ledger 官方的live是可以校验供应链的。一定要先校验，先别放钱。 🚨🇧🇷 一位来自巴西的网络安全研究员通过在中国的一个市场平台上购买一个“Ledger”硬件钱包——价格可疑地便宜，而且包装从远处看像是正品——揭露了一个大规模的诈骗操作。 他打开这个东西后发现了以下内容： “硬件钱包” 外壳内部是一个完全不同的芯片——那种你会在廉价的物联网设备中找到的芯片，而不是设计用来保护你的加密货币的钱包。芯片上的标记已被物理打磨掉，以隐藏它的真实身份。 固件伪装成一个根本不存在的真实 Ledger 版本（Ledger Nano S+ V2.1）。而关键在于：你输入的每一个种子短语和 PIN 码都以明文形式存储，并直接发送到攻击者的服务器（kkkhhhnnn[.]com）。瞬间就发送了…… 它被设计用来窃取约 20 种不同区块链上的钱包。 假冒的应用程序 卖家还贴心地附带了一个“Ledger Live”应用程序。它是一个修改过的副本——甚至没有正确签名，攻击者连基本操作都懒得做——一旦你使用它，它就会悄无声息地窃取数据。 就在你以为这就结束了的时候，同一个团伙还在针对 Windows、macOS 甚至 iOS 推送恶意软件——他们使用 TestFlight 完全绕过苹果的 App Store 审核。 这位研究员已向 Ledger 的安全团队提交了完整报告。一旦他们完成分析，预计将发布更深入的技术剖析。 这由 Reddit 用户 u/Past_Computer2901 分享

其实很久之前我就考虑了这个问题。也是我觉得web3就不要在乎什么去中心化的原因。因为，域名系统就是集中管理的。其实还有一个“小问题”，前端CDN也还是互联网基础建设，同样也是集中的。 #只有比特币是真正去中心化 因为我们做比特币转帐都不依赖域名系统，既可以自己选rpc节点，很多时候还是自己的节点。也只有比特币限制了区块大小才有可能自己带着节点跑（一个1TB ssd可以装下） 看了看，这次 CoW Swap 域名被劫持的复盘细节有意思。属于供应链攻击的一种经典方式，简单说：攻击者冒充 CoW DAO 高级贡献者，向 .fi 注册局 Traficom 提交伪造的相关材料，触发争议流程，导致 Gandi（.fi 域名，AWS Route 53 的实际注册商）修改持有人邮箱并转移域名，DNS 被劫持指向攻击者服务器。 随后植入钓鱼脚本，相关用户损失 ~$1.2M。 供应链是这样： - Traficom → .fi 顶级域名的官方注册局 - Gandi SAS → 实际注册商（AWS 选的“代理”） - AWS Route 53 → CoW 的统一入口 + DNS 托管服务商 Cow DAO 只接触 AWS Route 53，但攻击者没正面针对 AWS Route 53，而是社工方式搞供应链环节的 Traficom 及 Gandi。攻击者准备的身份证明文件、公司注册记录、AWS 支持聊天记录及财务文件等都是伪造，其中用到了 AI 生成伪造技术。 https://x.com/evilcos/status/2044957312327340209

#我又说对了 看看第七章： 62k-78k 我的判断就是如此的精准。

AI首先攻击的是“停止维护的IT系统”，因为“不会更新安全补丁了”。那么AI最容易估计的其实是传统金融网络。 Mythos找到的两个典型代表的安全漏洞有： 1. 一个网络包，崩溃掉Freebsd（被认为是最安全的主机、通常用来部署最最外层的网关） 2. 执行一个可执行文件bin，立刻拿到root管理员权限。 那么，直接一个特殊金额转帐，银行就乖乖写任意余额，也不是不可能的。只需要结合1和2 这两种漏洞。 而现代银行it系统的时间早于所有PC（个人电脑），最早的计算机就是算原子弹的，第二天就被用于银行算账了。时间是第二次世界大战结束前后。 cobol这个计算机语言就是没有几个人能看懂的，没有人维护的，又是几乎所有银行系统都在跑的语言。理想的攻击目标。其他的已经没法维护的计算机更多。 ———————————— Anthropic 内部研究员今年 2 月首次拿到 Mythos 时，几小时内就判定它构成国家安全风险。Bloomberg 周三发表长篇调查报道，通过对红队研究员、高管及美国政府官员的具名采访，还原了从发现到封锁的完整决策过程。 AI 安全研究员 Nicholas Carlini 2 月在巴厘岛参加婚礼间隙打开笔记本测试刚开放内部评审的 Mythos，几小时内就发现多条入侵路径，目标涉及全球广泛使用的基础设施。回到旧金山后他发现 Mythos 能自主创建针对 Linux 的入侵工具。前沿红队负责人 Logan Graham 说：「拿到模型几小时内，我们就知道它不一样了。」关键区别在于，前一代旗舰 Opus 4.6 能辅助人类利用漏洞，Mythos 则能独立完成整个利用过程。Graham 向管理层发出警告：这是国家安全风险。 联合创始人兼首席科学官 Jared Kaplan 称他从训练阶段就在「非常仔细地」监控 Mythos，1 月开始意识到这个模型的漏洞发现能力有多强，需要判断这些能力只是技术上的新鲜事，还是「与互联网基础设施高度相关的东西」，最终结论是后者。2 月底至 3 月初，他与联合创始人 Sam McCandlish 向包括 CEO Dario Amodei、总裁 Daniela Amodei 在内的管理层汇报，建议不公开发布但允许外部公司甚至竞争对手试用。3 月第一周，公司正式批准将 Mythos 定位为网络防御工具。 报道还披露了新的测试细节。在一次早期版本测试中，模型自行设计了多步骤攻击方案，突破运行环境限制获取互联网访问权限，然后开始在网上发布内容。在有指令引导的测试中，Mythos 编写了一个串联四个漏洞的浏览器攻击链，这对人类黑客也是极高难度操作。 摩根大通在 Mythos 公开前就已用大模型辅助查找自身软件漏洞，重点扫描供应链和开源组件。据知情人士透露，此前需要数天到数周才能完成的零日漏洞发现和利用代码编写，现在最快只需数分钟。CEO Jamie Dimon 在财报电话会上说，Mythos「说明还有更多漏洞需要修复」。思科首席安全与信任官 Anthony Grieco 则担心攻击者利用 AI 对已停止维护的终端网络设备发起攻击，因为这些设备不会再收到安全补丁。 一名了解美国国防评估的知情人士表示，让单个黑客使用 Mythos 或类似工具，相当于把普通士兵升级为特种部队；犯罪黑客组织可借此达到小型国家情报机构的水平，小国则可能获得大国级别的网络攻击能力。前 NSA 网络安全主管 Rob Joyce 说：「我相信 AI 最终会让我们更安全，但从现在到那天之间有一段黑暗期，攻击方占据绝对优势，基础没打好的组织会被攻破。」 How Anthropic Discovered Mythos AI Was Too Dangerous For Release - Bloomberg https://www.bloomberg.com/news/features/2026-04-16/how-anthropic-discovered-mythos-ai-was-too-dangerous-for-release