交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
新闻
文章
大V快讯
财经日历
专题
ETF追踪
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
索拉纳ETF
大额转账
链上异动
比特币回报率
稳定币市值
合约计算器
期权分析
账号安全
资讯收藏
自选币种
我的关注大V推荐
-
@cz_binance私信联系:reachme.io/@cz_binance(费用用于慈善) @BNBchain, @YZiLabs, @GiggleAcademy, 前@binance成员
@cz_binanceCZ 🔶 BNB
@cz_binance私信联系:reachme.io/@cz_binance(费用用于慈善) @BNBchain, @YZiLabs, @GiggleAcademy, 前@binance成员
-
@Bitcoin-暂无简介-
-
Nayib Bukele
@nayibbukele-暂无简介-
-
@VitalikButerin我选择平衡。第一级的平衡。 mi pinxe lo crino tcati slatestarcodex.com/2018/09/12/in-…
@VitalikButerinvitalik.eth
@VitalikButerin我选择平衡。第一级的平衡。 mi pinxe lo crino tcati slatestarcodex.com/2018/09/12/in-…
-
@coinbase-暂无简介-
@coinbaseCoinbase 🛡️
@coinbase-暂无简介-
-
@Cointelegraph自2013年以来的可靠加密媒体 · 新闻、研究、播客等 · 探索:linktr.ee/cointelegraph_…
@CointelegraphCointelegraph
@Cointelegraph自2013年以来的可靠加密媒体 · 新闻、研究、播客等 · 探索:linktr.ee/cointelegraph_…
最近活跃
-
@BNBCHAIN-暂无简介-
-
@DeItaone-暂无简介-
@DeItaone*Walter Bloomberg
@DeItaone-暂无简介-
-
@whale_alert实时报道重大且有趣的#blockchain交易动态。在whale-alert.io/alerts.html上为超过100种代币创建您的专属提醒。
@whale_alertWhale Alert
@whale_alert实时报道重大且有趣的#blockchain交易动态。在whale-alert.io/alerts.html上为超过100种代币创建您的专属提醒。
-
@BitcoinNewsCom#Bitcoin 和 #LightningNetwork 每日新闻 • 阅读我们的最新文章 📖 bitcoinnews.com
@BitcoinNewsComBitcoin News
@BitcoinNewsCom#Bitcoin 和 #LightningNetwork 每日新闻 • 阅读我们的最新文章 📖 bitcoinnews.com
-
@ali_charts-暂无简介-
@ali_chartsAli
@ali_charts-暂无简介-
-
@OnchainLens为大众简化链上数据 t.me/OnchainLens
@OnchainLensOnchain Lens
@OnchainLens为大众简化链上数据 t.me/OnchainLens
Cos(余弦)😶🌫️
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
感谢时代,感谢黑手册的贡献者与读者们,这本手册的使命会告一段落:
后续我只会更新黑手册扩展知识,纯当自己的记录:
2025 快结束了,给自己一个转折点。
- 120
- 80
- 50
- 200
- 150
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
当然,我还做了个隔离,这些常在河边奔跑的行为,我会尽量在独立电脑上操作。
这条安全建议给所有在河边奔跑的人。你在被 AI 干掉之前,更可能被人类坏分子给先干掉。
- 211
- 388
- 100
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
A powerful Chrome extension for security researchers to inspect and edit localStorage, sessionStorage, and Cookies.
扩展本地加载使用即可,安全可控。@SlowMist_Team
- 101
- 221
- 491
- 52
- 20
- 310
- 15
- 5
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
是普通的授权被盗,授权给了一个恶意合约,合约名是 Vault,还开源验证了,2天前创建的:
你朋友 34 小时前有授权 USDT 给这个恶意合约,所以才被盗:
具体为什么会有这笔恶意授权,你朋友需要排查下了。另外,这个恶意合约盗了小几百个地址,获利约 25 万美金。目前获利转移沉淀在这:
- 942
- 756
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cointelegraph
- 120
- 180
- 600
- 279
- 50
- 40
- 100
- 60
- 30
- 200
- 25
- 15
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
在 Settings -> Privacy and Security -> Passkey 开启,如图2,我还开启了 Two-Step Verification,这个其实是独立密码,也就是登录时还需要输正确这个才行,切记别忘记 Two-Step Verification…
Passkey 科普过很多次了,是什么自行查询。顺便再提醒下,Passkey 所在设备或者同步 Passkey 的云服务(如 iCloud、Chrome 等)出问题,那就麻烦了,切记切记。
凡事都有多面性,我个人非常喜欢 Passkey,对 Passkey 本身的安全性挺放心,但如果用不好或者目标平台没支持好,那就有得难受了…
- 52
- 15
- 321
- 87
- 43
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
有意思的是,这种设计让 Zcash 比门罗币(Monero)这种默认强隐私的隐私币来说,更受监管理解。你现在看到主流平台的 Zcash 地址几乎都是 t 开头的,也不难理解,真在意隐私的群体是非常非常小的,迎合监管才是平台出路…
强隐私方面,门罗币才是真硬核,不过吧,监管不喜欢。Zcash 呢,我个人感觉它的隐私设计平衡感做的挺好的,路可能可以走的更宽。
如果要来个类比:
Bitcoin -> HTTP
Zcash -> HTTP/HTTPS
Monero -> HTTPS
明白了吧😏
Arkham
> 53%的Zcash交易被标记
> $420B的交易量归因于一个实体
> 48%的输入和输出归因于一个实体
> 37%的余额被标记($2.5B)
- 101
- 221
- 611
- 102
- 180
- 150
- 20
- 409
- 15
- 5
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
- 案例三 通过 Hyperunit 循环清洗 BTC
- 案例四 Stargate Finance 跨链资金来源分析
😈中文版见:
SlowMist
📖GitHub上的更新版本:
🚀这些新增内容扩展了手册对跨链和洗钱模式的覆盖范围——这是许多读者一直要求的话题:
1️⃣更多桥接浏览器链接🔗:
• Squid
• Orbiter
• TeleSwap
2️⃣两个新的案例研究🔍:
• 通过Hyperunit进行的BTC洗钱循环
• 通过Stargate Finance进行的跨链来源分析
如果你已经读过手册,这次更新会让它更具操作性。如果还没读过——现在正是深入了解的好时机。
🛡️我们将继续不断完善手册,使链上追踪知识对加密货币生态系统中的每个人都易于获取。
- 222
- 256
- 701
- 130
- 45
- 67
- 89
- 132
- 35
- 333
- 71
- 52
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Binance Wallet
首个支持MPC技术的浏览器扩展,一个账户下管理多个钱包,并与Binance Wallet Web无缝连接。
安全至上:经SlowMist审计,采用无密钥技术和智能风险警报保护你的资产。
了解更多 👉
- 102
- 223
- 845
- 173
- 150
- 21
- 312
- 16
- 6
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
- 511
- 432
- 56
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
这个攻击者,28 天前就从 Railgun 隐私协议里准备好了 gas,非常少的 gas(0.0006384 ETH):
0xFb63aa935Cf0a003335dCE9Cca03c4F9c0fa4779
0x011C654467a2f84068325Be2C856c1D07d27f9B7
接着发起唯一一笔的攻击利用:
初步看了挺复杂,这笔利用最终完成 1000 ETH 进入 Tornado Cash,本来是 1100 ETH,其中 100 ETH 被提出继续完成后续利用:
其他获利资金沉淀在这:
攻击者总收益约 $9M。我感觉攻击者是个洁癖很强的人。
- 221
- 310
- 15
- 5
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
AppSail.dev
- 101
- 52
- 15
- 5
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
- 510
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
我很早就写过浏览器扩展(其中一个开源在我 GitHub 仓库里,黑 Cookies 的,早过期了),也安全审计过某些钱包扩展,所以算是比较懂的一类安全人员。
一个扩展要作恶,比如偷目标页面的 Cookies、localStorage 里的隐私(如账号权限信息、私钥信息),DOM 篡改,请求劫持,剪切板内容获取等等。在 manifest.json 做相关权限配置即可。用户如果没注意扩展的权限申请,就麻烦了。
但一个扩展要作恶,想直接搞其他扩展,比如知名钱包扩展,那还是不容易的…因为沙盒隔离了…比如想直接偷走钱包扩展里存储的私钥/助记词有关信息是不大可能的,除非有傻逼漏洞出现被恶意利用了。
如果你担心某扩展的权限风险,要判断这种风险其实很容易,安装扩展后可以先不使用,看下扩展 ID,搜索到电脑本地路径,找到扩展根目录下的 manifest.json 文件,把文件内容直接扔给 AI 做权限风险解读即可。这步骤不会操作,直接问 AI 也很方便…比如 DeepSeek/GPT/Grok/Claude 等都行。
如果你有隔离思维,你可以考虑给陌生扩展单独启用 Chrome Profile,至少作恶可控。而且,扩展如果用完是可以在 chrome://extensions/ 里关闭的,绝大多数扩展没必要一直开启。
我写这个的重点其实是想引导大家多善于使用 AI(几年前是善于使用搜索引擎),AI 处理这些基础安全问题都不是问题…
- 112
- 35
- 267
- 43
- 87
- 56
- 500
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
之前有位白帽给我同步过一个漏洞,当时这个漏洞是有前置条件的,大概就是如果有人劫持了你在 Monad 空投领取页面的会话后,可以更改领取钱包地址,而不需要进一步确认。
我不确定 @Onefly 是否遭遇类似的漏洞攻击。建议 @monad 参与调查下,比如看领取钱包地址的更改日志。
Onefly
应该是很多人空投领取地址都被改掉了
然后空投到账就转给这个 ?黑客地址了?
@evilcos 要不看看这个地址是属于哪儿的?
0xde8c91E1033912F184b4ff6a1cC84Bc6eb68602c
- 132
- 87
- 215
- 575
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
OneKey 中文
- 101
- 422
- 491
- 52
- 153
- 20
- 455
- 15
- 5
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
原因是 GANA Payment Stake 合约的 owner 私钥泄露导致。之后的攻击上用了些技巧,比如 7702 delegate 利用,正好也可以绕过 unstake 的 onlyEOA 判断。通过更改相关 rate 和 fee,实现了 stake 几百 USDT,即可 unstake 走几十万 USDT 的攻击结果,比如其中一次操作组合:
stake
unstake
每次操作组合后,owner 都会被设置为新的地址,新地址继续发起一样的攻击操作。
最终完成 8 次这种攻击操作组合,套走 $3.1M USDT...这 8 次对应的属于攻击者的 owner 地址分别是:
0x5d4041abd7094aa12496Ce919E88ee3E480c3e29
0x0b8fa3F694Adb6BBEBe83628ee4ceecE33C4821F
0x7b055955dc8ee2e3d4b139e42652cfb87f4eea3d
0x8998adaf5a05e81f414bc042a4419c2931d96776
0x46215669eb465970f924333e033eb0bfe4ec6c42
0xcdf43fc9f0f2ea640ad33b115bae231881f78a2d
0x7f4e661ba8ba136937ca86ec5e03a8d41e16ea10
0x5084c5809e14134644b1efb5b836964c141616fe
攻击者获利地址:
0x2e8a8670b734e260cedbc6d5a05532264aae5c38
7702 delegate 恶意合约:
0x7A44bD9C6095Ca7b2A6f62FE65b81924c6cAb067
cc @SlowMist_Team @MistTrack_io
GANA Payment
GANA的交互合约遭受外部攻击,导致资产未经授权被盗。我们的技术团队与独立第三方安全公司已启动紧急调查,分析攻击途径、识别漏洞并评估全面影响范围。
我们将通过官方渠道持续更新调查进展及后续行动。对此突发事件造成的不便深表歉意,感谢您的理解与支持。
GANA将启动全面项目重启计划,包括完整映射所有用户资产地址及其关联权限。详细恢复方案及时间表将很快公布,以确保所有用户资产的保护与恢复。
GANA官方团队
日期:2025年11月20日
- 310
- 52
- 15
- 221
- 101
- 901
- 89
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Mao (She/Her)
損失了$25K。希望可以透過分享經驗幫助大家避坑。感謝各位與社群的支援
Thread below 👇(1/5)
- 101
- 801
- 52
- 120
- 20
- 600
- 15
- 5
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
A powerful Chrome extension for security researchers to inspect and edit localStorage, sessionStorage, and Cookies.
扩展本地加载使用即可,安全可控。@SlowMist_Team
- 101
- 221
- 491
- 52
- 20
- 310
- 15
- 5
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
AppSail.dev
- 101
- 52
- 15
- 5
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
Passkey 的缺点我思来想去,有这几个:
1. 许多人还不熟悉,可能会出现理解偏差甚至忘记开启过这个功能,导致误会
2. 如果目标网站换了域名,那么之前所有 Passkey 原地失效,需要用户再绑定一遍
3. 如果目标网站域名被黑客接管,整整齐齐凉凉(但涉及 Passkey 2FA 的操作还是需要用户来确认,没那么凉)
4. 如果用户没开这个 Passkey,黑客接管账号后,帮你开启,麻烦就多了
总结下,Passkey 很重要也很有前途。如果你不想用 PC 本地存储你的 Passkey,也可以固定一台手机来扫码支持,比如 iPhone 相机扫码,Passkey 存在 Keychain 里,再 iCloud 同步。你只要确保你的 iPhone 账号安全(包括 iCloud 账号),那么恭喜你,你的 iPhone 已经是一台安全系数非常高的 2FA 设备了,而且便利性也不错。
- 127
- 83
- 231
- 58
- 512
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
x402 支付协议确实足够简单,无状态,核心是在 http 请求头里加上了 x-payment 字段,并最终在链上反应出来,比如如图这个样例:Base 网络上,用 USDC 小额支付了个服务,支付请求带上图中备注的 JSON 内容,其中包含了支付有关字段及签名结果(signature 值,这个签名结果需要钱包私钥来负责输出),上链后对应图中 USDC 合约这部分机制 transferWithAuthorization(也是一种离线签名机制),上链成功后,也即支付成功,用户就会得到成功后的响应。
至于响应什么,就看服务商想给你什么了,比如发个 token 给你,发个收费材料给你,发个 VIP 服务给你等等等,这个 x402 支付协议就不管了,x402 协议只完成这种足够简单的无状态的一次性支付就行,付完就付完了,其他的花里胡哨都不属于 x402 的责任范畴。
这里有些测试:
Base Sepolia 网络
Base 主网,我上传的一份笔记,只需支付 0.000001 USDC 即可获取
// 注意下,这些测试如果出现非预期收取资金的情况,那一定别继续签名
脑洞大开后,骗局也就可以非常多,大家千万要识别好值不值得让你的钱包去完成这个签名或者让你的 AI Agent 或 MCP Client 等用你的私钥帮你自动完成一些支付交互,小心过多资金被搞走。
x402 支付协议其实就是由 Coinbase 主导的针对支付环节的一个实践标准,其他巨头可以采用这个标准也可以扩展这个标准,这些都不是技术问题,而是要不要跟随的问题...
最后,具体细节建议看上面列的材料,并动手测试测试,上手很快。
0xAA
- 146
- 253
- 569
- 75
- 15
- 10
- 120
- 85
- 60
- 375
- 27
- 13
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
- 101
- 221
- 491
- 52
- 20
- 310
- 15
- 5
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
当然,我还做了个隔离,这些常在河边奔跑的行为,我会尽量在独立电脑上操作。
这条安全建议给所有在河边奔跑的人。你在被 AI 干掉之前,更可能被人类坏分子给先干掉。
- 211
- 388
- 100
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
ENS: elevendrainer.eth
0x498Dc5153F5BB71801049281ECB6F378B284B166
ENS: eleventeam.eth
0x110002727de44AfA293Df506a7B013b0D37d135b
找时间我再看看有没有什么新的手法。
- 310
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
- 245
- 254
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
OneKey 中文
- 101
- 422
- 491
- 52
- 153
- 20
- 455
- 15
- 5
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
- 510
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
感谢时代,感谢黑手册的贡献者与读者们,这本手册的使命会告一段落:
后续我只会更新黑手册扩展知识,纯当自己的记录:
2025 快结束了,给自己一个转折点。
- 120
- 80
- 50
- 200
- 150
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cointelegraph
- 120
- 180
- 600
- 279
- 50
- 40
- 100
- 60
- 30
- 200
- 25
- 15
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
我很早就写过浏览器扩展(其中一个开源在我 GitHub 仓库里,黑 Cookies 的,早过期了),也安全审计过某些钱包扩展,所以算是比较懂的一类安全人员。
一个扩展要作恶,比如偷目标页面的 Cookies、localStorage 里的隐私(如账号权限信息、私钥信息),DOM 篡改,请求劫持,剪切板内容获取等等。在 manifest.json 做相关权限配置即可。用户如果没注意扩展的权限申请,就麻烦了。
但一个扩展要作恶,想直接搞其他扩展,比如知名钱包扩展,那还是不容易的…因为沙盒隔离了…比如想直接偷走钱包扩展里存储的私钥/助记词有关信息是不大可能的,除非有傻逼漏洞出现被恶意利用了。
如果你担心某扩展的权限风险,要判断这种风险其实很容易,安装扩展后可以先不使用,看下扩展 ID,搜索到电脑本地路径,找到扩展根目录下的 manifest.json 文件,把文件内容直接扔给 AI 做权限风险解读即可。这步骤不会操作,直接问 AI 也很方便…比如 DeepSeek/GPT/Grok/Claude 等都行。
如果你有隔离思维,你可以考虑给陌生扩展单独启用 Chrome Profile,至少作恶可控。而且,扩展如果用完是可以在 chrome://extensions/ 里关闭的,绝大多数扩展没必要一直开启。
我写这个的重点其实是想引导大家多善于使用 AI(几年前是善于使用搜索引擎),AI 处理这些基础安全问题都不是问题…
- 112
- 35
- 267
- 43
- 87
- 56
- 500
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
还有,我一枚 $WLFI 都没,祝这些朋友援救顺利。
- 690
- 240
- 50
- 98
- 75
- 630
- 89
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
在 Settings -> Privacy and Security -> Passkey 开启,如图2,我还开启了 Two-Step Verification,这个其实是独立密码,也就是登录时还需要输正确这个才行,切记别忘记 Two-Step Verification…
Passkey 科普过很多次了,是什么自行查询。顺便再提醒下,Passkey 所在设备或者同步 Passkey 的云服务(如 iCloud、Chrome 等)出问题,那就麻烦了,切记切记。
凡事都有多面性,我个人非常喜欢 Passkey,对 Passkey 本身的安全性挺放心,但如果用不好或者目标平台没支持好,那就有得难受了…
- 52
- 15
- 321
- 87
- 43
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
- 102
- 397
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
- 案例三 通过 Hyperunit 循环清洗 BTC
- 案例四 Stargate Finance 跨链资金来源分析
😈中文版见:
SlowMist
📖GitHub上的更新版本:
🚀这些新增内容扩展了手册对跨链和洗钱模式的覆盖范围——这是许多读者一直要求的话题:
1️⃣更多桥接浏览器链接🔗:
• Squid
• Orbiter
• TeleSwap
2️⃣两个新的案例研究🔍:
• 通过Hyperunit进行的BTC洗钱循环
• 通过Stargate Finance进行的跨链来源分析
如果你已经读过手册,这次更新会让它更具操作性。如果还没读过——现在正是深入了解的好时机。
🛡️我们将继续不断完善手册,使链上追踪知识对加密货币生态系统中的每个人都易于获取。
- 222
- 256
- 701
- 130
- 45
- 67
- 89
- 132
- 35
- 333
- 71
- 52
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
@SlowMist_Team 创始人。DarkHandBook.io 创建者 // 分身一号/捉虫大师/救火运动员 🕖灾备 t.me/greyhatcos
Cos(余弦)😶🌫️
- 35
- 123
- 207
- 122
- 67
- 25
- 206
- 73
- 31
