比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > TUSD > Info

捂好錢包黑客也要回家過年 錢包事件大匯總_SLOPE

Author:

Time:1900/1/1 0:00:00

近期,CertiK發布了《2022年Web3.0行業安全報告》,在報告中我們可以看到2022年對于整個數字資產行業來說是艱難的一年。

2022年惡意行為者從Web3.0協議中盜取了價值超過37億美元的資產,這個數字比2021年的13億美元損失增加了189%。

這些資產被盜的原因大部分是由于網絡釣魚攻擊中的私鑰泄露或智能合約中的漏洞,但也有相當數量的資金是被盜于數字貨幣錢包。

這些錢包事件既影響了個人用戶,如FenbushiCapital的BoShen:4200萬美元的數字貨幣資產被盜;也影響了大批用戶群體,如Slope及Bitkeep錢包事件,影響了超過9000個用戶賬戶。

然而這些事件中的一部分原本是可以避免的——因為這些漏洞可以在錢包安全評估中被發現。

CertiK在過去幾年中已經保障了數百個錢包應用的安全。

在本文中,我們將重新審視2022年發生的與數字貨幣錢包相關的主要安全事件,并探討其技術細節。

此外,我們將對我們在為客戶的錢包應用程序進行研究和安全評估時發現的常見安全漏洞進行總結。文末我們將列出一些可供錢包用戶參考的安全建議,以降低被黑風險。

澳大利亞VentureCrowd擬募資1400萬美元以投資Web3市場?:3月21日消息,澳大利亞風險投資公司VentureCrowd正在募資1400美元,旨在擴張東南亞市場并加大Web3和區塊鏈領域的投資,截至目前該風投已鎖定超過600萬美元資金。VentureCrowd表示,一旦這筆融資交易結束就將探索Web3市場,而且現在已經開始著手研究相關要素并將這一戰略視為“財富科技的未來”,包括現實世界資產代幣化、區塊鏈安全等。[2023/3/21 13:16:51]

~2022年主要的加密貨幣錢包相關事件~

Slope錢包

2022年最著名、影響最大的加密貨幣錢包安全事件源于Slope錢包對私鑰的不當處理。

Slope錢包是一個非托管的數字貨幣錢包,適用于iOS和Android、Chrome瀏覽器的擴展。

它支持多個區塊鏈,但主要活躍于Solana區塊鏈。

2022年8月2日晚,價值約410萬美元的資產在大約四個小時的時間里被從9231名用戶的錢包地址中盜取。

在事件發生的前幾個小時,當根本原因不明時,用戶就已出現了恐慌,Solana區塊鏈被黑的謠言也開始不脛而走。

AAVE突破88美元:金色財經報道,行情顯示,AAVE突破88美元,現報88.01美元,日內漲幅達到4.36%,行情波動較大,請做好風險控制。[2023/1/30 11:35:55]

在攻擊發生的幾小時后,一名推特用戶發布了一張截圖,顯示了來自Slope移動錢包的HTTP流量。CertiK發現在導入錢包賬戶時,用戶的助記詞將被發送到Slope的Sentry日志服務器,任何有權訪問日志的人都可以接管該賬戶并從該地址轉移所有資產。

該攻擊事件發生兩周后,Slope錢包發布了“取證和事件響應報告”。

從報告中我們可以得知,2022年7月28日起,用戶私鑰就已經會被記錄于數據庫中,然而這一漏洞風險在經過安全審計或是內部審查后其實非常容易被發現。

發布報告后至今,Slope錢包團隊未于社交媒體上再發表任何回應。

Profanity

Profanity是一個基于GPU的Vanity地址生成工具,允許用戶生成自己喜歡的Vanity自定義外部賬戶和智能合約地址。

Profanity使用一個隨機的種子數來將其擴展為初始私鑰,并通過GPU根據初始私鑰計算數百萬個帳戶,以此暴力創建滿足用戶要求的地址。

Aptos:此前推出的測試網NFT系列代表Longevity測試網的啟動:9月20日消息,公鏈項目Aptos公布激勵測試網3(AIT3)參與和獎勵變更情況,為參與者增加了50%的獎勵,將最多800枚代幣獎勵上調至1200枚,也就是說全額獎勵為1200枚,滿足≥50% Staking獎勵的將獲得800代幣,滿足≥9%的質押獎勵或治理投票為零的人將獲得500枚代幣。關于測試網參與情況,測試網在不到2周的時間內完成了超過8億筆交易,實現超過4000TPS。

此外,Aptos還表示,最近推出的測試網NFT系列APTOS : ZERO標志著其Longevity測試網的啟動,表示其對軟件和部署架構狀態的信心。Longevity測試網NFT會保留很長時間,而非之前的每周清零。Aptos計劃不再對Move、交易和API進行重大更改,將不再有數據清除,因此DApp和其他實體之間可以有效地建立伙伴關系。Aptos將繼續繼續每周向devnet推出更改,并將繼續每周進行清除。[2022/9/20 7:08:54]

從技術上講,Profity并不是一個錢包應用程序,但它確實有一個與幾乎所有數字貨幣錢包通用的功能:生成錢包賬戶。

這就是由風險賬戶導致了惡劣后果的完美案例。

Nexo聯合創始人:以太坊的合并不會幫助以太坊超越比特幣:金色財經報道,根據加密貨幣借貸平臺Nexo聯合創始人Antoni Trenchev的說法,以太坊的合并是協議歷史上發生的“最重要的事情”。但是,他認為這不會幫助以太坊超越比特幣成為最主要的數字資產。

Trenchev 表示,他“非常看好”這些資產,并長期將它們放在他的投資組合中。他承認幾個月前增加了他的 ETH 敞口,預計代幣的價格會在轉向 PoS 后飆升。

與一些人預計 Ether 的估值會在事件發生后立即飆升不同,Nexo 的高管認為這需要一些時間。人們應該首先意識到該開發的用例,然后價格飆升可能會隨之而來。[2022/9/15 6:59:06]

2022年9月15日,1Inch團隊發表了一篇文章《以太坊vanity地址工具Profanity中披露的一個漏洞》,講述Profanity工具使用不安全的種子,該工具生成賬戶的私鑰可以被輕易破解。此后該漏洞首次引起了人們的注意。

五天后,即9月20日,最大數字資產做市商之一的Wintermute的一個錢包賬戶被黑,攻擊者利用該賬戶從一個智能合約中提取了約1.625億美元。

10月11日,Qanx?Bridge的部署者賬戶被黑,攻擊者利用該賬戶從Bridge上提取$Qanx并出售。多個攻擊者同時也在區塊鏈上積極尋找有漏洞的賬戶并竊取資金。

報告:Nomad跨鏈橋事件中有88%的攻擊地址是“模仿者”:8月11日消息,Coinbase在博客文章中對上周Nomad跨鏈橋黑客攻擊事件進行了分析,根據該文章,參與此次攻擊的地址中,88%的地址已被確定為“模仿者”,在8月1日盜取了總價值8800萬美元的代幣。“模仿”方法是原始漏洞利用的變體,該漏洞利用了Nomad智能合約中的一個漏洞,允許用戶從不屬于他們的跨鏈橋中提取資金。模仿者復制相同的代碼,但修改目標代幣、代幣數量和接收地址。就提取的資金總額而言,前兩名黑客是盜取的資金最多。由于wBTC、USDC和wETH代幣在Nomad跨鏈橋中的集中度最高,最初的黑客首先攻擊的是Bridge的wBTC,其次是USDC和wETH。

截至8月9日,從Nomad跨鏈橋合約中被盜的17%的資金已歸還,大部分歸還發生在Nomad跨鏈橋要求于8月3日將資金發送到回收地址后的幾個小時內,而最近幾天的速度比最初發布地址時要慢。34%的被盜資金尚未移動, 49%的被盜資金已從攻擊地址轉入其他地方。[2022/8/11 12:18:05]

這類問題的根本原因在于,種子總數也許只有2^32。不安全的種子和可逆的暴力過程使恢復使用該工具生成賬戶的私鑰成為可能。CertiK成功開發了一個概念驗證程序,并能夠恢復Wintermute和Qanx部署者賬戶的私鑰。

這樣的事件并非獨例。

2013年,Android系統的隨機數生成器中,一個類似的漏洞被發現,影響了比特幣錢包的創建。

密碼學是一個復雜的領域,因此很容易犯下損害安全的錯誤。一條金科玉律就是“don'trollyourowncrypto”。

幸運的是,大多數數字貨幣錢包在處理創建錢包賬戶時,都會使用如"bip39"這樣的既定的庫。

MetaMask的iCloud備份

4月17日,被3000多萬人用來存儲和管理數字資產的主流加數字幣錢包MetaMask警告其iOS用戶,在AppleiCloud中存儲錢包秘密存在潛在風險。

如助記詞這樣的錢包敏感信息在上傳到iCloud時是加密的,但如果其所有者的Apple賬戶被泄露,且使用了低強度的密碼,那他們的數字資產很可能會面臨風險。

這一警告是由一次代價高昂的釣魚攻擊換來的。

在這次攻擊中,推特賬號為@revive_dom的用戶DomenicIacovone損失了大量的數字貨幣和非同質化token,總計價值約65萬美金。

騙子假裝是Apple公司的支持人員,借此獲得了Iacovone的iCloud賬戶的訪問權,并使用存儲的MetaMask憑證耗盡了他的錢包,讓他成為了這場社會工程攻擊的受害者。錢包應將包含助記詞的保管庫存儲于不會被iCloud備份的位置,如果這一點無法實現,應用程序也應警告用戶:在創建賬戶時禁用iCloud備份以確保錢包安全。

SeaFlower

一個安全研究小組發現,有一個組織SeaFlower正在傳播合法數字貨幣錢包的惡意版本,會導致用戶的助記詞被通過后門竊取。這些修改過的錢包會按照預期運行,但允許攻擊者通過使用竊取的助記詞來獲取用戶的數字貨幣。

SeaFlower向盡可能多的用戶傳播數字貨幣錢包應用程序的木馬版本是通過包括創建山寨網站和攻擊搜索引擎優化等各類方式實現的,或是通過社交媒體渠道、論壇和通過惡意廣告推廣這些應用程序,但其主要傳播渠道是通過搜索服務。

研究人員發現,百度引擎的搜索結果尤其會受到SeaFlower的影響,將大量流量引向惡意網站。

在iOS設備上,攻擊者可以通過濫用配置文件繞過安全保護以對惡意應用進行side-load——這些配置文件可將開發人員和設備鏈接到授權的開發團隊,并允許設備用于測試應用程序代碼,因此攻擊者可以利用它們向設備添加惡意應用程序。

數字貨幣錢包應用的常見安全問題

錢包敏感信息被上傳到服務器,或在服務器端生成錢包

最關鍵的風險之一是將錢包敏感信息上傳到服務器或在服務器端生成錢包。對于非托管錢包,錢包敏感信息應存儲于用戶的設備中——即使它們是以加密的形式存在,這種高度敏感的數據仍可能會在傳輸過程中被截獲,或者被泄露給能夠訪問服務器的數據庫或日志的人。

不安全的存儲

當敏感信息以純文本或在設備上的不安全位置存儲時,就會出現安全風險。

這種情況包括Android上的外部存儲或iOS上的“UserDefaults”。

當使用不安全的密鑰派生函數來生成加密密鑰時,或者當使用不安全的加密算法來保護數據時,也可能發生這種情況。

缺少對操作和運行環境的安全檢查

除了安全地存儲數據外,錢包應用程序還應該確保其運行的安全和底層運行環境的安全。這一類的一些常見問題包括缺乏root和越獄檢測,無法阻止用戶對錢包敏感信息進行截圖、應用程序在后臺運行時未能隱藏敏感信息,以及允許在敏感輸入字段使用自定義鍵盤。

擴展錢包中缺乏對惡意網站的防范

大多數DApp都是Web應用程序,使用瀏覽器擴展錢包是最常見的交互方式。

然而,擴展錢包的一個共同問題是缺乏對惡意網站的防范。例如,一個不安全的錢包可能允許惡意網站獲取用戶的錢包賬戶信息,或在用戶同意將其錢包連接到該網站之前接受交易簽名請求;當從惡意網站接收惡意數據時,錢包可能會出現故障。

對錢包用戶的建議

采取預防措施以保護你的數字資產并確保錢包使用安全非常重要。數字貨幣領域充滿了黑客及欺詐者帶來的風險。

下文是一份用戶可以參考或遵循的建議清單,以減少被黑客攻擊的可能性。

①?選擇符合安全標準的錢包。一些錢包可能存在漏洞,容易受到黑客攻擊或其他安全漏洞的影響。請只使用經過安全公司安全測試、徹底檢查潛在的漏洞且認為符合安全標準的錢包。

②從官方的iOS商店和GooglePlay商店下載應用程序有助于確保你獲取該應用程序的合法版本。

③?保持設備更新十分重要,因為軟件更新通常包括對已發現的漏洞的安全修復。④使用專門的手機或個人電腦來安裝錢包應用程序,請勿使用日常工作的設備,這有助于降低被意外安裝的惡意應用程序破壞的風險。⑤如果你持有大量的數字貨幣,并希望確保其盡可能安全,可以考慮使用硬件錢包。

寫在最后

新Layer1和Layer2區塊鏈正在持續發展,鑒于許多現有的錢包與這些新的區塊鏈并不兼容,市場上將會推出更多的數字貨幣錢包。

盡可能地降低錢包的安全風險需要用戶和錢包開發者共同的努力:用戶需要遵循最佳實踐并保持警惕以防止被黑客入侵;開發團隊則需要編寫安全的代碼,并對其錢包應用進行安全審計。

Tags:數字貨幣SLOPE區塊鏈ANI我被數字貨幣平臺騙了SLOPE價格區塊鏈技術專業ANIME價格

TUSD
Animoca Brands本季度將為其Web3投資基金募資10億美元_ANI

1月5日消息,AnimocaBrandsCEOYatSiu在接受彭博社采訪時表示,AnimocaCapital希望在本季度為其Web3和元宇宙投資基金募資約10億美元,目前.

1900/1/1 0:00:00
展望 2023 年:穩定幣、DEX交易、以太坊和區塊鏈基礎設施_區塊鏈

在基礎設施層,我們預計2023年將成為以太坊擴展最重要的年份之一。最近的暴雷事件推動人們轉向“優質”L1項目,尤其是大多數客戶、流動性和基礎設施所依附的以太坊,明年我們將把重點放在現有項目的繼續.

1900/1/1 0:00:00
爭搶元宇宙:各地規劃元宇宙產業規模總計8500億_COIN

2023年新年伊始,各個城市在元宇宙上的角力與較量已悄然展開。在剛結束的各省市兩會中,多個代表和委員提出了元宇宙相關的提案和建議.

1900/1/1 0:00:00
GMX 會在牛市中崩盤嗎?_APR

“雖然GMX在當下的熊市里呼風喚雨,但它可能會在牛市中崩盤。”一個朋友最近又開始散播關于GMX的FUD.

1900/1/1 0:00:00
Gitcoin改版后首次捐贈活動啟動 一文告訴你該如何參與_COIN

原文:《Gitcoin新一輪捐贈來襲!全新Alpha測試輪,僅有159項目入圍,捐贈可獲取官方POAP,這份捐贈指南請收好》 作者:Shouyi Gitcoin是一個針對開源軟件的捐款平臺.

1900/1/1 0:00:00
2023年加密市場發展趨勢預測_比特幣

BTC及其他數字資產市場在整個2022年的表現可謂非常慘淡。2022年初,BTC價格約為46700美元,目前價格不到17000美元,近一年來跌幅高達60%以上.

1900/1/1 0:00:00
ads