NEXUS MUTUAL--HUGH直言不讳

你并不像你想象的那样安全。

如果你的机器被入侵，硬件钱包和私钥是毫无作用的。

猿人要交税，交易员要亏损资金，但处事谨慎的用户不应该亏损自己的钱财。

Nexus Mutual的Hugh Karp被黑了800万美元。

这个故事与我们通常报道的故事不同，我们想适当地报道它。贪婪和急躁并不能赢得我们的尊重，但当一个人因为自己的过错而成为目标时，他们应该得到一些同情。

这次攻击事件可能发生在我们任何人身上。

我们在攻击事件发生一周后采访了Hugh。以下摘要来自他的官方声明。

12月14日（UTC）星期一上午9:40，我被骗批准了一单交易 ，向一个黑客发送了37万NXM，而不是我认为的索取一些挖矿奖励。随后，该黑客将大部分NXM清算成ETH/BTC，并将其分散到许多不同的地址和交易所。

rekt:

Hugh，你好：

感谢你和我们交谈，我们首先想说的是，我们对你的遭遇感到遗憾。

我们不想在没有和你商量之前就报道这个故事，因为很明显，这次攻击事件比我们通常报道的那些攻击事件有更多个人因素。

距离黑客攻击事件发生已经一周多了--撇开经济损失不谈，这次事件对你有什么影响？

Hugh：

说实话，苦不堪言，情绪就像坐过山车一样，睡不着觉，尤其是前几天，但现在一切都稳定下来了。

前3个小时左右绝对是最糟糕的时刻，我相信很多其他加密行业的人都有过这样的经历。你会有那种肠胃不适的感觉，我的整个身体都在颤抖，相当虚弱。

Nexus团队和社区里的其他人在这里真的帮了大忙，Rox（我们的CTO）和Anatol（我们的安全专家）控制了局面，并指导我进行下一步的工作。然后，广大社区开始参与到追踪资金和其他事情中来。

rekt:

我并不惊讶800万美元的损失会造成一些身体上的副作用--那一定很可怕。

你在心理上是如何处理的？它是否改变了你对这个行业的看法？

Hugh：

我想我在这方面做得还不错，我倾向于用长远的眼光看待事物，在去中心化金融夏季真正启动之前，NXM只有3美元左右。所以，虽然我很肯定地亏了很多钱，但4-5个月前我还没那么多钱呢。反正创业就想坐过山车一样，所以这只是另一个低谷期，我相信事情会有转机。

rekt:

你对这次事件的书面总结非常精彩。

在一节中，你写道；

"与我们认为是类似攻击的其他受害者有联系"

你能解释一下这些联系吗？

Hugh：

我现在不能提供太多细节，因为仍在进行调查，但我们知道至少还有两个Nexus Mutual成员似乎受到了类似事件的影响。据传闻，通过其他联系，还有其他几位受害者受到了影响。我们在追踪资金流动时发现了这两个账户。

我猜有观点认为，这是一次针对性很强的攻击，普通的去中心化金融用户不必太过担心。我想这在某种程度上是正确的，但我想指出的是，你不一定要高调才能成为目标。一般来说，我会告诫大家不要认为"这不会发生在我身上"。

rekt:

你使用的是硬件钱包，你的私钥并没有被泄露--用户可以做些什么来防止这种情况发生在自己身上？

Hugh：

自从攻击事件发生后，我一直在思考这个问题，老实说，我不知道最好的解决方案是什么。硬件钱包会显示足够的信息，所以你可以验证你到底在批准什么，但你必须要有相当的技术才能理解。对于众所周知的代币来说，简单转账是没问题的，但任何智能合约的交互对于普通用户来说可能几乎不可能理解。就我个人而言，从现在开始，我打算对照外部来源检查完整的交易信息，但我不认为这对每个人来说都是可行的解决方案。

rekt:

你在总结中写道 "我的电脑被入侵了，Metamask从磁盘上被修改了"

你知道你的电脑是怎么被入侵的吗？

Hugh：

我们现在还没有一个完整的概念， 我们还在对我的电脑进行全面诊断。我们相信恶意软件是由coinbene点团队提供的，但也有可能是来自其他团队。

rekt:

推特上有一些消息表明你已经确定了攻击者的身份，你能告诉我们你和他们的沟通情况吗？

Hugh：

我们的CTO罗克珊娜与其中一名黑客进行了简短的电报对话，但我们也通过追踪交易和与警方交谈，将他们与其他黑客受害者联系起来。我暂时不能再透露这方面的情况，只能说我们相信他们是一个高度复杂的黑客组织。

rekt:

你有没有和执法部门谈过黑客事件？

Hugh：

是的，我们已经和英国警方谈过了，他们也在和其他司法管辖区进行协调。其他案件也被联系起来，所以他们被当作一个更大的调查来处理。

rekt:

你是否觉得警方在处理这类案件时很有经验？

我们报道了很多涉及巨额资金的黑客攻击和漏洞利用事件，但似乎很少引起执法部门的注意--你认为这是为什么？

Hugh：

他们似乎主要是为了信用卡诈骗和其他小项目而设立的。另一个巨大的挑战是国际方面的问题，那会拖慢反应时间和协调工作。

rekt:

保险协议为黑客提供了机会，他们可以通过在攻击协议之前购买保险来成倍增加利润--你有没有看到这种情况的证据--应该允许这种情况发生吗？

Hugh：

我们自己还没有看到这种情况发生，不过我相信它会发生。在Nexus Mutual，我们引入了损失证明，所以你需要证明你控制了一个遭受损失的账户。这将防止最坏的影响。

保险产品可以在没有这个标准的情况下运作，但从长远来看，它们会更加昂贵，因为会承担额外索赔。对于长期可持续的产品来说，最好是尽可能地将利益统一起来。

rekt:

社区设立了一个Gitcoin grant来资助你的部分损失--你表示这笔资金将用于开发钱包安全工具--你能给我们提供一些细节吗？

Hugh：

是这样的。我还没有确定具体的细节，但我们的目标是鼓励为高度安全的个人钱包提供解决方案，或者在技术项目上取得进展，从用户体验的角度来看，这些钱包也很不错。我知道很多团队都在努力，但我们还有一段路要走，我认为更广泛的加密领域拥有自我保管最佳选择至关重要。我的特殊情况比较引人注目，但这个问题并不是我一个人的问题，所以希望这是一个刺激进一步进展的机会。

rekt:

如果我们的读者想要帮助或者了解更多关于这个项目的信息，他们应该去哪里？

Hugh：

如果你想捐款给这个基金，链接在此：

如果您想了解更多关于Nexus Mutual的信息，您可以在Twitter上找到我们@NexusMutual，或者加入我们的Discord。

rekt:

感谢您与我们交谈。

Hugh：

不客气，我很感谢你给我这个机会，也感谢你对我的关心！

REKT作为匿名作者的公共平台，我们对REKT上托管的观点或内容不承担任何责任。

捐赠 (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

声明:

REKT对我们网站上发布的或与我们的服务相关的任何内容不承担任何责任，无论是由我们网站的匿名作者，还是由 REKT发布或引起的。虽然我们为匿名作者的行为和发文设置规则，我们不控制也不对匿名作者在我们的网站或服务上发布、传输或分享的内容负责，也不对您在我们的网站或服务上可能遇到的任何冒犯性、不适当、淫秽、非法或其他令人反感的内容负责。REKT不对我们网站或服务的任何用户的线上或线下行为负责。