慢霧：IOTA 重大被盜幣事件的分析與安全建議_TRI:RIN

一些天前我們注意到 IOTA 暫停了主網，雖然早前我們也知道 IOTA 用戶遭遇了盜幣攻擊，但沒想到 IOTA 官方會通過暫停主網方式來進行這次盜幣攻擊的阻攔與調查，看來問題很嚴重。隨后，2020/02/19，我們深入分析了官方披露在 status.iota.org 上的一些線索，開始獨立調查這次嚴重安全事故的具體原因。

通過對 IOTA 官方錢包 Trinity 新版本發布的分析，我們在其 GitHub 上進行了版本比對，注意到了 MoonPay 這個第三方組件被移除，且我們注意到 Trinitiy 桌面錢包是基于 Electron 開發的，安全經驗告訴我們，這可能是個大坑，于是，我們 2020/02/19 時發布了一些推測：

慢霧：IOTA 用戶 Trinity 錢包被盜幣攻擊推測

IOTA 因為近期不少用戶的 Trinity 錢包被盜幣攻擊，為了阻止攻擊繼續、調查與修復具體原因，主網協調器都暫停運行了。這是一個被低估的經典攻擊，官方沒披露具體攻擊細節，但通過我們的分析，可以做出某些重要推測，首先可以明確的幾個點：

慢霧：共享Apple ID導致資產被盜核心問題是應用沒有和設備碼綁定:5月19日消息，慢霧首席信息安全官23pds發推表示，針對共享Apple ID導致資產被盜現象，核心問題是應用沒有和設備碼綁定，目前99%的錢包、交易App等都都存在此類問題，沒有綁定就導致數據被拖走或被惡意同步到其他設備導致被運行，攻擊者在配合其他手法如社工、爆破等獲取的密碼，導致資產被盜。23pds提醒用戶不要使用共享Apple ID等，同時小心相冊截圖被上傳出現資產損失。[2023/5/19 15:13:08]

不是 IOTA 區塊鏈協議的問題，是 IOTA 的 Trinity 桌面錢包的問題（官方說的，且先相信）

這款桌面錢包基于 Electron(一個使用 JavaScript 為核心構建桌面應用的框架)，意味著核心代碼是 JavaScript 寫的

在做該做錢包新舊版本代碼的 diff 分析時，發現去除了之前內置的一個交易所功能模塊 MoonPay，這其中關鍵點是去掉了一段可怕的代碼：

慢霧：攻擊Ronin Network的黑客地址向火幣轉入3750枚 ETH:3月30日消息，慢霧發推稱，攻擊Axie Infinity側鏈Ronin Network的黑客地址向交易所火幣轉入3750枚ETH。此前金色財經報道，Ronin橋被攻擊，17.36萬枚ETH和2550萬USDC被盜。[2022/3/30 14:26:38]

const script = document.createElement('script');script.src = 'https://cdn.moonpay.io/moonpay-sdk.js';document.write(script.outerHTML);如果這個第三方 JavaScript 鏈接主動或被黑作惡，那該桌面版錢包就可以認為是完全淪陷了。到這，我們很有理由相信這是個很大的定時炸彈，如果這個定時炸彈是真的炸了，那很吻合官方的一些說辭與解釋，如：盡快升級新版本的 Trinity 桌面錢包，盡快改密碼，盡快轉移資產到安全種子里等等。且看官方的后續披露。

慢霧：Furucombo被盜資金發生異動，多次使用1inch進行兌換:據慢霧MistTrack，2月28日攻擊Furucombo的黑客地址（0xb624E2...76B212）于今日發生異動。黑客通過1inch將342 GRO、69 cWBTC、1700萬cUSDC兌換成282 ETH，并將147ETH從Compound轉入到自己的地址，截至目前該黑客地址余額約170萬美元，另一個黑客地址余額為約1200萬美元。[2021/3/3 18:12:14]

今天(2020/02/22)，我們注意到了官方披露了一些細節，基本驗證了我們的推測。

https://blog.iota.org/trinity-attack-incident-part-1-summary-and-next-steps-8c7ccc4d81e8

重點關注下這段：

The attacker started on November 27th, 2019 with a DNS-interception Proof of Concept that used a Cloudflare API key to rewrite the api.moonpay.io endpoints, capturing all data going to api.moonpay.io for potential analysis or exfiltration. Another longer-running Proof of Concept was evaluated by the attacker one month later, on December 22nd, 2019. On January 25th, 2020, the active-ubxx attack on Trinity began, where the attacker started shipping illicit code via Moonpay’s DNS provider at Cloudflare.

慢霧：Let's Encrypt軟件Bug導致3月4日吊銷 300 萬個證書:Let's Encrypt由于在后端代碼中出現了一個錯誤，Let's Encrypt項目將在撤銷超過300萬個TLS證書。詳情是該錯誤影響了Boulder，Let's Encrypt項目使用該服務器軟件在發行TLS證書之前驗證用戶及其域。慢霧安全團隊提醒：數字貨幣行業有不少站點或內部系統為安全目的而使用 Let's Encrypt 自簽證書，請及時確認是否受到影響。如有影響請及時更新證書，以免造成不可預知的風險。用戶可查看原文鏈接在線驗證證書是否受到影響。[2020/3/4]

攻擊者利用 MoonPay 的 Cloudflare API Key 完成了后續一系列劫持攻擊，預估被盜的 IOTA 達 8.55 Ti(8550000 枚 MIOTA，MIOTA 現在是交易所默認最小交易單元，當前價格 0.267 美金/MIOTA)。根據我們歷史經驗，如果 Web 服務方使用了 Cloudflare，而其 Cloudflare 賬號權限被控制，就可以做到非常完美的中間人劫持攻擊，注入惡意 JavaScript。而 Trinity 桌面錢包又是基于 Electron，一個完美的 JavaScript 執行環境就擺在這，不需要任何特別的越權，JavaScript 可以完成用戶或 Trinity 錢包可以完成的任何事情，其中就包括密碼和種子的盜取等等。

動態 | 慢霧：Cryptopia被盜資金發生轉移:據慢霧科技反洗錢(AML)系統監測顯示，Cryptopia攻擊者分兩次轉移共20,843枚ETH，價值超380萬美元。目前資金仍停留在 0x90d78A49 和 0x6D693560 開頭的兩個新地址，未向交易所轉移。據悉，今年早些時候加密貨幣交易所Cryptopia遭受了黑客攻擊，價值超過1600萬美元的以太坊和ERC-20代幣被盜。[2019/11/17]

由于我們不像 IOTA 和 MoonPay 官方，他們擁有足夠的日志記錄來將攻擊過程完整掌握，我們只能通過我們所能接觸到的完成以上推測與相關分析工作。剩下的就希望官方公布具體細節并盡快完成主網的重新運行。

在這，我們不得不提的一些安全看法及建議：

第三方是可以邪惡的，默認都不可信，軟件安全開發過程一定要警惕第三方依賴，包括第三方組件與第三方 JavaScript 鏈接

注：IOTA 基金會聯合創始人 Dominik Schiener 表示：“此次攻擊是由于集成 MoonPay 的漏洞造成，「Trinity 錢包所犯的最大錯誤是沒有集成 NPM 軟件包，并且沒有適當地對集成進行安全審核」”我們站在第三方獨立安全審計的角度認為，這種說法是不嚴謹的，在加密貨幣發展的歷史上，因為 NPM 包中引用的第三方源而導致的加密貨幣被盜案件不在少數。如知名的 "event-stream" 事件

Cloudflare 等第三方 CDN/WAF 服務很優秀很強大，但如果使用者沒安全管理好自己的賬號權限，其 Web 服務將會遭遇完美的中間人攻擊

公鏈官方錢包的一個致命缺陷可能搞垮一條公鏈，鏈上安全關注的同時，鏈下安全也不能忽視，他們是一直整體，這也是為什么我們關注的是區塊鏈生態安全，而不是僅僅區塊鏈本身的鏈上安全

作為 IOTA 官方錢包 Trinity 的使用者來說，盡快按官方的指導完成安全加固工作，這個就不多說了

相關鏈接：

Trinity Attack Incident Part 1: Summary and next steps https://blog.iota.org/trinity-attack-incident-part-1-summary-and-next-steps-8c7ccc4d81e8

Trinity Attack Incident Part 2: Trinity Seed Migration Plan https://blog.iota.org/trinity-attack-incident-part-2-trinity-seed-migration-plan-4c52086699b6

Trinity Attack Incident Part 3: Key Learnings & Takeaways https://blog.iota.org/trinity-attack-incident-part-3-key-learnings-takeaways-c933de22fd0a

IOTA Status Page: https://status.iota.org/

如何看待 NPM 包 event-stream 被黑客篡改，發現包含惡意代碼？https://www.zhihu.com/question/303815270

Tags：IOTAIOTRINTRIiota幣今日價格行情aiotnetworkturingaiStripchat10元等于多少代幣

以太坊交易所