剪贴板内容
🌐 窃取浏览器历史记录、Cookie 和已保存账号
💰 提取本地加密钱包数据
🔑 获取密码管理器和 2FA 验证器信息
💬 访问即时通讯软件的本地数据和会话记录
👨💻 窃取 SSH 密钥、开发配置文件等敏感信息
记住这几条,长期有效:
✅ 只从官方渠道下载钱包和相关软件
✅ 要求你在终端、脚本工具中执行命令才能“安装”的程序,直接关掉
✅ 使用 Keystone 等硬件钱包隔离私钥,降低恶意软件直接窃取私钥的风险
ALT 网站引导用户下载AppleScript并运行恶意代码
2
1,150
May 29
当发现或怀疑自托管钱包存在被盗风险时,建议优先注意以下几点:
• 尽量避免将助记词重新导入其他钱包进行迁移,这会进一步扩大助记词暴露风险
• 警惕并分辨 Telegram / WhatsApp 上的假客服与“资产恢复”诈骗
• 如果条件允许,优先在可信硬件钱包或隔离环境中生成新的钱包
• 尽快将资产从原钱包转移至新的安全钱包,降低后续风险
1,128
May 28
「如果你不用隐私地址,那为什么要持有Zcash?」
BitMEX 前 CEO Arthur Hayes 在近期的采访中,直接推荐了 Keystone 与 @zodl_app 的组合:
通过 Zodl 管理 Shielded 隐私地址,
搭配 Keystone 硬件钱包作为冷签名设备,
从而实现真正的 Zcash 隐私冷存储 🔐
对于 Zcash 的长线 HODLer 来说,
隐私与安全,不需要二选一。
附上视频片段👇
4
1,250
May 28
😵💫 心大的老板,丢了比特币,
🕴️ 狡猾的员工,五年才露馅。
2017年,一位雇主计划长期持有比特币进行投资,于是委托信任多年的IT员工设置硬件钱包。
而这位员工在2020年用助记词转走了全部资产,然后继续若无其事地上班干到2024年。
直到2025年雇主搬家开保险箱,才发现钱包里空空如也。
这个案件暴露了几个非常典型的安全敞口:
1⃣硬件钱包交给别人设置,助记词便不再安全,这位员工和老板同等拥有资产控制权。
2⃣基于“信任关系”授权,而不是基于“代码机制”授权
3⃣资金被转走 5 年后才发现,说明缺少地址监控、定期审计等措施。
对于希望长期持有,使用冷钱包的用户来说,更合理的保管方案至少要做到:
1⃣助记词一定亲自生成、亲自保管,不要让任何人接触完整助记词。
2⃣如果需要他人协助管理资产,应通过机制来限制权限
例如 2/3 多签:员工可以持有其中 1 把钥匙,自己持有另外2把,以确保员工无法单独对外转账。
3⃣设置好地址监控,余额变动提醒等,发现异常立即采取措施。
May 28
美国佛罗里达州一名 IT 人员 Nahum Reynaldo Castro 被指控利用其掌握的前雇主 Bitcoin 钱包助记词,盗取约 190 万美元 Bitcoin。调查称,受害者自 2017 年开始投资 Bitcoin,并由 Castro 协助配置与管理 Trezor 硬件钱包。警方认为,涉案资金于 2020 年在嫌疑人仍掌握关键安全信息期间被转出,嫌疑人随后通过 Bitstamp 等交易平台及多层钱包转移资金以掩盖来源。检方目前对 Castro 提出重大盗窃、洗钱及计算机犯罪等多项指控。wublock123.com/news/news-617…
2
1,469
May 28
Keystone 3 Pro 已更新 2.4.4 Cypherpunk 固件 🔐
本次更新正式支持:
🏹Zcash 分片助记词(SLIP-39)
隐私资产,不应只拥有隐私交易,也应该拥有更高级别的备份安全。
从 Orchard Shielded 地址,
到 PCZT,
再到 SLIP-39 分片助记词支持。
Keystone 正在成为 Zcash 用户最全面的硬件钱包搭配 ⚡
1
2
653
May 26
再见,Leap 的最后一跃。🐸
我们的合作钱包Leap Wallet 将于 5 月 28 日停止服务。
但告别不必是风险的开始。
假如通过导出助记词来迁移到新钱包,这一步操作却是资产安全的脆弱时刻,一个不慎,可能泄露机密。
如果你使用的是 Keystone 硬件钱包,这一切都不需要经历:
💡将 Keystone 重新连接至其他支持的钱包,迁移即可完成。
没有助记词暴露,没有额外的风险,安全便捷。
旅程继续,安全同行。🔐
Leap Wallet: Sunset Notice
After careful consideration, we've made the decision to sunset Leap Wallet and its associated products.
The products will be sunset on 28th May, 2026, and all users should complete their migration before then.
We started Leap in 2022 to redefine what wallet experiences in crypto mean. Over time, that journey expanded across multiple ecosystems and 100 chains. Through every phase, the team approached the work with conviction, care, and a deep sense of responsibility to the users and communities we served.
This decision was not made lightly. We continue to believe in the long-term future of crypto and the interchain ecosystem, and we remain supporters of the builders still in the arena.
What's being sunset
The following products will be sunset after 28th May, 2026:
• Leap Wallet (Extension, iOS, Android)
• Compass Wallet (Extension, iOS, Android)
• Leap WebApp
• Swapfast
• Leap Cosmos Hub Validator
• Leap Cosmos Snaps
Until that date, all wallet products listed above will retain their existing core functionality. You will still be able to view balances, send tokens, manage staking positions, and export your recovery phrase and private keys. All other products listed above will likewise retain their existing functionality until 28th May, 2026.
What users need to do
If you are using one of Leap’s wallet products, we recommend migrating your wallets to another wallet like Keplr, MetaMask, Phantom, or Rabby.
Because Leap is a non-custodial wallet, your assets live on the blockchain, not in our apps. As long as you have your recovery phrase, you can continue to access your assets through another compatible wallet by importing that recovery phrase. Your addresses and balances will carry over automatically.
If you have ATOM delegated to Leap’s Cosmos Hub validator, please redelegate to another validator to continue earning staking rewards. We encourage doing this as early as possible to account for network unbonding periods.
Detailed migration guide and FAQs can be found on the website - leapwallet.io
What to expect next
After 28th May, 2026, all Leap products will be sunset and will no longer function, including applications already installed in your browser or on your mobile device.
Even if you do not migrate from Leap to another wallet before that date, you can still recover access to your assets by importing your recovery phrase into another supported wallet
Migration support will be available through our official support channels until 28th May, 2026 at support@leapwallet.io
Thank You
Thank you to all our users, for letting us serve you through so many market cycles.
Thank you to our amazing partners, for helping us build experiences & worlds we never thought possible.
Thank you for Leaping with us.
🐸 💚
5
2
633
May 26
🚨86个Safe钱包的资产被同时盗走,损失300万刀
起因是这些用户使用了名字叫SquidRouterModule的第三方模块,而这个模块存在漏洞,导致攻击者可以绕过验证将资金转走。
且据 @evilcos 发现,这些Safe钱包均为单签配置,虽然和本次事件没有关联,但只要1位owner的私钥一泄露,便可以获得钱包的控制权,失去了多签的安全意义。
⚠️ 我们建议任何时候,都应当确保多签钱包至少 2个owner签名 才能执行交易。
May 25
🚨 Blockaid detected an ongoing exploit targeting the SquidRouterModule on Ethereum and Base.
86 Gnosis Safes drained for ~$3M in ~2 hours.
All stolen tokens swapped to DAI via attacker-controlled Uniswap V3 pools.
More details in 🧵
3
701
May 21
AI 驱动的加密交易工具 Bankr 再次成为安全焦点。据官方确认,黑客通过社会工程学手段成功访问了 14 个用户钱包,这已经是一个月内的第二次了。
就在不久前,攻击者利用摩斯电码向 AI 注入恶意指令,绕过 Bankr 的安全过滤器,诱导其将 @grok 钱包中积累的约 $170,000 资产悉数转走。而 Grok 对此毫不知情,AI 自愿完成了整个转账过程。
接连不断的事故,不仅是 Bankr 一个项目的挑战,更是为整个"AI 钱包 / 交易机器人"赛道敲响了警钟。
1️⃣ AI 钱包的"阿喀琉斯之踵":私钥托管与服务器风险
目前市场上主流的 AI 钱包,为了实现自动化交易和智能决策,其核心逻辑往往建立在服务器端私钥生成的基础上。
这意味着,无论该项目的安全团队水平有多高、防火墙有多厚,用户的私钥在理论和事实上都处于联网状态。在黑客眼中,托管私钥的服务器就是一个巨大的"蜜罐"。一旦服务器权限被攻破,或内部管理出现疏忽,海量用户的资产将面临"一锅端"的风险。
2️⃣ 社会工程学与 Prompt Injection:新旧威胁的叠加
这次 Bankr 事件的切入点是社会工程学,但 AI 钱包真正危险的地方在于:攻击面比传统钱包多了一层。
黑客不仅可以通过钓鱼攻击、伪装官方身份来欺骗用户,还可以直接向 AI 系统注入恶意指令(Prompt Injection)。在 AI 钱包的交互场景中,用户往往因为信任"智能自动化"而降低警惕。一旦 AI 助理被投毒,用户可能根本不知道自己的钱包已经签署了一笔恶意交易。
3️⃣ 智能不代表安全,便捷不应以资产主权为代价
AI 钱包确实带来了前所未有的交易体验:自动抄底、智能策略、自然语言交互。但这不应成为牺牲资产安全主权的理由。
面向普通用户,我们建议:
🔹尝试新技术没问题,但请将 AI 钱包定位为"小额试验场",只存入即便丢失也不心痛的资金。
🔹真正的大额资产、核心仓位,必须回归去中心化的本质,用硬件钱包保护。
面对 AI 时代的复杂威胁,Keystone 始终坚持物理层面的绝对隔离:
🔹私钥离线生成: 你的私钥仅在硬件设备中生成,永不触网,从根本上杜绝"服务器端失窃"的可能。
🔹拒绝盲签: 所有交易细节都会在 Keystone 大屏幕上完整还原,只有经过你的物理确认,资产才会被允许流转。
QR 码通信: 彻底切断 USB 或蓝牙连接带来的潜在后门攻击
你的私钥,只应该存在于你手中的设备里。「Not your keys, not your coins」在 AI 时代,更值得认真对待。
We are continuing to investigate yesterday’s incident and are working through a full security review with internal and external teams. As a precautionary measure, certain Bankr functionality will remain temporarily disabled while we complete that process. Services will be re-enabled once we are confident the platform is secure. We appreciate everyone’s patience and will continue to share updates as appropriate.
We are also coordinating with law enforcement, including the FBI, as well as relevant third parties and counterparties in efforts to identify, freeze, and recover assets where possible and support potential enforcement actions against the responsible actors.
1
1,473