IOT:慢霧：IOTA重大被盜幣事件的分析與安全建議_IOTF幣

一些天前我們注意到IOTA暫停了主網，雖然早前我們也知道IOTA用戶遭遇了盜幣攻擊，但沒想到IOTA官方會通過暫停主網方式來進行這次盜幣攻擊的阻攔與調查，看來問題很嚴重。隨后，2020/02/19，我們深入分析了官方披露在status.iota.org上的一些線索，開始獨立調查這次嚴重安全事故的具體原因。通過對IOTA官方錢包Trinity新版本發布的分析，我們在其GitHub上進行了版本比對，注意到了MoonPay這個第三方組件被移除，且我們注意到Trinitiy桌面錢包是基于Electron開發的，安全經驗告訴我們，這可能是個大坑，于是，我們2020/02/19時發布了一些推測：慢霧：IOTA用戶Trinity錢包被盜幣攻擊推測IOTA因為近期不少用戶的Trinity錢包被盜幣攻擊，為了阻止攻擊繼續、調查與修復具體原因，主網協調器都暫停運行了。這是一個被低估的經典攻擊，官方沒披露具體攻擊細節，但通過我們的分析，可以做出某些重要推測，首先可以明確的幾個點：不是IOTA區塊鏈協議的問題，是IOTA的Trinity桌面錢包的問題這款桌面錢包基于Electron(一個使用JavaScript為核心構建桌面應用的框架)，意味著核心代碼是JavaScript寫的在做該做錢包新舊版本代碼的diff分析時，發現去除了之前內置的一個交易所功能模塊MoonPay，這其中關鍵點是去掉了一段可怕的代碼：

慢霧：警惕針對 Blur NFT 市場的批量掛單簽名“零元購”釣魚風險:金色財經報道，近期，慢霧生態安全合作伙伴 Scam Sniffer 演示了一個針對 Blur NFT 市場批量掛單簽名的“零元購”釣魚攻擊測試，通過一個如圖這樣的“Root 簽名”即可以極低成本（特指“零元購”）釣走目標用戶在 Blur 平臺授權的所有 NFT，Blur 平臺的這個“Root 簽名”格式類似“盲簽”，用戶無法識別這種簽名的影響。慢霧安全團隊驗證了該攻擊的可行性及危害性。特此提醒 Blur 平臺的所有用戶警惕，當發現來非 Blur 官方域名(blur.io)的“Root 簽名”，一定要拒絕，避免潛在的資產損失。[2023/3/7 12:46:39]

慢霧：已凍結部分BitKeep黑客轉移資金:12月26日消息，慢霧安全團隊在社交媒體上發文表示，正在對 BitKeep 錢包進行深入調查，并已凍結部分黑客轉移資金。[2022/12/26 22:08:58]

如果這個第三方JavaScript鏈接主動或被黑作惡，那該桌面版錢包就可以認為是完全淪陷了。到這，我們很有理由相信這是個很大的定時炸彈，如果這個定時炸彈是真的炸了，那很吻合官方的一些說辭與解釋，如：盡快升級新版本的Trinity桌面錢包，盡快改密碼，盡快轉移資產到安全種子里等等。且看官方的后續披露。今天(2020/02/22)，我們注意到了官方披露了一些細節，基本驗證了我們的推測。https://blog.iota.org/重點關注下這段：TheattackerstartedonNovember27th,2019withaDNS-interceptionProofofConceptthatusedaCloudflareAPIkeytorewritetheapi.moonpay.ioendpoints,capturingalldatagoingtoapi.moonpay.ioforpotentialanalysisorexfiltration.Anotherlonger-runningProofofConceptwasevaluatedbytheattackeronemonthlater,onDecember22nd,2019.OnJanuary25th,2020,theactiveattackonTrinitybegan,wheretheattackerstartedshippingillicitcodeviaMoonpay’sDNSprovideratCloudflare.攻擊者利用MoonPay的CloudflareAPIKey完成了后續一系列劫持攻擊，預估被盜的IOTA達8.55Ti(8550000枚MIOTA，MIOTA現在是交易所默認最小交易單元，當前價格0.267美金/MIOTA)。根據我們歷史經驗，如果Web服務方使用了Cloudflare，而其Cloudflare賬號權限被控制，就可以做到非常完美的中間人劫持攻擊，注入惡意JavaScript。而Trinity桌面錢包又是基于Electron，一個完美的JavaScript執行環境就擺在這，不需要任何特別的越權，JavaScript可以完成用戶或Trinity錢包可以完成的任何事情，其中就包括密碼和種子的盜取等等。由于我們不像IOTA和MoonPay官方，他們擁有足夠的日志記錄來將攻擊過程完整掌握，我們只能通過我們所能接觸到的完成以上推測與相關分析工作。剩下的就希望官方公布具體細節并盡快完成主網的重新運行。在這，我們不得不提的一些安全看法及建議：第三方是可以邪惡的，默認都不可信，軟件安全開發過程一定要警惕第三方依賴，包括第三方組件與第三方JavaScript鏈接注：IOTA基金會聯合創始人DominikSchiener表示：「此次攻擊是由于集成MoonPay的漏洞造成，Trinity錢包所犯的最大錯誤是沒有集成NPM軟件包，并且沒有適當地對集成進行安全審核」。我們站在第三方獨立安全審計的角度認為，這種說法是不嚴謹的，在加密貨幣發展的歷史上，因為NPM包中引用的第三方源而導致的加密貨幣被盜案件不在少數。如知名的「event-stream」事件Cloudflare等第三方CDN/WAF服務很優秀很強大，但如果使用者沒安全管理好自己的賬號權限，其Web服務將會遭遇完美的中間人攻擊公鏈官方錢包的一個致命缺陷可能搞垮一條公鏈，鏈上安全關注的同時，鏈下安全也不能忽視，他們是一直整體，這也是為什么我們關注的是區塊鏈生態安全，而不是僅僅區塊鏈本身的鏈上安全作為IOTA官方錢包Trinity的使用者來說，盡快按官方的指導完成安全加固工作，這個就不多說了相關鏈接：TrinityAttackIncidentPart1:SummaryandnextstepsTrinityAttackIncidentPart2:TrinitySeedMigrationPlanTrinityAttackIncidentPart3:KeyLearnings&TakeawaysIOTAStatusPage:如何看待NPM包event-stream被黑客篡改，發現包含惡意代碼？

慢霧：疑似Gemini相關地址在過去5小時內共轉出逾20萬枚ETH:金色財經消息，慢霧監測顯示，疑似加密交易所Gemini相關地址（0xea3ec2a08fee18ff4798c2d4725ded433d94151d）已在過去5小時內歸集并轉出逾20萬枚ETH（超3億美元）。[2022/7/19 2:22:08]

聲音 | 慢霧：EOS假充值紅色預警后續:慢霧安全團隊今早發布了 EOS 假充值紅色預警后，聯合 EOSPark 的大數據分析系統持續跟蹤和分析發現：從昨日開始，存在十幾個帳號利用這類攻擊技巧對數字貨幣交易所、錢包等平臺進行持續性攻擊，并有被真實攻擊情況。慢霧安全團隊在此建議各大交易所、錢包、DApp 做好相關防御措施，嚴格校驗發送給自己的轉賬交易在不可逆的狀態下確認交易的執行狀態是否為 executed。除此之外，確保以下幾點防止其他類型的“假充值”攻擊： 1. 判斷 action 是否為 transfer 2. 判斷合約賬號是否為 eosio.token 或其它 token 的官方合約 3. 判斷代幣名稱及精度 4. 判斷金額 5. 判斷 to 是否是自己平臺的充幣賬號。[2019/3/12]

Tags：IOTIOTARINTRINIOTF幣iota幣目前的最新消息EverPrinterNeutrino System Base Token

聚幣