RIN:慢霧：IOTA重大被盜幣事件的分析與安全建議_IOT

一些天前我們注意到IOTA暫停了主網，雖然早前我們也知道IOTA用戶遭遇了盜幣攻擊，但沒想到IOTA官方會通過暫停主網方式來進行這次盜幣攻擊的阻攔與調查，看來問題很嚴重。隨后，2020/02/19，我們深入分析了官方披露在status.iota.org上的一些線索，開始獨立調查這次嚴重安全事故的具體原因。通過對IOTA官方錢包Trinity新版本發布的分析，我們在其GitHub上進行了版本比對，注意到了MoonPay這個第三方組件被移除，且我們注意到Trinitiy桌面錢包是基于Electron開發的，安全經驗告訴我們，這可能是個大坑，于是，我們2020/02/19時發布了一些推測：慢霧：IOTA用戶Trinity錢包被盜幣攻擊推測IOTA因為近期不少用戶的Trinity錢包被盜幣攻擊，為了阻止攻擊繼續、調查與修復具體原因，主網協調器都暫停運行了。這是一個被低估的經典攻擊，官方沒披露具體攻擊細節，但通過我們的分析，可以做出某些重要推測，首先可以明確的幾個點：不是IOTA區塊鏈協議的問題，是IOTA的Trinity桌面錢包的問題這款桌面錢包基于Electron(一個使用JavaScript為核心構建桌面應用的框架)，意味著核心代碼是JavaScript寫的在做該做錢包新舊版本代碼的diff分析時，發現去除了之前內置的一個交易所功能模塊MoonPay，這其中關鍵點是去掉了一段可怕的代碼：

慢霧：7月3日至7月7日期間?Web3生態因安全問題損失近1.3億美元:7月10日消息，慢霧發推稱，自7月3日至7月7日，Web3生態因安全問題遭遇攻擊損失128,419,000美元，包括Encryption AI、AzukiDao、NFT Trader、MIKE&SID、Bryan Pellegrino、Aptos Foundation、Multichain、CivFund。其中，Multichain被攻擊損失1.26億美元。[2023/7/10 10:12:36]

如果這個第三方JavaScript鏈接主動或被黑作惡，那該桌面版錢包就可以認為是完全淪陷了。到這，我們很有理由相信這是個很大的定時炸彈，如果這個定時炸彈是真的炸了，那很吻合官方的一些說辭與解釋，如：盡快升級新版本的Trinity桌面錢包，盡快改密碼，盡快轉移資產到安全種子里等等。且看官方的后續披露。今天(2020/02/22)，我們注意到了官方披露了一些細節，基本驗證了我們的推測。https://blog.iota.org/重點關注下這段：TheattackerstartedonNovember27th,2019withaDNS-interceptionProofofConceptthatusedaCloudflareAPIkeytorewritetheapi.moonpay.ioendpoints,capturingalldatagoingtoapi.moonpay.ioforpotentialanalysisorexfiltration.Anotherlonger-runningProofofConceptwasevaluatedbytheattackeronemonthlater,onDecember22nd,2019.OnJanuary25th,2020,theactiveattackonTrinitybegan,wheretheattackerstartedshippingillicitcodeviaMoonpay’sDNSprovideratCloudflare.攻擊者利用MoonPay的CloudflareAPIKey完成了后續一系列劫持攻擊，預估被盜的IOTA達8.55Ti(8550000枚MIOTA，MIOTA現在是交易所默認最小交易單元，當前價格0.267美金/MIOTA)。根據我們歷史經驗，如果Web服務方使用了Cloudflare，而其Cloudflare賬號權限被控制，就可以做到非常完美的中間人劫持攻擊，注入惡意JavaScript。而Trinity桌面錢包又是基于Electron，一個完美的JavaScript執行環境就擺在這，不需要任何特別的越權，JavaScript可以完成用戶或Trinity錢包可以完成的任何事情，其中就包括密碼和種子的盜取等等。由于我們不像IOTA和MoonPay官方，他們擁有足夠的日志記錄來將攻擊過程完整掌握，我們只能通過我們所能接觸到的完成以上推測與相關分析工作。剩下的就希望官方公布具體細節并盡快完成主網的重新運行。在這，我們不得不提的一些安全看法及建議：第三方是可以邪惡的，默認都不可信，軟件安全開發過程一定要警惕第三方依賴，包括第三方組件與第三方JavaScript鏈接注：IOTA基金會聯合創始人DominikSchiener表示：「此次攻擊是由于集成MoonPay的漏洞造成，Trinity錢包所犯的最大錯誤是沒有集成NPM軟件包，并且沒有適當地對集成進行安全審核」。我們站在第三方獨立安全審計的角度認為，這種說法是不嚴謹的，在加密貨幣發展的歷史上，因為NPM包中引用的第三方源而導致的加密貨幣被盜案件不在少數。如知名的「event-stream」事件Cloudflare等第三方CDN/WAF服務很優秀很強大，但如果使用者沒安全管理好自己的賬號權限，其Web服務將會遭遇完美的中間人攻擊公鏈官方錢包的一個致命缺陷可能搞垮一條公鏈，鏈上安全關注的同時，鏈下安全也不能忽視，他們是一直整體，這也是為什么我們關注的是區塊鏈生態安全，而不是僅僅區塊鏈本身的鏈上安全作為IOTA官方錢包Trinity的使用者來說，盡快按官方的指導完成安全加固工作，這個就不多說了相關鏈接：TrinityAttackIncidentPart1:SummaryandnextstepsTrinityAttackIncidentPart2:TrinitySeedMigrationPlanTrinityAttackIncidentPart3:KeyLearnings&TakeawaysIOTAStatusPage:如何看待NPM包event-stream被黑客篡改，發現包含惡意代碼？

慢霧：共享Apple ID導致資產被盜核心問題是應用沒有和設備碼綁定:5月19日消息，慢霧首席信息安全官23pds發推表示，針對共享Apple ID導致資產被盜現象，核心問題是應用沒有和設備碼綁定，目前99%的錢包、交易App等都都存在此類問題，沒有綁定就導致數據被拖走或被惡意同步到其他設備導致被運行，攻擊者在配合其他手法如社工、爆破等獲取的密碼，導致資產被盜。23pds提醒用戶不要使用共享Apple ID等，同時小心相冊截圖被上傳出現資產損失。[2023/5/19 15:13:08]

慢霧：近期出現假冒UniSat的釣魚網站，請勿交互:5月13日消息，慢霧首席信息安全官 @IM_23pds 在社交媒體上發文表示，近期有假冒比特幣銘文錢包及交易市場平臺 UniSat 的釣魚網站出現，經慢霧分析，假網站有明顯的傳統針對 ETH、NFT 釣魚團伙的作案特征，或因近期 BRC-20 領域火熱故轉而制作有關該領域的釣魚網站，請用戶注意風險，謹慎辨別。[2023/5/13 15:01:11]

聲音 | 慢霧：EOS假充值紅色預警后續:慢霧安全團隊今早發布了 EOS 假充值紅色預警后，聯合 EOSPark 的大數據分析系統持續跟蹤和分析發現：從昨日開始，存在十幾個帳號利用這類攻擊技巧對數字貨幣交易所、錢包等平臺進行持續性攻擊，并有被真實攻擊情況。慢霧安全團隊在此建議各大交易所、錢包、DApp 做好相關防御措施，嚴格校驗發送給自己的轉賬交易在不可逆的狀態下確認交易的執行狀態是否為 executed。除此之外，確保以下幾點防止其他類型的“假充值”攻擊： 1. 判斷 action 是否為 transfer 2. 判斷合約賬號是否為 eosio.token 或其它 token 的官方合約 3. 判斷代幣名稱及精度 4. 判斷金額 5. 判斷 to 是否是自己平臺的充幣賬號。[2019/3/12]

Tags：IOTAIOTRINTRINiota幣目前的最新消息IOT價格boring幣值得投資嗎Neutrino USD

火必