近期,CertiK發布了《2022年Web3.0行業安全報告》,在報告中我們可以看到2022年對于整個數字資產行業來說是艱難的一年。
2022年惡意行為者從Web3.0協議中盜取了價值超過37億美元的資產,這個數字比2021年的13億美元損失增加了189%。
這些資產被盜的原因大部分是由于網絡釣魚攻擊中的私鑰泄露或智能合約中的漏洞,但也有相當數量的資金是被盜于數字貨幣錢包。
這些錢包事件既影響了個人用戶,如Fenbushi Capital的Bo Shen:4200萬美元的數字貨幣資產被盜;也影響了大批用戶群體,如Slope及Bitkeep錢包事件,影響了超過9000個用戶賬戶。
然而這些事件中的一部分原本是可以避免的——因為這些漏洞可以在錢包安全評估中被發現。
CertiK在過去幾年中已經保障了數百個錢包應用的安全。
在本文中,我們將重新審視2022年發生的與數字貨幣錢包相關的主要安全事件,并探討其技術細節。
此外,我們將對我們在為客戶的錢包應用程序進行研究和安全評估時發現的常見安全漏洞進行總結。文末我們將列出一些可供錢包用戶參考的安全建議,以降低被黑風險。
~2022年主要的加密貨幣錢包相關事件~
Slope錢包
陳茂波:虛擬資產需要有好的監管和規矩的運營:金色財經報道,香港財政司司長陳茂波在上海出席“從香港到世界:連接國家與世界的金融橋梁” 午餐會致辭中稱,香港會“大做”綠色金融、綠色科技,去年在綠色金融這一塊發行了大概800多億美元,債券發行量是全亞洲的三分之一,而且綠色債券也用代幣化來發,也是金融創新的一部分。另外一個新賽道是互聯網3.0,包括虛擬資產,這一塊在不同地方前陣子出了一些事情,香港總結經驗,原來出事的都是因為沒有好的監管,在運營上出現不規矩的運營,比方說把自己的錢跟客戶的錢混在一起,比方說自己是一個平臺,同時也做莊家,有利益沖突。香港從六月一日開始發牌,香港證監會(證券及期貨事務監察委員會)在實施有效的監管中讓負責人和持續發展。陳茂波還透露,在宣布發牌以后吸引了很多海內外有興趣來的企業,香港辦了兩、三個活動給業界交流,到來超過一萬人非常熱烈。[2023/7/8 22:25:54]
2022年最著名、影響最大的加密貨幣錢包安全事件源于Slope錢包對私鑰的不當處理。
Slope錢包是一個非托管的數字貨幣錢包,適用于iOS和Android、Chrome瀏覽器的擴展。
它支持多個區塊鏈,但主要活躍于Solana區塊鏈。
2022年8月2日晚,價值約410萬美元的資產在大約四個小時的時間里被從9231名用戶的錢包地址中盜取。
CZ:大型資產管理公司的比特幣ETF申請對去中心化沒有威脅:金色財經報道,Binance創始人CZ在社交媒體上表示,大型資產管理公司的比特幣ETF申請對去中心化沒有威脅。[2023/7/5 22:19:50]
在事件發生的前幾個小時,當根本原因不明時,用戶就已出現了恐慌,Solana區塊鏈被黑的謠言也開始不脛而走。
在攻擊發生的幾小時后,一名推特用戶發布了一張截圖,顯示了來自Slope移動錢包的HTTP流量(其中包含了該用戶的助記詞)。CertiK發現在導入錢包賬戶時,用戶的助記詞將被發送到Slope的Sentry日志服務器,任何有權訪問日志的人都可以接管該賬戶并從該地址轉移所有資產。
該攻擊事件發生兩周后,Slope錢包發布了“取證和事件響應報告”。
從報告中我們可以得知,2022年7月28日起,用戶私鑰就已經會被記錄于數據庫中,然而這一漏洞風險在經過安全審計或是內部審查后其實非常容易被發現。
發布報告后至今,Slope錢包團隊未于社交媒體上再發表任何回應。
Profanity
Profanity是一個基于GPU的Vanity地址(靚號地址)生成工具,允許用戶生成自己喜歡的Vanity自定義外部賬戶(EOA)和智能合約地址。
Revolut在美國市場下架ADA、MATIC和SOL:金色財經報道,在6月28日發送給美國用戶的電子郵件中,英國金融科技公司Revolut宣布將終止對三種主要加密貨幣的支持。該公司表示,美國用戶將無法通過其應用程序購買Cardano?(ADA)、Polygon?(MATIC) 和Solana (SOL),立即生效。
在稍后的未指定日期,用戶將無法再持有或出售這些加密貨幣。該日期之后,Revolut將自動出售代幣并將等值現金存入每個用戶的Revolut賬戶。[2023/6/30 22:09:39]
Profanity使用一個隨機的種子數來將其擴展為初始私鑰,并通過GPU根據初始私鑰計算數百萬個帳戶,以此暴力創建滿足用戶要求的地址。
從技術上講,Profity并不是一個錢包應用程序,但它確實有一個與幾乎所有數字貨幣錢包通用的功能:生成錢包賬戶。
這就是由風險賬戶導致了惡劣后果的完美案例。
2022年9月15日,1Inch團隊發表了一篇文章《以太坊vanity地址工具Profanity中披露的一個漏洞》,講述Profanity工具使用不安全的種子,該工具生成賬戶的私鑰可以被輕易破解。此后該漏洞首次引起了人們的注意。
五天后,即9月20日,最大數字資產做市商之一的Wintermute的一個錢包賬戶被黑,攻擊者利用該賬戶從一個智能合約中提取了約1.625億美元。
Moonfire Ventures旗下Fund II完成1.15億美元募資,將投資AI、Web3等領域:5月24日消息,總部位于倫敦的風險投資公司 Moonfire Ventures 宣布旗下 Fund II 已完成 1.15 億美元募資,該基金將投資人工智能、Web3 和 AR/VR 等行業。Moonfire Ventures 此前已投資多家 Web3 初創公司,包括 NFT 足球游戲開發公司 Goals、Web3 營銷平臺 Sesame Labs、區塊鏈足球游戲 GOALS 等。[2023/5/24 15:22:52]
10月11日,Qanx Bridge的部署者賬戶被黑,攻擊者利用該賬戶從Bridge上提取$Qanx并出售。多個攻擊者同時也在區塊鏈上積極尋找有漏洞的賬戶并竊取資金。
這類問題的根本原因在于,種子總數也許只有2^32(40億)。不安全的種子和可逆的暴力過程使恢復使用該工具生成賬戶的私鑰成為可能。CertiK成功開發了一個概念驗證程序,并能夠恢復Wintermute和Qanx部署者賬戶的私鑰。
這樣的事件并非獨例。
2013年,Android系統的隨機數生成器中,一個類似的漏洞被發現,影響了比特幣錢包的創建。
密碼學是一個復雜的領域,因此很容易犯下損害安全的錯誤。一條金科玉律就是“don't roll your own crypto”(不要從頭開始建立一個加密函數。因為新的函數沒有經過足夠長時間的檢驗,它可能會存在諸多漏洞)。
Bitfinex發布公告介紹Shapella升級后解除質押的ETH和提取質押獎勵的流程:4月27日消息,在以太坊Shapella升級完成之后,Bitfinex客戶現在可以首次解除質押和提取此前質押的ETH,并解鎖其ETH質押獎勵。如果想要解除質押ETH2或解鎖ETH2Rewards,Bitfinex客戶首先需要使用平臺錢包頁面上的貨幣轉換工具將其ETH2或ETH2Rewards轉換為ETH2Unstaking。Bitfinex客戶需要輸入自己希望取消質押的ETH2或ETH2Rewards數量,然后在“From”下拉菜單中選擇“ETH2-ETH2X”或“ETH2Rewards-ETH2R”,在“to”下拉菜單中選擇“ETH2Unstaking-ETH2U”。完成轉換后,其余額將不可逆地轉換為“ETH2Unstaking”,并且根據鏈上已質押資金的解除綁定過程的結果,ETH2Unstaking余額將轉換為ETH,然后可以進行交易、提現等。[2023/4/27 14:30:14]
幸運的是,大多數數字貨幣錢包在處理創建錢包賬戶時,都會使用如 "bip39"這樣的既定的庫。
MetaMask的iCloud備份
4月17日,被3000多萬人用來存儲和管理數字資產的主流加數字幣錢包MetaMask警告其iOS用戶,在Apple iCloud中存儲錢包秘密存在潛在風險。
如助記詞這樣的錢包敏感信息在上傳到iCloud時是加密的,但如果其所有者的Apple賬戶被泄露,且使用了低強度的密碼,那他們的數字資產很可能會面臨風險。
這一警告是由一次代價高昂的釣魚攻擊換來的。
在這次攻擊中,推特賬號為@revive_dom的用戶Domenic Iacovone損失了大量的數字貨幣和非同質化token,總計價值約65萬美金。
騙子假裝是Apple公司的支持人員,借此獲得了Iacovone的iCloud賬戶的訪問權,并使用存儲的MetaMask憑證耗盡了他的錢包,讓他成為了這場社會工程攻擊的受害者。錢包應將包含助記詞的保管庫存儲于不會被iCloud備份的位置,如果這一點無法實現,應用程序也應警告用戶:在創建賬戶時禁用iCloud備份以確保錢包安全。
SeaFlower
一個安全研究小組發現,有一個組織SeaFlower正在傳播合法數字貨幣錢包的惡意版本(包括Coinbase Wallet、MetaMask、TokenPocket和imToken),會導致用戶的助記詞被通過后門竊取。這些修改過的錢包會按照預期運行,但允許攻擊者通過使用竊取的助記詞來獲取用戶的數字貨幣。
SeaFlower向盡可能多的用戶傳播數字貨幣錢包應用程序的木馬版本是通過包括創建山寨網站和攻擊搜索引擎優化(SEO)等各類方式實現的,或是通過社交媒體渠道、論壇和通過惡意廣告推廣這些應用程序,但其主要傳播渠道是通過搜索服務。
研究人員發現,百度引擎的搜索結果尤其會受到SeaFlower的影響,將大量流量引向惡意網站。
在iOS設備上,攻擊者可以通過濫用配置文件繞過安全保護以對惡意應用進行side-load——這些配置文件可將開發人員和設備鏈接到授權的開發團隊,并允許設備用于測試應用程序代碼,因此攻擊者可以利用它們向設備添加惡意應用程序。
數字貨幣錢包應用的常見安全問題
錢包敏感信息被上傳到服務器,或在服務器端生成錢包
最關鍵的風險之一是將錢包敏感信息上傳到服務器或在服務器端生成錢包。對于非托管錢包,錢包敏感信息應存儲于用戶的設備中——即使它們是以加密的形式存在,這種高度敏感的數據仍可能會在傳輸過程中被截獲,或者被泄露給能夠訪問服務器的數據庫或日志的人。
不安全的存儲
當敏感信息(如錢包密碼和其它機密)以純文本或在設備上的不安全位置存儲時,就會出現安全風險。
這種情況包括Android上的外部存儲或iOS上的“UserDefaults”。
當使用不安全的密鑰派生函數來生成加密密鑰時,或者當使用不安全的加密算法來保護數據時,也可能發生這種情況。
缺少對操作和運行環境的安全檢查
除了安全地存儲數據外,錢包應用程序還應該確保其運行的安全和底層運行環境的安全。這一類的一些常見問題包括缺乏root和越獄檢測,無法阻止用戶對錢包敏感信息進行截圖、應用程序在后臺運行時未能隱藏敏感信息,以及允許在敏感輸入字段使用自定義鍵盤。
擴展錢包中缺乏對惡意網站的防范
大多數DApp都是Web應用程序,使用瀏覽器擴展錢包是最常見的交互方式。
然而,擴展錢包的一個共同問題是缺乏對惡意網站的防范。例如,一個不安全的錢包可能允許惡意網站獲取用戶的錢包賬戶信息,或在用戶同意將其錢包連接到該網站之前接受交易簽名請求;當從惡意網站接收惡意數據時,錢包可能會出現故障。
對錢包用戶的建議
采取預防措施以保護你的數字資產并確保錢包使用安全非常重要。數字貨幣領域充滿了黑客及欺詐者帶來的風險。
下文是一份用戶可以參考或遵循的建議清單,以減少被黑客攻擊的可能性。
① 選擇符合安全標準的錢包。一些錢包可能存在漏洞,容易受到黑客攻擊或其他安全漏洞的影響。請只使用經過安全公司安全測試、徹底檢查潛在的漏洞且認為符合安全標準的錢包。
② 從官方的iOS商店和Google Play商店下載應用程序有助于確保你獲取該應用程序的合法版本。
③ 保持設備更新十分重要,因為軟件更新通常包括對已發現的漏洞的安全修復。④ 使用專門的手機或個人電腦來安裝錢包應用程序,請勿使用日常工作的設備,這有助于降低被意外安裝的惡意應用程序破壞的風險。⑤ 如果你持有大量的數字貨幣,并希望確保其盡可能安全,可以考慮使用硬件錢包。
寫在最后
新Layer 1和Layer 2區塊鏈正在持續發展,鑒于許多現有的錢包與這些新的區塊鏈并不兼容,市場上將會推出更多的數字貨幣錢包。
盡可能地降低錢包的安全風險需要用戶和錢包開發者共同的努力:用戶需要遵循最佳實踐并保持警惕以防止被黑客入侵;開發團隊則需要編寫安全的代碼,并對其錢包應用進行安全審計。
CertiK中文社區
企業專欄
閱讀更多
金色財經
金色早8點
澎湃新聞
Odaily星球日報
Arcane Labs
深潮TechFlow
歐科云鏈
鏈得得
MarsBit
BTCStudy
圖片來源:由 Maze AI 工具生成我們常常看到很多 Crypto 與 Web3 產品在短時間內獲得了不錯的增長,但是用戶又很快地流失了.
1900/1/1 0:00:00作者:深鏈DeepChain 編譯:深姐 表達對比特幣的支持 佛羅里達州州長羅恩·德桑蒂斯宣布,他將角逐美國總統大選的共和黨提名.
1900/1/1 0:00:00盡管ATOM 2.0的提案以階段性失敗結束,但提案本身的意義就在于對現有問題的正視與革新,是Cosmos生態積極自我進化的信號.
1900/1/1 0:00:00復盤:405萬張主力賣出后價格迅速回落:AICoin PRO版K線主力成交數據顯示:BitMEX XBT永續合約從4月23日23:00至今在小時周期中做上漲中繼平臺.
1900/1/1 0:00:00過去24小時,比特幣回調走出 V 型走勢。周三早些時候,美國司法部和財政部宣布將對某國際加密實體采取聯合執法行動,市場恐慌情緒上升,交易員擔心監管機構是否會對 DCG 下手,比特幣應聲下跌近 1.
1900/1/1 0:00:00在“第三屆元宇宙教育前沿峰會”上,元宇宙教育實驗室學術委員會主任、著名經濟學家、橫琴數鏈數字金融研究院學術與技術委員會主席朱嘉明以《科技狂飆突進時代和教育元宇宙——基于2022年的實證性觀察和思.
1900/1/1 0:00:00