慢雾：IOTA 重大被盗币事件的分析与安全建议

一些天前我们注意到 IOTA 暂停了主网，虽然早前我们也知道 IOTA 用户遭遇了盗币攻击，但没想到 IOTA 官方会通过暂停主网方式来进行这次盗币攻击的阻拦与调查，看来问题很严重。随后，2020/02/19，我们深入分析了官方披露在 status.iota.org 上的一些线索，开始独立调查这次严重安全事故的具体原因。

通过对 IOTA 官方钱包 Trinity 新版本发布的分析，我们在其 GitHub 上进行了版本比对，注意到了 MoonPay 这个第三方组件被移除，且我们注意到 Trinitiy 桌面钱包是基于 Electron 开发的，安全经验告诉我们，这可能是个大坑，于是，我们 2020/02/19 时发布了一些推测：

慢雾：IOTA 用户 Trinity 钱包被盗币攻击推测

IOTA 因为近期不少用户的 Trinity 钱包被盗币攻击，为了阻止攻击继续、调查与修复具体原因，主网协调器都暂停运行了。这是一个被低估的经典攻击，官方没披露具体攻击细节，但通过我们的分析，可以做出某些重要推测，首先可以明确的几个点：

慢雾：Gate官方Twitter账户被盗用，谨慎互动:10月22日消息，安全团队慢雾发文称：加密平台Gate官方Twitter账户被盗用，谨慎互动。半小时前，攻击者利用该账户发文，诱导用户进入虚假网站连接钱包。此外，慢雾科技创始人余弦在社交媒体上发文表示：注意下，Gate官方推特应该是被黑了，发送了钓鱼信息，这个网址 g?te[.]com 是假的（之前谈过的 Punycode 字符有关的钓鱼域名），如果你去Claim会出现eth_sign这种签名钓鱼，可能导致ETH等相关资产被盗。[2022/10/22 16:35:14]

不是 IOTA 区块链协议的问题，是 IOTA 的 Trinity 桌面钱包的问题（官方说的，且先相信）

这款桌面钱包基于 Electron(一个使用 JavaScript 为核心构建桌面应用的框架)，意味着核心代码是 JavaScript 写的

在做该做钱包新旧版本代码的 diff 分析时，发现去除了之前内置的一个交易所功能模块 MoonPay，这其中关键点是去掉了一段可怕的代码：

慢雾：Titano Finance被黑因池子被设置成恶意PrizeStrategy合约造成后续利用:据慢雾区情报消息，2月14日，BSC链上的Titano Finance项目遭受攻击，损失约190万美元，最初获利地址为0xad9217e427ed9df8a89e582601a8614fd4f74563，目前被黑资金已被攻击者转移到其他23个钱包。该攻击主要由于owner角色可以任意设置setPrizeStrategy函数，导致了池子被设置成恶意的PrizeStrategy合约造成后续利用。[2022/2/14 9:51:14]

const script = document.createElement('script');script.src = 'https://cdn.moonpay.io/moonpay-sdk.js';document.write(script.outerHTML);如果这个第三方 JavaScript 链接主动或被黑作恶，那该桌面版钱包就可以认为是完全沦陷了。到这，我们很有理由相信这是个很大的定时炸弹，如果这个定时炸弹是真的炸了，那很吻合官方的一些说辞与解释，如：尽快升级新版本的 Trinity 桌面钱包，尽快改密码，尽快转移资产到安全种子里等等。且看官方的后续披露。

慢雾：PAID Network攻击者直接调用mint函数铸币:慢雾科技发文对于PAID Network遭攻击事件进行分析。文章中指出，在对未开源合约进行在反编译后发现合约的 mint 函数是存在鉴权的，而这个地址，正是攻击者地址(0x187...65be)。由于合约未开源，无法查看更具体的逻辑，只能基于现有的情况分析。慢雾科技分析可能是地址(0x187...65be)私钥被盗，或者是其他原因，导致攻击者直接调用 mint 函数进行任意铸币。

此前报道，PAID Network今天0点左右遭到攻击，增发将近6000万枚PAID代币，按照当时的价格约为1.6亿美元，黑客从中获利2000ETH。[2021/3/6 18:21:08]

今天(2020/02/22)，我们注意到了官方披露了一些细节，基本验证了我们的推测。

https://blog.iota.org/trinity-attack-incident-part-1-summary-and-next-steps-8c7ccc4d81e8

慢雾：nanotron安全审计报告是伪造的:慢雾科技发推表示：团队并没有对于nanotron进行审计，项目的安全审计报告是伪造的，请注意防范风险。[2020/10/8]

重点关注下这段：

The attacker started on November 27th, 2019 with a DNS-interception Proof of Concept that used a Cloudflare API key to rewrite the api.moonpay.io endpoints, capturing all data going to api.moonpay.io for potential analysis or exfiltration. Another longer-running Proof of Concept was evaluated by the attacker one month later, on December 22nd, 2019. On January 25th, 2020, the active-kcwr attack on Trinity began, where the attacker started shipping illicit code via Moonpay’s DNS provider at Cloudflare.

动态 | 慢雾：10 月发生多起针对交易所的提币地址劫持替换攻击:据慢雾区块链威胁情报(BTI)系统监测及慢雾 AML 数据显示，过去的 10 月里发生了多起针对数字货币交易所的提币地址劫持替换攻击，手法包括但不限于：第三方 JS 恶意代码植入、第三方 NPM 模块污染、Docker 容器污染。慢雾安全团队建议数字货币交易所加强风控措施，例如：1. 密切注意第三方 JS 链接风险；2. 提币地址应为白名单地址，添加时设置双因素校验，用户提币时从白名单地址中选择，后台严格做好校验。此外，也要多加注意内部后台的权限控制，防止内部作案。[2019/11/1]

攻击者利用 MoonPay 的 Cloudflare API Key 完成了后续一系列劫持攻击，预估被盗的 IOTA 达 8.55 Ti(8550000 枚 MIOTA，MIOTA 现在是交易所默认最小交易单元，当前价格 0.267 美金/MIOTA)。根据我们历史经验，如果 Web 服务方使用了 Cloudflare，而其 Cloudflare 账号权限被控制，就可以做到非常完美的中间人劫持攻击，注入恶意 JavaScript。而 Trinity 桌面钱包又是基于 Electron，一个完美的 JavaScript 执行环境就摆在这，不需要任何特别的越权，JavaScript 可以完成用户或 Trinity 钱包可以完成的任何事情，其中就包括密码和种子的盗取等等。

由于我们不像 IOTA 和 MoonPay 官方，他们拥有足够的日志记录来将攻击过程完整掌握，我们只能通过我们所能接触到的完成以上推测与相关分析工作。剩下的就希望官方公布具体细节并尽快完成主网的重新运行。

在这，我们不得不提的一些安全看法及建议：

第三方是可以邪恶的，默认都不可信，软件安全开发过程一定要警惕第三方依赖，包括第三方组件与第三方 JavaScript 链接

注：IOTA 基金会联合创始人 Dominik Schiener 表示：“此次攻击是由于集成 MoonPay 的漏洞造成，「Trinity 钱包所犯的最大错误是没有集成 NPM 软件包，并且没有适当地对集成进行安全审核」”我们站在第三方独立安全审计的角度认为，这种说法是不严谨的，在加密货币发展的历史上，因为 NPM 包中引用的第三方源而导致的加密货币被盗案件不在少数。如知名的 "event-stream" 事件

Cloudflare 等第三方 CDN/WAF 服务很优秀很强大，但如果使用者没安全管理好自己的账号权限，其 Web 服务将会遭遇完美的中间人攻击

公链官方钱包的一个致命缺陷可能搞垮一条公链，链上安全关注的同时，链下安全也不能忽视，他们是一直整体，这也是为什么我们关注的是区块链生态安全，而不是仅仅区块链本身的链上安全

作为 IOTA 官方钱包 Trinity 的使用者来说，尽快按官方的指导完成安全加固工作，这个就不多说了

相关链接：

Trinity Attack Incident Part 1: Summary and next steps https://blog.iota.org/trinity-attack-incident-part-1-summary-and-next-steps-8c7ccc4d81e8

Trinity Attack Incident Part 2: Trinity Seed Migration Plan https://blog.iota.org/trinity-attack-incident-part-2-trinity-seed-migration-plan-4c52086699b6

Trinity Attack Incident Part 3: Key Learnings & Takeaways https://blog.iota.org/trinity-attack-incident-part-3-key-learnings-takeaways-c933de22fd0a

IOTA Status Page: https://status.iota.org/

如何看待 NPM 包 event-stream 被黑客篡改，发现包含恶意代码？https://www.zhihu.com/question/303815270

标签：IOTIOTARINTRIiott币最新交易行情iota币值得重仓吗EPRINT价格TRISE

波场热门资讯