51 Photos and videos
🚀 NexVault:开启企业级自托管资管平台新境界
支持多签、多角色权限、风险预警与合规视图,资产全链一体化管理。
真正为不同用户提供 Web3 时代的金库解决方案。
Own your assets. Operate with confidence. 🔐
#NexVault #Web3 #selfcustody #Security
odaily.news/post/5204570
5
10
1,635
NexVault retweeted
Apr 22
🔐 安全提醒:当心App Store 假冒加密钱包
卡巴斯基研究人员近期在苹果 App Store 中发现多达 26 款恶意应用,冒充 MetaMask、Coinbase、Token Pocket等加密货币钱包,专门用于窃取用户的助记词,进而盗取钱包资产。
该攻击活动被命名为 FakeWallet,并与至少从 2025 年秋季便已活跃的 SparkKitty 木马行动存在关联。目前,苹果已在卡巴斯基披露后将全部 26 款应用下架。
🔷攻击者采取多种手段结合实施欺骗:
仿冒外观:复制官方 Logo,使用细微的名称变体比如Coinbase Wallet→ Coinbase Pro Wallet,在 App Store假装自己是合法应用,在用户搜索时进行误导
伪装身份:由于中国大陆对加密类应用有限制,攻击者将恶意程序伪装成游戏或计算器,通过应用商店审核上架。
引导安装木马:应用安装运行后会跳转到钓鱼页面,引导用户通过iOS配置描述文件安装木马应用,并让用户相信这是绕过封锁的替代方案。
骗取助记词:虚假的"安全验证"界面,诱导用户输入助记词,随后将数据加密发送至攻击者服务器,使其可完全掌控受害者钱包。
此次攻击虽主要针对中国用户,但该恶意软件不设地理限制,若攻击者扩大目标范围,全球用户均可能受到影响。
🛡️ 自我保护建议
1. 只从官网跳转下载
前往钱包官网,通过其提供的链接跳转至 App Store 下载,切勿直接在商店搜索安装。
对于官网的正确域名,也不能依赖于搜索结果,可以通过多个来源(搜索、推特等)进行交叉确认。
2. 核查开发者信息
下载前仔细核对应用发布者名称,确认与官方完全一致。
3. 绝不在 App 内输入助记词
任何正规钱包均不会在安装后要求重新输入完整助记词,遇到此类提示请立即卸载。
4. 助记词离线保存
将助记词抄写在纸上或使用金属助记词板,切勿截图或存于手机相册。
⚠️ 重要提示:App Store 的审核机制并非万无一失。即使是"官方应用商店"也可能出现恶意应用。
加密资产一旦被盗,几乎无法追回,防范意识是最重要的第一道防线。
1
2
2
1,570
1.6 亿美元怎么没的?
助记词,被拍下来了。
冷钱包没问题,
问题是“被看到”。
keyVault 二维码 离线备份。
a.foresightnews.pro/article/…
⚠️ 安全提醒:不要用截图保存助记词!
已有用户因在币coin app 会读取相册,盗取用户助记词截图,导致截图被后台悄悄上传、资产被盗的严重事件。
请记住:
助记词是你资产的唯一钥匙。
一旦截图被窃取,就等于钱包拱手让人,无法找回、无法撤销。
✅ 推荐使用 KeyVault:安全存储助记词的新方式
它具备:
🔐 加密二维码备份
•将助记词加密后生成专属二维码
•即使被截屏,也无法还原原文内容,有效抵御截图泄露、AI 恢复攻击
📵 助记词导出防截图机制
•导出页面自动屏蔽系统截图与录屏
•防止助记词被其他App后台窃取
•兼容任意钱包导入恢复,你仍然完全掌控密钥
🧩 应急恢复支持
•提供离线 HTML 文件下载,用于极端情况下恢复助记词
•无需联网,支持本地解密 恢复
开源恢复工具:github.com/nexvault/keyvault…
📥 立即使用 KeyVault,让助记词真正属于你:
👉 下载链接:apps.apple.com/us/app/keyvau…
223
近期有爆料称,黑产团队通过供应链攻击与插件逆向批量窃取助记词,跨链盗取数百万美元资产。
问题不在链上,而在控制权结构:
一旦助记词被获取,单签钱包没有防线。
安全(资产)—— 避免单点失控。
Mar 17
🔔中国某黑客团队内讧自曝,称曾盗取约700万美元加密资产
火星财经消息,3 月 17 日,据「网络侦查研究院」公众号披露,中国一黑客团队因分赃纠纷发生内讧,成员公开爆料称曾通过供应链攻击盗取 约 700 万美元加密资产,目标涉及加密钱包 Trust Wallet 等平台。 据爆料内容显示,该团队对外以网络安全公司「武汉安隼科技」名义活动,公开业务包括漏洞挖掘、网络攻防和安全服务,但内部实际从事加密资产盗窃等黑灰产活动。团队成员称其通过 Electron 客户端供应链漏洞、插件逆向分析及自动化工具,批量获取助记词并扫描多链资产,包括 Ethereum、BNB Chain、Arbitrum 等网络。 爆料人表示,团队曾开发自动化工具批量扫描助记词资产,并通过远控程序窃取钱包数据,再将资金转移并分拆处理。相关攻击据称涉及 37 种代币、多个区块链网络。 此次事件曝光的导火索为内部分赃纠纷。爆料成员称其因收益分配不公与团队负责人产生矛盾,在离职补偿未兑现后公开相关证据,并计划向执法机构自首。 目前相关指控尚未得到官方证实,事件细节仍有待进一步调查。业内人士指出,该事件再次凸显加密钱包供应链安全与插件安全风险,以及针对高价值用户的定向攻击趋势。
news.marsbit.co/flash/202603…
1
1
1
331
黑客不是唯一风险。
当攻击发生在现实世界,单签钱包几乎没有防线。
KeyVault 的 Passphrase 机制,让资产多一层防护!
安全,不只是防线上攻击。
cryptoast.fr/enlevement-cryp…
65
NexVault retweeted
Jan 5
8
8
33
9,790
NexVault 已经“停更”一段时间了 —— 不过我们没有跑路也没有倒掉,只是做了一些战略调整,接下来会有三个变化:
【1】停掉线上服务的版本(app.nexvault.com),接下来我们只专注商业版本,我们会将现有的商业版本和一些机构做深度整合,为机构提供专业的安全托管解决方案,为企业自托管、托管服务建设、私钥安全管理等常见风险提供一站式的解决方案,也许哪天大家用到的服务就是“Powered by NexVault”;
【2】为践行我们之前“对个人用户免费开放”的承诺,在2026Q1会出一个本地开源版本,专门给个人用户和轻量级的小团队使用,这个版本会完全开源免费,提供超过10条主链、多款软硬件钱包支持的原生多签管理能力;
【3】为了加强机构合作深度与专业度,我们会持续维护更新我们的交易所风险指南,包括security list(github.com/nexvault/CEX-Secu…)和精编(github.com/nexvault/CEX-Secu…);
未来我个人和团队都会更多精力专注于机构服务,也欢迎机构和资本大佬们多交流、多沟通 ~ 以上 🤪🤪🤪
2
5
11
18,532
又一起近 5000 万 USDT 的 “地址投毒” 损失案例 —— 攻击者生成与真实地址首尾字符相似的地址,使受害者误发大额资金。
本质不是链的漏洞,而是钱包 UX 与地址校验的缺失。
建议:
🔹 始终校验完整地址,而非只看前缀/后缀
🔹 不要从交易历史直接复制地址
🔹 对大额转账引入地址风险评分 & 异常提示
20 Dec 2025
这位玩家遭遇首尾号相似地址投毒,损失近 5000 万 USDT…
玩家地址:
0xcB80784ef74C98A89b6Ab8D96ebE890859600819
投毒地址:
0xBaFF2F13638C04B10F8119760B2D2aE86b08f8b5
玩家期望中的地址:
0xbaf4b1aF7E3B560d937DA0458514552B6495F8b5
// 可以看到首 3 字符尾 4 字符一样
玩家转 49,999,950 USDT 到投毒地址:
etherscan.io/tx/0xc0514a795f…
1
2
1,045
⚠️ 一次钓鱼签名 = 300 万美金被盗。
攻击者用伪造 DApp 诱导用户签下「修改 Owner」权限的交易,钱包被瞬间接管。今年此类权限劫持在 Solana/EVM 爆发式增长。
避免盲签 → 只有:
交易可读化 权限解析 多签隔离。
3 Dec 2025
一笔钓鱼签名确认,Owner 被改:
solscan.io/tx/524t8LW1PFWd4D…
目标用户损失 300 万美金资产。剖析见我们 @SlowMist_Team 的文章:
警惕 Solana 钓鱼攻击:钱包 Owner 权限被篡改
mp.weixin.qq.com/s/wVgYN5gOA…
1
351
NexVault retweeted
11 Nov 2025
朝鲜黑客组织通过精准定位与钓鱼诈骗结合的方式,远程操控手机,窃密后远程重置安卓智能手机,摧毁手机核心数据,造成用户核心数据不可恢复。 genians.co.kr/en/blog/threat…
2
10
1,934
DeFi 不该只讨论“去中心化”,
而应思考如何让安全成为底层共识:
降低单点攻击面
将权限分层
增加人机协作安全(multi-sig device-based approval)
这正是 NexVault 构建的方向:
Institutional security for the decentralized world.
4 Nov 2025
1.28亿美元被盗,27个分叉协议“躺枪”——Balancer事件给DeFi的三大教训
11月3日,DeFi领域遭遇重大打击,Balancer V2协议的金库被黑客侵入,最初损失7000万美元,最终数字飙升至1.28亿美元。
这一攻击不仅揭示了DeFi协议潜在的技术漏洞,也引发了关于DeFi安全性、审计可信度和去中心化与中心化的权衡等深刻反思
Balancer V2此次遭遇攻击的核心原因是一个“缺陷的访问控制检查”,黑客巧妙利用这一漏洞,转移了大量WETH和wstETH**等资产。
尽管Balancer在过去经历过多次审计,且曾由知名公司如OpenZeppelin等审计过,这一漏洞竟然依旧未被发现,让人不禁质疑:在现行审计体系下,DeFi协议的安全到底能依赖多少?
Balancer V2协议作为模板发展出的27个分叉协议,也都继承了这一致命漏洞。攻击者一举突破了这些协议的防线,导致包括Berachain、Arbitrum、Base等多条链上的项目都遭受了损失。
对于DeFi而言,这场攻击揭示了可组合性的双刃剑:尽管DeFi的开放性和组合性激发了创新,但一旦基础协议存在漏洞,这种“代码传染病”就会瞬间波及整个生态。
在攻击发生后,多个受影响链如Berachain选择采取了中心化干预措施。通过暂停网络运行、回滚交易等手段,Berachain成功追回了大部分资金。
尽管这一决定引发了“去中心化”与“中心化”之间的激烈争论,但从实际效果来看,这一举措无疑保护了用户的资产安全。
这种局面让我们反思:当DeFi协议面临安全威胁时,是否还能够坚守“代码即法律”的信条?是否应该在某些情况下采取更加灵活和务实的措施来保护用户?
这次攻击不仅是对DeFi安全的一次重大考验,也给行业提出了三个尖锐的问题:
审计的意义何在?如果连11次审计都未能发现漏洞,DeFi协议的审计体系是否存在根本问题?
可组合性是创新还是诅咒?当一个漏洞可以波及多个协议,DeFi的创新是否也带来了隐性风险?
去中心化还是中心化?在保护用户资产的关键时刻,去中心化理想是否应该让位于务实的中心化手段?
DeFi的安全性未来可能不再仅仅依赖更多的审计,而是需要更为稳健、从根本上减少攻击面的协议设计。
对于那些在此次事件中失去信任和资本的用户而言,这场代价昂贵的教训将深刻影响DeFi的未来发展。
1
2
134
NexVault × Avalanche
当安全托管遇上高性能公链。
通过 NexVault 的多签与权限控制,为 Avalanche 用户与机构提供更加安全的资产保护新方式。
安全 × 易用,共建可信 Web3 基础设施。
#NexVault #Avalanche #Web3安全
1
5
212
《一次“高收益”的邂逅》
某天,用户在群聊里认识了一个“专业交易团队”的人。
他们晒出漂亮的收益曲线、稳定的月报、甚至展示了实时操作界面。
年化收益率 80%,稳健又高效。
一番接触后,用户心动了。
于是他决定把自己的交易所 API 给他们用,并约定好利润分成。
很快,交易团队接手账户,交易员开始操作。
一切看似顺利。
直到有一天,交易员离职了。
没人意识到 —— 他依然握有用户的交易 API。
几天后,用户账户里开始出现异常的对敲交易。
团队内部互相推诿,而用户的钱,已经被“内鬼”转走了。
—— 这不是故事,这是真实发生过的无数次风险。
NexVault 针对这一场景进行:
1. API 权限将被安全托管
2. 每次交易都有风控审批,
#NexVault #API
3
212
🌕✨
NexVault 祝您中秋节快乐!
愿圆月寄托团圆,愿安全伴您无忧。
无论是家庭资产传承,还是机构资产管理,
我们始终守护您的每一份信任与财富。
Happy Mid-Autumn Festival from NexVault!
As the full moon shines bright, may it bring you reunion, peace, and prosperity.
Secure your digital wealth — safely, transparently, and together with NexVault.
🔐 #NexVault #Web3 #Security #Family #MidAutumnFestival #中秋节快乐
ALT www.nexvault.com
5
173
