慢霧發布iCloud 用戶的MetaMask錢包遭遇釣魚攻擊簡析_LOUD

慢霧發布iCloud用戶的MetaMask錢包遭遇釣魚攻擊簡析。稱首先用戶遭遇了釣魚攻擊，是由于自身的安全意識不足，泄露了iCloud賬號密碼，用戶應當承擔大部分的責任。但是從錢包產品設計的角度上分析，MetaMaskiOSApp端本身就存在有安全缺陷。

Bingbon與慢霧科技達成安全戰略合作:據官方消息，數字資產衍生品交易平臺Bingbon 與慢霧科技達成安全戰略合作，雙方將針對數字貨幣行業中的底層公鏈安全研究、鏈上數據分析、威脅情報同步等多個環節保持密切合作，進一步保障Bingbon平臺及區塊鏈生態安全。Bingbon現已入駐慢霧區，并發布“安全漏洞與威脅情報賞金計劃”。Bingbon 一直重視平臺安全，關于安全風控，以超高標準投入，旨在打造一個業內安全穩定、公平公正、便捷高效的交易服務平臺。

始于2018 年，Bingbon 是一家全球性的數字資產衍生品交易服務平臺，用戶覆蓋亞洲、歐洲、北美洲和大洋洲等 37 個國家和地區，Bingbon 為用戶提供簡單、易用、專業的數字資產衍生品交易產品與服務。[2020/7/15]

MetaMask安卓端在AndroidManifest.xml中有android:allowBackup="false"來禁止應用程序被用戶和系統進行備份，從而避免備份的數據在其他設備上被恢復。

動態 | 慢霧：9 月共發生 12 起較典型的安全事件，供應鏈攻擊趨勢愈發明顯:過去的 9 月區塊鏈生態共發生 12 起較典型的安全事件，包括：EOSPlay 遭受新型隨機數攻擊、資金盤項目 FairWin 智能合約權限管理缺陷、EOS 黑名單賬號 craigspys211 利用新晉 BP 黑名單缺陷轉移走 19.999 萬枚 EOS 等典型安全事件。此外，慢霧區塊鏈威脅情報(BTI)系統監測發現，針對區塊鏈生態的供應鏈攻擊越來越多，形如：去年 11 月慢霧披露的污染 NPM 模塊 EventStream、今年 7 月披露的對數字貨幣錢包 Agama 構建鏈的攻擊、今年 8 月披露的針對數字貨幣行情/導航站的 URL 劫持攻擊，還有 9 月慢霧披露的針對交易所使用的第三方統計、客服 js 的惡意代碼植入，進行實施盜幣攻擊。[2019/10/1]

https://github.com/MetaMask/metamask-mobile/blob/main/android/app/src/main/AndroidManifest.xml#L17

聲音 | 慢霧科技余弦：數字貨幣行業缺乏國家相關的監管背書，有很多的亂象:據《每日經濟新聞》消息，區塊鏈生態安全公司慢霧科技創始人余弦在接受采訪時分析，簡單來說，幣圈的風險主要有兩個。第一個風險是地下黑客，當前的幣圈，無論是基礎設施還是上層建筑都比較脆弱，相對互聯網來說，攻擊者的攻擊成本很低。通過這些攻擊手法，地下黑客能夠盜取很多數字貨幣。第二個風險是這個行業缺乏監管，缺乏國家相關的監管背書，有很多的亂象，比如說各種資金盤、等，這些行為其實都是打著區塊鏈噱頭的非法集資。而針對如何保護數字貨幣的安全，余弦表示，這是一個新的行業，小白投資者應該多學習這個行業的知識，不要只看表面。隨著知識的加深，對很多表面上的包裝、噱頭，自己就會有一些判斷。另外，存儲數字貨幣的手機、電腦，要安裝殺軟件。不使用通過不明渠道下載的軟件來存儲數字貨幣，這是最基本的安全防范。[2019/8/30]

MetaMaskiOS端代碼中沒有發現存在這類禁止錢包數據(如KeyStore文件)被系統備份的機制。默認情況下iCloud會自動備份應用數據，當iCloud賬號密碼等權限信息被惡意攻擊者獲取，攻擊者可以從目標iCloud里恢復MetaMaskiOSApp錢包的相關數據。

慢霧安全團隊經過實測通過iCloud恢復數據后再打開MetaMask錢包，還需要輸入驗證錢包的密碼，如果密碼的復雜度較低就會存在被破解的可能。

iOSApp端在代碼上如何避免iCloud自動備份錢包App中的數據可以參考：

https://developer.apple.com/documentation/foundation/optimizing_your_app_s_data_for_icloud_backup

Tags：AMAAMASTAMALOUDThe Amaze Worldmetamask小狐貍錢包官網3.2版tamadoge幣漲到多少CLOUD9幣

火必下載