買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > ADA > Info

RIN:慢霧:IOTA 重大被盜幣事件的分析與安全建議_TRIBEX價格

Author:

Time:1900/1/1 0:00:00

一些天前我們注意到 IOTA 暫停了主網,雖然早前我們也知道 IOTA 用戶遭遇了盜幣攻擊,但沒想到 IOTA 官方會通過暫停主網方式來進行這次盜幣攻擊的阻攔與調查,看來問題很嚴重。隨后,2020/02/19,我們深入分析了官方披露在 status.iota.org 上的一些線索,開始獨立調查這次嚴重安全事故的具體原因。

通過對 IOTA 官方錢包 Trinity 新版本發布的分析,我們在其 GitHub 上進行了版本比對,注意到了 MoonPay 這個第三方組件被移除,且我們注意到 Trinitiy 桌面錢包是基于 Electron 開發的,安全經驗告訴我們,這可能是個大坑,于是,我們 2020/02/19 時發布了一些推測:

慢霧:IOTA 用戶 Trinity 錢包被盜幣攻擊推測

IOTA 因為近期不少用戶的 Trinity 錢包被盜幣攻擊,為了阻止攻擊繼續、調查與修復具體原因,主網協調器都暫停運行了。這是一個被低估的經典攻擊,官方沒披露具體攻擊細節,但通過我們的分析,可以做出某些重要推測,首先可以明確的幾個點:

慢霧:正協助Poly Network追查攻擊者,黑客已實現439萬美元主流資產變現:7月2日消息,慢霧首席信息安全官23pds在社交媒體發文表示,慢霧團隊正在與Poly Network官方一起努力追查攻擊者,并已找到一些線索。黑客目前已實現價值439萬美元的主流資產變現。[2023/7/2 22:13:24]

不是 IOTA 區塊鏈協議的問題,是 IOTA 的 Trinity 桌面錢包的問題(官方說的,且先相信)

這款桌面錢包基于 Electron(一個使用 JavaScript 為核心構建桌面應用的框架),意味著核心代碼是 JavaScript 寫的

在做該做錢包新舊版本代碼的 diff 分析時,發現去除了之前內置的一個交易所功能模塊 MoonPay,這其中關鍵點是去掉了一段可怕的代碼:

const script = document.createElement('script');script.src = 'https://cdn.moonpay.io/moonpay-sdk.js';document.write(script.outerHTML);如果這個第三方 JavaScript 鏈接主動或被黑作惡,那該桌面版錢包就可以認為是完全淪陷了。到這,我們很有理由相信這是個很大的定時炸彈,如果這個定時炸彈是真的炸了,那很吻合官方的一些說辭與解釋,如:盡快升級新版本的 Trinity 桌面錢包,盡快改密碼,盡快轉移資產到安全種子里等等。且看官方的后續披露。

慢霧:疑似Gemini相關地址在過去5小時內共轉出逾20萬枚ETH:金色財經消息,慢霧監測顯示,疑似加密交易所Gemini相關地址(0xea3ec2a08fee18ff4798c2d4725ded433d94151d)已在過去5小時內歸集并轉出逾20萬枚ETH(超3億美元)。[2022/7/19 2:22:08]

今天(2020/02/22),我們注意到了官方披露了一些細節,基本驗證了我們的推測。

https://blog.iota.org/trinity-attack-incident-part-1-summary-and-next-steps-8c7ccc4d81e8

重點關注下這段:

The attacker started on November 27th, 2019 with a DNS-interception Proof of Concept that used a Cloudflare API key to rewrite the api.moonpay.io endpoints, capturing all data going to api.moonpay.io for potential analysis or exfiltration. Another longer-running Proof of Concept was evaluated by the attacker one month later, on December 22nd, 2019. On January 25th, 2020, the active-pkcw attack on Trinity began, where the attacker started shipping illicit code via Moonpay’s DNS provider at Cloudflare.

慢霧:Ribbon Finance遭遇DNS攻擊,某用戶損失16.5 WBTC:6月24日消息,Ribbon Finance 發推表示遭遇 DNS 攻擊,慢霧MistTrack通過鏈上分析發現攻擊者與今天早前的Convex Finance 攻擊者是同一個,地址 0xb73261481064f717a63e6f295d917c28385af9aa 是攻擊者共用的用來調用惡意合約的錢包地址。同時分析發現,Ribbon Finance某用戶在攻擊中損失了 16.5 WBTC,具體交易為:https://etherscan.io/tx/0xd09057f1fdb3fa97d0ed7e8ebd8fd31dd9a0b5b61a29a22b46985d6217510850。[2022/6/24 1:29:35]

攻擊者利用 MoonPay 的 Cloudflare API Key 完成了后續一系列劫持攻擊,預估被盜的 IOTA 達 8.55 Ti(8550000 枚 MIOTA,MIOTA 現在是交易所默認最小交易單元,當前價格 0.267 美金/MIOTA)。根據我們歷史經驗,如果 Web 服務方使用了 Cloudflare,而其 Cloudflare 賬號權限被控制,就可以做到非常完美的中間人劫持攻擊,注入惡意 JavaScript。而 Trinity 桌面錢包又是基于 Electron,一個完美的 JavaScript 執行環境就擺在這,不需要任何特別的越權,JavaScript 可以完成用戶或 Trinity 錢包可以完成的任何事情,其中就包括密碼和種子的盜取等等。

慢霧:跨鏈互操作協議Poly Network遭受攻擊并非由于網傳的keeper私鑰泄漏:對于跨鏈互操作協議Poly Network遭受攻擊事件,慢霧安全團隊分析指出:本次攻擊主要在于EthCrossChainData合約的keeper可由EthCrossChainManager合約進行修改,而EthCrossChainManager合約的verifyHeaderAndExecuteTx函數又可以通過_executeCrossChainTx函數執行用戶傳入的數據。因此攻擊者通過此函數傳入精心構造的數據修改了EthCrossChainData合約的keeper為攻擊者指定的地址,并非網傳的是由于keeper私鑰泄漏導致這一事件的發生。[2021/8/11 1:47:48]

由于我們不像 IOTA 和 MoonPay 官方,他們擁有足夠的日志記錄來將攻擊過程完整掌握,我們只能通過我們所能接觸到的完成以上推測與相關分析工作。剩下的就希望官方公布具體細節并盡快完成主網的重新運行。

分析 | 慢霧:韓國交易所 Bithumb XRP 錢包也疑似被黑:Twitter 上有消息稱 XRP 地址(rLaHMvsPnPbiNQSjAgY8Tf8953jxQo4vnu)被盜 20,000,000 枚 XRP(價值 $6,000,000),通過慢霧安全團隊的進一步分析,疑似攻擊者地址(rBKRigtRR2N3dQH9cvWpJ44sTtkHiLcxz1)于 UTC 時間 03/29/2019?13:46 新建并激活,此后開始持續 50 分鐘的“盜幣”行為。此前慢霧安全團隊第一時間披露 Bithumb EOS 錢包(g4ydomrxhege)疑似被黑,損失 3,132,672 枚 EOS,且攻擊者在持續洗幣。更多細節會繼續披露。[2019/3/30]

在這,我們不得不提的一些安全看法及建議:

第三方是可以邪惡的,默認都不可信,軟件安全開發過程一定要警惕第三方依賴,包括第三方組件與第三方 JavaScript 鏈接

注:IOTA 基金會聯合創始人 Dominik Schiener 表示:“此次攻擊是由于集成 MoonPay 的漏洞造成,「Trinity 錢包所犯的最大錯誤是沒有集成 NPM 軟件包,并且沒有適當地對集成進行安全審核」”我們站在第三方獨立安全審計的角度認為,這種說法是不嚴謹的,在加密貨幣發展的歷史上,因為 NPM 包中引用的第三方源而導致的加密貨幣被盜案件不在少數。如知名的 "event-stream" 事件

Cloudflare 等第三方 CDN/WAF 服務很優秀很強大,但如果使用者沒安全管理好自己的賬號權限,其 Web 服務將會遭遇完美的中間人攻擊

公鏈官方錢包的一個致命缺陷可能搞垮一條公鏈,鏈上安全關注的同時,鏈下安全也不能忽視,他們是一直整體,這也是為什么我們關注的是區塊鏈生態安全,而不是僅僅區塊鏈本身的鏈上安全

作為 IOTA 官方錢包 Trinity 的使用者來說,盡快按官方的指導完成安全加固工作,這個就不多說了

相關鏈接:

Trinity Attack Incident Part 1: Summary and next steps https://blog.iota.org/trinity-attack-incident-part-1-summary-and-next-steps-8c7ccc4d81e8

Trinity Attack Incident Part 2: Trinity Seed Migration Plan https://blog.iota.org/trinity-attack-incident-part-2-trinity-seed-migration-plan-4c52086699b6

Trinity Attack Incident Part 3: Key Learnings & Takeaways https://blog.iota.org/trinity-attack-incident-part-3-key-learnings-takeaways-c933de22fd0a

IOTA Status Page: https://status.iota.org/

如何看待 NPM 包 event-stream 被黑客篡改,發現包含惡意代碼?https://www.zhihu.com/question/303815270

Tags:IOTAIOTRINTRIiota幣怎么買IOTX價格Marinade staked SOLTRIBEX價格

ADA
XBI:XBIT:疫情之下當敬畏風險共克時艱 區塊鏈行業未來可期_Contractium

今年春節,全國上下人民的心都被疫情困擾。新型冠狀病疫情來勢洶洶,湖北省受影響程度尤為嚴重。疫情不僅威脅了人民的生命健康安全,也對經濟平穩發展造成創傷,區塊鏈產業同樣無法獨善其身.

1900/1/1 0:00:00
SDT:金色趨勢丨現階段對于BTC是機會還是風險?_Usdex

上方為BTC價格走勢,下方為USDT穩定幣市值占比走勢,研究可以發現,USDT市值占比一旦升至高位,接近上方壓制線,那么往往意味著BTC處于相對底部區域,后面大概率將會迎來一波上漲趨勢.

1900/1/1 0:00:00
NLP:首個省級區塊鏈產業園落戶婁底_NLP幣

湖南日報·新湖南客戶端2月28日訊(記者 曹嫻 通訊員 蘇小鵬 陶韜)27日,省工業和信息化廳批復同意依托婁底萬寶新區,設立湖南省區塊鏈產業園(婁底萬寶)。這是我省設立的首個省級區塊鏈產業園.

1900/1/1 0:00:00
HUS:金色說明書 | 詳解如何在Mdex上提供Basis Gold 流動性LP挖礦教程_husdc幣

DeFi流動性挖礦火爆一時,吸引了大量投資者參與。為了方便投資者及時了解DeFi挖礦項目的相關信息和挖礦流程,金色財經推出了“金色說明書”系列挖礦教程.

1900/1/1 0:00:00
TOK:金色深度丨耐克來了 區塊鏈球鞋“CrpytoKicks”了解下_TOKI

金色財經 區塊鏈12月11日訊 耐克也許真的要進軍區塊鏈行業了,根據美國專利商標局最新披露的專利信息顯示,耐克公司獲得了一項名為“CrpytoKicks”的運動鞋區塊鏈專利.

1900/1/1 0:00:00
LIO:專訪 | TREELION葉廣濤:用區塊鏈打造萬億級綠色數字經濟商業生態模式_區塊鏈

通過支付寶“螞蟻森林”種下的那棵樹,你真的了解它嗎?是誰幫你把線上的樹種進了沙漠?這棵樹跟區塊鏈又有怎樣的關系?帶著這些疑問,TREELION基金理事會秘書長葉廣濤接受了金色財經專訪.

1900/1/1 0:00:00
ads