慢雾：IOTA重大被盗币事件的分析与安全建议

一些天前我们注意到IOTA暂停了主网，虽然早前我们也知道IOTA用户遭遇了盗币攻击，但没想到IOTA官方会通过暂停主网方式来进行这次盗币攻击的阻拦与调查，看来问题很严重。随后，2020/02/19，我们深入分析了官方披露在status.iota.org上的一些线索，开始独立调查这次严重安全事故的具体原因。通过对IOTA官方钱包Trinity新版本发布的分析，我们在其GitHub上进行了版本比对，注意到了MoonPay这个第三方组件被移除，且我们注意到Trinitiy桌面钱包是基于Electron开发的，安全经验告诉我们，这可能是个大坑，于是，我们2020/02/19时发布了一些推测：慢雾：IOTA用户Trinity钱包被盗币攻击推测IOTA因为近期不少用户的Trinity钱包被盗币攻击，为了阻止攻击继续、调查与修复具体原因，主网协调器都暂停运行了。这是一个被低估的经典攻击，官方没披露具体攻击细节，但通过我们的分析，可以做出某些重要推测，首先可以明确的几个点：不是IOTA区块链协议的问题，是IOTA的Trinity桌面钱包的问题这款桌面钱包基于Electron(一个使用JavaScript为核心构建桌面应用的框架)，意味着核心代码是JavaScript写的在做该做钱包新旧版本代码的diff分析时，发现去除了之前内置的一个交易所功能模块MoonPay，这其中关键点是去掉了一段可怕的代码：

慢雾：苹果发布可导致任意代码执行的严重漏洞提醒，请及时更新:7月11日消息，慢雾首席信息安全官23pds发推称，近日苹果发布严重漏洞提醒，官方称漏洞CVE-2023-37450可以在用户访问恶意网页时导致在你的设备上任意代码执行，据信这个已经存在被利用的情况，任意代码危害严重，请及时更新。[2023/7/11 10:47:05]

如果这个第三方JavaScript链接主动或被黑作恶，那该桌面版钱包就可以认为是完全沦陷了。到这，我们很有理由相信这是个很大的定时炸弹，如果这个定时炸弹是真的炸了，那很吻合官方的一些说辞与解释，如：尽快升级新版本的Trinity桌面钱包，尽快改密码，尽快转移资产到安全种子里等等。且看官方的后续披露。今天(2020/02/22)，我们注意到了官方披露了一些细节，基本验证了我们的推测。https://blog.iota.org/重点关注下这段：TheattackerstartedonNovember27th,2019withaDNS-interceptionProofofConceptthatusedaCloudflareAPIkeytorewritetheapi.moonpay.ioendpoints,capturingalldatagoingtoapi.moonpay.ioforpotentialanalysisorexfiltration.Anotherlonger-runningProofofConceptwasevaluatedbytheattackeronemonthlater,onDecember22nd,2019.OnJanuary25th,2020,theactiveattackonTrinitybegan,wheretheattackerstartedshippingillicitcodeviaMoonpay’sDNSprovideratCloudflare.攻击者利用MoonPay的CloudflareAPIKey完成了后续一系列劫持攻击，预估被盗的IOTA达8.55Ti(8550000枚MIOTA，MIOTA现在是交易所默认最小交易单元，当前价格0.267美金/MIOTA)。根据我们历史经验，如果Web服务方使用了Cloudflare，而其Cloudflare账号权限被控制，就可以做到非常完美的中间人劫持攻击，注入恶意JavaScript。而Trinity桌面钱包又是基于Electron，一个完美的JavaScript执行环境就摆在这，不需要任何特别的越权，JavaScript可以完成用户或Trinity钱包可以完成的任何事情，其中就包括密码和种子的盗取等等。由于我们不像IOTA和MoonPay官方，他们拥有足够的日志记录来将攻击过程完整掌握，我们只能通过我们所能接触到的完成以上推测与相关分析工作。剩下的就希望官方公布具体细节并尽快完成主网的重新运行。在这，我们不得不提的一些安全看法及建议：第三方是可以邪恶的，默认都不可信，软件安全开发过程一定要警惕第三方依赖，包括第三方组件与第三方JavaScript链接注：IOTA基金会联合创始人DominikSchiener表示：「此次攻击是由于集成MoonPay的漏洞造成，Trinity钱包所犯的最大错误是没有集成NPM软件包，并且没有适当地对集成进行安全审核」。我们站在第三方独立安全审计的角度认为，这种说法是不严谨的，在加密货币发展的历史上，因为NPM包中引用的第三方源而导致的加密货币被盗案件不在少数。如知名的「event-stream」事件Cloudflare等第三方CDN/WAF服务很优秀很强大，但如果使用者没安全管理好自己的账号权限，其Web服务将会遭遇完美的中间人攻击公链官方钱包的一个致命缺陷可能搞垮一条公链，链上安全关注的同时，链下安全也不能忽视，他们是一直整体，这也是为什么我们关注的是区块链生态安全，而不是仅仅区块链本身的链上安全作为IOTA官方钱包Trinity的使用者来说，尽快按官方的指导完成安全加固工作，这个就不多说了相关链接：TrinityAttackIncidentPart1:SummaryandnextstepsTrinityAttackIncidentPart2:TrinitySeedMigrationPlanTrinityAttackIncidentPart3:KeyLearnings&TakeawaysIOTAStatusPage:如何看待NPM包event-stream被黑客篡改，发现包含恶意代码？

慢雾：NimbusPlatform遭遇闪电贷攻击，损失278枚BNB:据慢雾安全团队情报，2022 年 12 月 14 日， BSC 链上的NimbusPlatform项目遭到攻击，攻击者获利约278枚BNB。慢雾安全团队以简讯的形式分享如下：

1. 攻击者首先在 8 天前执行了一笔交易（0x7d2d8d），把 20 枚 BNB 换成 NBU_WBNB 再换成 GNIMB 代币，然后把 GNIMB 代币转入 Staking 合约作质押，为攻击作准备；

2. 在 8 天后正式发起攻击交易（0x42f56d3），首先通过闪电贷借出 75477 枚 BNB 并换成 NBU_WBNB，然后再用这些 NBU_WBNB 代币将池子里的绝大部分 NIMB 代币兑换出；

3. 接着调用 Staking 合约的 getReward 函数进行奖励的提取，奖励的计算是和 rate 的值正相关的，而 rate 的值则取决于池子中 NIMB 代币和 GNIMB 代币的价格，由于 NIMB 代币的价格是根据上一步闪电贷中被操控的池子中的代币数量来计算的，导致其由于闪电贷兑换出大量的代币而变高，最后计算的奖励也会更多；

4. 攻击者最后将最后获得的 GNIMB 代币和拥有的 NIMB 代币换成 NBU_WBNB 代币后再换成 BNB，归还闪电贷获利；

此次攻击的主要原因在于计算奖励的时候仅取决于池子中的代币数量导致被闪电贷操控，从而获取比预期更多的奖励。慢雾安全团队建议在进行代币奖计算时应确保价格来源的安全性。[2022/12/14 21:44:29]

慢雾：Gate官方Twitter账户被盗用，谨慎互动:10月22日消息，安全团队慢雾发文称：加密平台Gate官方Twitter账户被盗用，谨慎互动。半小时前，攻击者利用该账户发文，诱导用户进入虚假网站连接钱包。此外，慢雾科技创始人余弦在社交媒体上发文表示：注意下，Gate官方推特应该是被黑了，发送了钓鱼信息，这个网址 g?te[.]com 是假的（之前谈过的 Punycode 字符有关的钓鱼域名），如果你去Claim会出现eth_sign这种签名钓鱼，可能导致ETH等相关资产被盗。[2022/10/22 16:35:14]

声音 | 慢雾：ETDP钱包连续转移近2000 ETH到Bitstamp交易所，项目方疑似跑路:据慢雾科技反(AML)系统监测显示，自北京时间 12 月 16 日凌晨 2 点开始，ETDP 项目方钱包(地址 0xE1d9C35F…19Dc1C3)连续转移近 2000 ETH 到 Bitstamp 交易所，另有 3800 ETH 分散在 3 个新地址中，未发生进一步动作。慢雾安全团队在此提醒交易所、钱包注意加强地址监控，避免相关恶意资金流入平台。[2019/12/16]

标签：IOTIOTARINTRINiota币升值潜力iota币目前的最新消息boring币最新消息Electrinity

酷币热门资讯