比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

慢霧發布iCloud 用戶的MetaMask錢包遭遇釣魚攻擊簡析_LOUD

Author:

Time:1900/1/1 0:00:00

慢霧發布iCloud用戶的MetaMask錢包遭遇釣魚攻擊簡析。稱首先用戶遭遇了釣魚攻擊,是由于自身的安全意識不足,泄露了iCloud賬號密碼,用戶應當承擔大部分的責任。但是從錢包產品設計的角度上分析,MetaMaskiOSApp端本身就存在有安全缺陷。

Bingbon與慢霧科技達成安全戰略合作:據官方消息,數字資產衍生品交易平臺Bingbon 與慢霧科技達成安全戰略合作,雙方將針對數字貨幣行業中的底層公鏈安全研究、鏈上數據分析、威脅情報同步等多個環節保持密切合作,進一步保障Bingbon平臺及區塊鏈生態安全。Bingbon現已入駐慢霧區,并發布“安全漏洞與威脅情報賞金計劃”。Bingbon 一直重視平臺安全,關于安全風控,以超高標準投入,旨在打造一個業內安全穩定、公平公正、便捷高效的交易服務平臺。

始于2018 年,Bingbon 是一家全球性的數字資產衍生品交易服務平臺,用戶覆蓋亞洲、歐洲、北美洲和大洋洲等 37 個國家和地區,Bingbon 為用戶提供簡單、易用、專業的數字資產衍生品交易產品與服務。[2020/7/15]

MetaMask安卓端在AndroidManifest.xml中有android:allowBackup="false"來禁止應用程序被用戶和系統進行備份,從而避免備份的數據在其他設備上被恢復。

動態 | 慢霧:9 月共發生 12 起較典型的安全事件,供應鏈攻擊趨勢愈發明顯:過去的 9 月區塊鏈生態共發生 12 起較典型的安全事件,包括:EOSPlay 遭受新型隨機數攻擊、資金盤項目 FairWin 智能合約權限管理缺陷、EOS 黑名單賬號 craigspys211 利用新晉 BP 黑名單缺陷轉移走 19.999 萬枚 EOS 等典型安全事件。此外,慢霧區塊鏈威脅情報(BTI)系統監測發現,針對區塊鏈生態的供應鏈攻擊越來越多,形如:去年 11 月慢霧披露的污染 NPM 模塊 EventStream、今年 7 月披露的對數字貨幣錢包 Agama 構建鏈的攻擊、今年 8 月披露的針對數字貨幣行情/導航站的 URL 劫持攻擊,還有 9 月慢霧披露的針對交易所使用的第三方統計、客服 js 的惡意代碼植入,進行實施盜幣攻擊。[2019/10/1]

https://github.com/MetaMask/metamask-mobile/blob/main/android/app/src/main/AndroidManifest.xml#L17

聲音 | 慢霧科技余弦:數字貨幣行業缺乏國家相關的監管背書,有很多的亂象:據《每日經濟新聞》消息,區塊鏈生態安全公司慢霧科技創始人余弦在接受采訪時分析,簡單來說,幣圈的風險主要有兩個。第一個風險是地下黑客,當前的幣圈,無論是基礎設施還是上層建筑都比較脆弱,相對互聯網來說,攻擊者的攻擊成本很低。通過這些攻擊手法,地下黑客能夠盜取很多數字貨幣。第二個風險是這個行業缺乏監管,缺乏國家相關的監管背書,有很多的亂象,比如說各種資金盤、等,這些行為其實都是打著區塊鏈噱頭的非法集資。而針對如何保護數字貨幣的安全,余弦表示,這是一個新的行業,小白投資者應該多學習這個行業的知識,不要只看表面。隨著知識的加深,對很多表面上的包裝、噱頭,自己就會有一些判斷。另外,存儲數字貨幣的手機、電腦,要安裝殺軟件。不使用通過不明渠道下載的軟件來存儲數字貨幣,這是最基本的安全防范。[2019/8/30]

MetaMaskiOS端代碼中沒有發現存在這類禁止錢包數據(如KeyStore文件)被系統備份的機制。默認情況下iCloud會自動備份應用數據,當iCloud賬號密碼等權限信息被惡意攻擊者獲取,攻擊者可以從目標iCloud里恢復MetaMaskiOSApp錢包的相關數據。

慢霧安全團隊經過實測通過iCloud恢復數據后再打開MetaMask錢包,還需要輸入驗證錢包的密碼,如果密碼的復雜度較低就會存在被破解的可能。

iOSApp端在代碼上如何避免iCloud自動備份錢包App中的數據可以參考:

https://developer.apple.com/documentation/foundation/optimizing_your_app_s_data_for_icloud_backup

Tags:AMAAMASTAMALOUDThe Amaze Worldmetamask小狐貍錢包官網3.2版tamadoge幣漲到多少CLOUD9幣

火必下載
P2E游戲Nifty League完成500萬美元種子輪融資_AVI

據官方消息,P2E游戲NiftyLeague宣布完成500萬美元種子輪融資,RSEVentures領投.

1900/1/1 0:00:00
企業級區塊鏈平臺BlockApps完成4100萬美元融資,Liberty City Ventures領投_區塊鏈

企業級區塊鏈平臺BlockApps總裁兼首席執行官KierenJames-Lubin表示,BlockApps完成4100萬美元融資,以繼續向企業區塊鏈領域擴張.

1900/1/1 0:00:00
Meta股東計劃推動對扎克伯格權力審查,與其元宇宙計劃有關_SUM

據智通財經報道,由于Meta平臺的股價今年下跌超過34%,部分股東表示,他們計劃推動對CEO馬克·扎克伯格的權力審查。Meta平臺的投資者計劃在即將召開的股東大會上推動兩項決議.

1900/1/1 0:00:00
慢霧:ERC721R示例合約存在缺陷,本質上是由于owner權限過大問題_SDT

GoPocket核心開發者BenLaw此前發推稱,ERC721R示例合約存在缺陷可導致項目方利用此問題進行RugPull.

1900/1/1 0:00:00
花樣滑冰奧運冠軍“冰王子”普魯申科進軍元宇宙,入駐DreamVerse打造冰上家園_VERSE

有著“冰王子”之稱的俄羅斯著名花滑運動員普魯申科在推特上宣布將攜手自創的IceDeerNFT入駐DreamVerse元宇宙,打造祈望世界和平的冰上莊園.

1900/1/1 0:00:00
NFT平臺LiveArtX將獲得超450萬美元融資,Animoca Brands等參投_SNO

NFT平臺LiveArtX已經獲得超過450萬美元的投資承諾,投資方將包括AnimocaBrands、Binance、KuCoin、AlamedaVentures、OKXBlockDreamCa.

1900/1/1 0:00:00
ads