近期,CertiK?发布了《2022?年Web3.0??行业安全报告》,在报告中我们可以看到?2022?年对于整个数字资产行业来说是艰难的一年。
2022?年恶意行为者从Web3.0?协议中盗取了价值超过?37?亿美元的资产,这个数字比?2021?年的?13?亿美元损失增加了?189%?。
这些资产被盗的原因大部分是由于网络钓鱼攻击中的私钥泄露或智能合约中的漏洞,但也有相当数量的资金是被盗于数字货币钱包。
这些钱包事件既影响了个人用户,如?FenbushiCapital?的?BoShen:?4200?万美元的数字货币资产被盗;也影响了大批用户群体,如?Slope?及?Bitkeep?钱包事件,影响了超过?9000?个用户账户。
然而这些事件中的一部分原本是可以避免的——因为这些漏洞可以在钱包安全评估中被发现。
CertiK?在过去几年中已经保障了数百个钱包应用的安全。
在本文中,我们将重新审视?2022?年发生的与数字货币钱包相关的主要安全事件,并探讨其技术细节。
此外,我们将对我们在为客户的钱包应用程序进行研究和安全评估时发现的常见安全漏洞进行总结。文末我们将列出一些可供钱包用户参考的安全建议,以降低被黑风险。
Azuki Green Beans仅OG可获得,将与动画发布同步使用:6月30日消息,据推特用户CirrusNFT在社交平台发文总结Azuki社区会议内容,Azuki团队表示Azuki动画系列正在制作中,而Azuki Green Beans将与动画发布同步使用,仅OG Azuki可获得。
此前报道,6月28日,据官方公告,Azuki将推出总量为1万枚的新NFT系列GreenBean。[2023/6/30 22:10:01]
Slope?钱包
2022?年最著名、影响最大的加密货币钱包安全事件源于Slope?钱包对私钥的不当处理。
Slope?钱包是一个非托管的数字货币钱包,适用于?iOS?和?Android、Chrome?浏览器的扩展。
它支持多个区块链,但主要活跃于?Solana?区块链。
2022?年?8?月?2?日晚,价值约?410?万美元的资产在大约四个小时的时间里被从?9231?名用户的钱包地址中盗取。
在事件发生的前几个小时,当根本原因不明时,用户就已出现了恐慌,Solana?区块链被黑的谣言也开始不胫而走。
在攻击发生的几小时后,一名推特用户发布了一张截图,显示了来自?Slope?移动钱包的?HTTP?流量。CertiK?发现在导入钱包账户时,用户的助记词将被发送到?Slope?的?Sentry?日志服务器,任何有权访问日志的人都可以接管该账户并从该地址转移所有资产。
以太坊L2网络总锁仓量为81.1亿美元:金色财经报道,L2BEAT数据显示,截至5月23日,以太坊Layer2上总锁仓量为81.1亿美元。其中锁仓量最高的为扩容方案Arbitrum,约57.8亿美元,占比65.59%;其次是Optimism,锁仓量为17.6亿美元,占比20.08%;第三为dYdX,锁仓量为3.4亿美元,占比3.86%。[2023/5/23 15:20:23]
该攻击事件发生两周后,Slope?钱包发布了“取证和事件响应报告”。
从报告中我们可以得知,?2022?年?7?月?28?日起,用户私钥就已经会被记录于数据库中,然而这一漏洞风险在经过安全审计或是内部审查后其实非常容易被发现。
发布报告后至今,Slope?钱包团队未于社交媒体上再发表任何回应。
Profanity
Profanity?是一个基于?GPU?的?Vanity?地址生成工具,允许用户生成自己喜欢的?Vanity?自定义外部账户和智能合约地址。
Profanity?使用一个随机的种子数来将其扩展为初始私钥,并通过?GPU?根据初始私钥计算数百万个帐户,以此暴力创建满足用户要求的地址。
从技术上讲,Profity?并不是一个钱包应用程序,但它确实有一个与几乎所有数字货币钱包通用的功能:生成钱包账户。
美SEC新提案拟变更合格托管人规则,或使对冲基金等更难与加密公司合作:金色财经报道,据知情人士透露,美国证券交易委员会(SEC)新提案拟变更合格托管人规则,使得对冲基金、私募股权公司和养老基金更难与许多加密公司合作。
目前对冲基金和一些私募股权公司和养老基金必须使用合格托管人来持有客户资产,如果最终确定,该规则可能意味着机构基金可能不得不将其客户资产转移到其他地方,还可能面临与其监护关系或其他后果有关的突击审计。(彭博社)[2023/2/14 12:05:40]
这就是由风险账户导致了恶劣后果的完美案例。
2022?年?9?月?15?日,1Inch团队发表了一篇文章《以太坊?vanity?地址工具?Profanity?中披露的一个漏洞》,讲述?Profanity?工具使用不安全的种子,该工具生成账户的私钥可以被轻易破解。此后该漏洞首次引起了人们的注意。
五天后,即?9?月?20?日,最大数字资产做市商之一的Wintermute的一个钱包账户被黑,攻击者利用该账户从一个智能合约中提取了约?1.625?亿美元。
10?月?11?日,Qanx?Bridge?的部署者账户被黑,攻击者利用该账户从?Bridge?上提取$Qanx?并出售。多个攻击者同时也在区块链上积极寻找有漏洞的账户并窃取资金。
前美国劳工部长指控MicroStrategy创始人涉嫌税务欺诈:金色财经报道,美国前劳工部长、已故最高法院大法官Antonin Scalia的儿子Eugene Scalia代表其指控MicroStrategy创始人Michael Saylor在华盛顿特区逃税2500万美元。华盛顿特区总检察长Karl Racine于8月31日对Saylor及其公司提起诉讼。该法律行动是根据特区2021年1月通过的《虚假索赔法》。MicroStrategy也是该案的被告,因为Racine指控该公司共谋帮助Saylor逃税。MicroStrategy公司在一份声明中表示,哥伦比亚特区对该公司的指控是\"错误的\",并补充说该案是Saylor的个人税务问题。(blockworks)[2022/10/11 10:30:56]
这类问题的根本原因在于,种子总数也许只有?2?^?32?。不安全的种子和可逆的暴力过程使恢复使用该工具生成账户的私钥成为可能。CertiK?成功开发了一个概念验证程序,并能够恢复?Wintermute?和?Qanx?部署者账户的私钥。
这样的事件并非独例。
2013?年,Android?系统的随机数生成器中,一个类似的漏洞被发现,影响了比特币钱包的创建。
数据:以太坊NFT 8月份交易量跌破100万笔:金色财经报道,由于对其生态系统中的数字收藏品项目的兴趣减少,以太坊NFT总交易量在8月份跌至新低。以太坊NFT总交易量触及五个月低点,8月份的NFT总交易量约为998,000笔。其他知名项目,如来自Otherside Metaverse的买家也从5月的20,514人降至8月的1,934人,创下三个月低点,这也对应于总交易量3,778笔,再创三个月低点。(beincrypto)[2022/9/9 13:19:18]
密码学是一个复杂的领域,因此很容易犯下损害安全的错误。一条金科玉律就是“don'trollyourowncrypto”。
幸运的是,大多数数字货币钱包在处理创建钱包账户时,都会使用如"bip?39"这样的既定的库。
MetaMask?的?iCloud?备份
4?月?17?日,被?3000?多万人用来存储和管理数字资产的主流加数字币钱包?MetaMask?警告其?iOS?用户,在?AppleiCloud?中存储钱包秘密存在潜在风险。
如助记词这样的钱包敏感信息在上传到?iCloud?时是加密的,但如果其所有者的?Apple?账户被泄露,且使用了低强度的密码,那他们的数字资产很可能会面临风险。
这一警告是由一次代价高昂的钓鱼攻击换来的。
在这次攻击中,推特账号为@revive_dom?的用户?DomenicIacovone?损失了大量的数字货币和非同质化?token,总计价值约?65?万美金。
子假装是?Apple?公司的支持人员,借此获得了?Iacovone?的?iCloud?账户的访问权,并使用存储的?MetaMask?凭证耗尽了他的钱包,让他成为了这场社会工程攻击的受害者。钱包应将包含助记词的保管库存储于不会被?iCloud?备份的位置,如果这一点无法实现,应用程序也应警告用户:在创建账户时禁用?iCloud?备份以确保钱包安全。
SeaFlower
一个安全研究小组发现,有一个组织?SeaFlower?正在传播合法数字货币钱包的恶意版本,会导致用户的助记词被通过后门窃取。这些修改过的钱包会按照预期运行,但允许攻击者通过使用窃取的助记词来获取用户的数字货币。
SeaFlower?向尽可能多的用户传播数字货币钱包应用程序的木马版本是通过包括创建山寨网站和攻击搜索引擎优化等各类方式实现的,或是通过社交媒体渠道、论坛和通过恶意广告推广这些应用程序,但其主要传播渠道是通过搜索服务。
研究人员发现,百度引擎的搜索结果尤其会受到?SeaFlower?的影响,将大量流量引向恶意网站。
在?iOS?设备上,攻击者可以通过滥用配置文件绕过安全保护以对恶意应用进行?side-load——这些配置文件可将开发人员和设备链接到授权的开发团队,并允许设备用于测试应用程序代码,因此攻击者可以利用它们向设备添加恶意应用程序。
数字货币钱包应用的常见安全问题
钱包敏感信息被上传到服务器,或在服务器端生成钱包
最关键的风险之一是将钱包敏感信息上传到服务器或在服务器端生成钱包。对于非托管钱包,钱包敏感信息应存储于用户的设备中——即使它们是以加密的形式存在,这种高度敏感的数据仍可能会在传输过程中被截获,或者被泄露给能够访问服务器的数据库或日志的人。
不安全的存储
当敏感信息以纯文本或在设备上的不安全位置存储时,就会出现安全风险。
这种情况包括?Android?上的外部存储或?iOS?上的“UserDefaults”。
当使用不安全的密钥派生函数来生成加密密钥时,或者当使用不安全的加密算法来保护数据时,也可能发生这种情况。
缺少对操作和运行环境的安全检查
除了安全地存储数据外,钱包应用程序还应该确保其运行的安全和底层运行环境的安全。这一类的一些常见问题包括缺乏?root?和越狱检测,无法阻止用户对钱包敏感信息进行截图、应用程序在后台运行时未能隐藏敏感信息,以及允许在敏感输入字段使用自定义键盘。
扩展钱包中缺乏对恶意网站的防范
大多数?DApp?都是?Web?应用程序,使用浏览器扩展钱包是最常见的交互方式。
然而,扩展钱包的一个共同问题是缺乏对恶意网站的防范。例如,一个不安全的钱包可能允许恶意网站获取用户的钱包账户信息,或在用户同意将其钱包连接到该网站之前接受交易签名请求;当从恶意网站接收恶意数据时,钱包可能会出现故障。
对钱包用户的建议
采取预防措施以保护你的数字资产并确保钱包使用安全非常重要。数字货币领域充满了黑客及欺诈者带来的风险。
下文是一份用户可以参考或遵循的建议清单,以减少被黑客攻击的可能性。
①?选择符合安全标准的钱包。一些钱包可能存在漏洞,容易受到黑客攻击或其他安全漏洞的影响。请只使用经过安全公司安全测试、彻底检查潜在的漏洞且认为符合安全标准的钱包。
②从官方的?iOS?商店和?GooglePlay?商店下载应用程序有助于确保你获取该应用程序的合法版本。
③?保持设备更新十分重要,因为软件更新通常包括对已发现的漏洞的安全修复。④使用专门的手机或个人电脑来安装钱包应用程序,请勿使用日常工作的设备,这有助于降低被意外安装的恶意应用程序破坏的风险。⑤如果你持有大量的数字货币,并希望确保其尽可能安全,可以考虑使用硬件钱包。
写在最后
新?Layer1??和?Layer2??区块链正在持续发展,鉴于许多现有的钱包与这些新的区块链并不兼容,市场上将会推出更多的数字货币钱包。
尽可能地降低钱包的安全风险需要用户和钱包开发者共同的努力:用户需要遵循最佳实践并保持警惕以防止被黑客入侵;开发团队则需要编写安全的代码,并对其钱包应用进行安全审计。
日前,“孙宇晨美术馆”重磅亮相。作为主讲人,波场?TRON?创始人孙宇晨在开箱视频中向大家介绍了多个顶级藏品。本期我们将聚焦瑞士国宝级超现实主义艺术家阿尔贝托·贾科梅蒂的作品——《鼻子》.
1900/1/1 0:00:00親愛的用戶:幣安槓桿將於2023年02月02日14:00移除NEXO、POLS、QUICK全倉槓桿可借資產.
1900/1/1 0:00:00比特币在过去几天表现出巨大的力量,因此价格已涨至21,000美元以上虽然空头正在慢慢恢复对价格的主导地位,但也出现了短期反弹的可能性,使多头陷入困境比特币价格似乎已经恢复了失去的势头,但尽管故事的另一面发生了链上断裂.
1900/1/1 0:00:00数据显示,比特币现货交易量随着涨势而大幅上升,表明这种势头可能是可持续的。比特币7日平均交易量呈快速上升趋势根据ArcaneResearch的最新每周报告,自去年11月加密货币交易所FTX倒闭以来,目前的交易量从未达到过高位.
1900/1/1 0:00:00Gate.io上架,其中包括BTC&USDTÐ等不同币种产品。作为保本理财产品,Gate.io旗下结构化产品为用户提供最高15%的年化收益.
1900/1/1 0:00:00原文作者:Jack,BlockBeatsGitcoin?新一轮捐赠指南:全新?Alpha?测试轮随着加密市场暂时回暖,Web3各赛道的融资与开发有再度活跃,许多行业参与者在2023年的这个春节,都忙碌了起来.
1900/1/1 0:00:00