慢霧：IOTA重大被盜幣事件的分析與安全建議_RIN:TRI

一些天前我們注意到IOTA暫停了主網，雖然早前我們也知道IOTA用戶遭遇了盜幣攻擊，但沒想到IOTA官方會通過暫停主網方式來進行這次盜幣攻擊的阻攔與調查，看來問題很嚴重。隨后，2020/02/19，我們深入分析了官方披露在status.iota.org上的一些線索，開始獨立調查這次嚴重安全事故的具體原因。通過對IOTA官方錢包Trinity新版本發布的分析，我們在其GitHub上進行了版本比對，注意到了MoonPay這個第三方組件被移除，且我們注意到Trinitiy桌面錢包是基于Electron開發的，安全經驗告訴我們，這可能是個大坑，于是，我們2020/02/19時發布了一些推測：慢霧：IOTA用戶Trinity錢包被盜幣攻擊推測IOTA因為近期不少用戶的Trinity錢包被盜幣攻擊，為了阻止攻擊繼續、調查與修復具體原因，主網協調器都暫停運行了。這是一個被低估的經典攻擊，官方沒披露具體攻擊細節，但通過我們的分析，可以做出某些重要推測，首先可以明確的幾個點：不是IOTA區塊鏈協議的問題，是IOTA的Trinity桌面錢包的問題這款桌面錢包基于Electron(一個使用JavaScript為核心構建桌面應用的框架)，意味著核心代碼是JavaScript寫的在做該做錢包新舊版本代碼的diff分析時，發現去除了之前內置的一個交易所功能模塊MoonPay，這其中關鍵點是去掉了一段可怕的代碼：

慢霧：過去一周Web3生態因安全事件損失約2400萬美元:6月19日消息，據慢霧發推稱，過去一周Web3生態系統因安全事件損失約2400萬美元，包括Atlantis Loans、Ben Armstrong、TrustTheTrident、FPG、Sturdy、Pawnfi、Move VM、Hashflow、DEP/USDT與LEV/USDC、Midas Capital，總計23,795,800美元。[2023/6/19 21:46:18]

如果這個第三方JavaScript鏈接主動或被黑作惡，那該桌面版錢包就可以認為是完全淪陷了。到這，我們很有理由相信這是個很大的定時炸彈，如果這個定時炸彈是真的炸了，那很吻合官方的一些說辭與解釋，如：盡快升級新版本的Trinity桌面錢包，盡快改密碼，盡快轉移資產到安全種子里等等。且看官方的后續披露。今天(2020/02/22)，我們注意到了官方披露了一些細節，基本驗證了我們的推測。https://blog.iota.org/重點關注下這段：TheattackerstartedonNovember27th,2019withaDNS-interceptionProofofConceptthatusedaCloudflareAPIkeytorewritetheapi.moonpay.ioendpoints,capturingalldatagoingtoapi.moonpay.ioforpotentialanalysisorexfiltration.Anotherlonger-runningProofofConceptwasevaluatedbytheattackeronemonthlater,onDecember22nd,2019.OnJanuary25th,2020,theactiveattackonTrinitybegan,wheretheattackerstartedshippingillicitcodeviaMoonpay’sDNSprovideratCloudflare.攻擊者利用MoonPay的CloudflareAPIKey完成了后續一系列劫持攻擊，預估被盜的IOTA達8.55Ti(8550000枚MIOTA，MIOTA現在是交易所默認最小交易單元，當前價格0.267美金/MIOTA)。根據我們歷史經驗，如果Web服務方使用了Cloudflare，而其Cloudflare賬號權限被控制，就可以做到非常完美的中間人劫持攻擊，注入惡意JavaScript。而Trinity桌面錢包又是基于Electron，一個完美的JavaScript執行環境就擺在這，不需要任何特別的越權，JavaScript可以完成用戶或Trinity錢包可以完成的任何事情，其中就包括密碼和種子的盜取等等。由于我們不像IOTA和MoonPay官方，他們擁有足夠的日志記錄來將攻擊過程完整掌握，我們只能通過我們所能接觸到的完成以上推測與相關分析工作。剩下的就希望官方公布具體細節并盡快完成主網的重新運行。在這，我們不得不提的一些安全看法及建議：第三方是可以邪惡的，默認都不可信，軟件安全開發過程一定要警惕第三方依賴，包括第三方組件與第三方JavaScript鏈接注：IOTA基金會聯合創始人DominikSchiener表示：「此次攻擊是由于集成MoonPay的漏洞造成，Trinity錢包所犯的最大錯誤是沒有集成NPM軟件包，并且沒有適當地對集成進行安全審核」。我們站在第三方獨立安全審計的角度認為，這種說法是不嚴謹的，在加密貨幣發展的歷史上，因為NPM包中引用的第三方源而導致的加密貨幣被盜案件不在少數。如知名的「event-stream」事件Cloudflare等第三方CDN/WAF服務很優秀很強大，但如果使用者沒安全管理好自己的賬號權限，其Web服務將會遭遇完美的中間人攻擊公鏈官方錢包的一個致命缺陷可能搞垮一條公鏈，鏈上安全關注的同時，鏈下安全也不能忽視，他們是一直整體，這也是為什么我們關注的是區塊鏈生態安全，而不是僅僅區塊鏈本身的鏈上安全作為IOTA官方錢包Trinity的使用者來說，盡快按官方的指導完成安全加固工作，這個就不多說了相關鏈接：TrinityAttackIncidentPart1:SummaryandnextstepsTrinityAttackIncidentPart2:TrinitySeedMigrationPlanTrinityAttackIncidentPart3:KeyLearnings&TakeawaysIOTAStatusPage:如何看待NPM包event-stream被黑客篡改，發現包含惡意代碼？

慢霧：靚號黑客已獲取到ParaSwap Deployer和QANplatform Deployer私鑰權限:10月11日消息，據慢霧區情報，靚號黑客地址之一（0xf358..7036）已經獲取到ParaSwap Deployer和QANplatform Deployer私鑰權限。黑客從ParaSwap Deployer地址獲取到約1千美元，并在QANplatform Deployer地址做了轉入轉出測試。慢霧MistTrack對0xf358..7036分析后發現，黑客同樣盜取了The SolaVerse Deployer及其他多個靚號的資金。截止目前，黑客已經接收到超過17萬美元的資金，資金沒有進一步轉移，地址痕跡有Uniswap V3、Curve、TraderJoe，PancakeSwap、OpenSea和Matcha。慢霧MistTrack將持續監控黑客地址并分析相關痕跡。[2022/10/11 10:31:05]

慢霧：Moonbirds的Nesting Contract相關漏洞在特定場景下才能產生危害:據慢霧區情報反饋，Moonbirds 發布安全公告，Nesting Contract 存在安全問題。當用戶在 OpenSea 或者 LooksRare等NFT交易市場進行掛單售賣時。賣家不能僅通過執行 nesting(筑巢) 來禁止NFT售賣，而是要在交易市場中下架相關的 NFT 售賣訂單。否則在某個特定場景下買家將會繞過 Moonbirds 在nesting(筑巢)時不能交易的限制。慢霧安全團隊經過研究發現該漏洞需要在特定場景才能產生危害屬于低風險。建議 Moonbirds 用戶自行排查已 nesting(筑巢)的 NFT 是否還在 NTF 市場中上架，如果已上架要及時進行下架。更多的漏洞細節請等待 Moonbirds 官方的披露。[2022/5/30 3:50:23]

慢霧:BSC鏈上項目BXH遭受攻擊分析:10月30日消息，據慢霧區情報，2021年10月30日，幣安智能鏈上(BSC)去中心化交易協議BXH項目遭受攻擊，被盜約1.3億美金。經慢霧安全團隊分析，黑客于27日13時(UTC)部署了攻擊合約0x8877，接著在29日08時(UTC)BXH項目管理錢包地址0x5614通過grantRole賦予攻擊合約0x8877管理權限。30日03時(UTC)攻擊者通過攻擊合約0x8877的權限從BXH策略池資金庫中將其管理的資產轉出。30日04時(UTC)0x5614暫停了資金庫。因此BXH本次被盜是由于其管理權限被惡意的修改，導致攻擊者利用此權限轉移了項目資產。[2021/10/30 6:22:02]

Tags：IOTIOTARINTRIIOT價格iota幣未來值得投資嗎EPRINT價格STRIDR

狗狗幣最新價格