捂好錢包黑客也要回家過年 錢包事件大匯總_ANI

近期，CertiK發布了《2022年Web3.0行業安全報告》，在報告中我們可以看到2022年對于整個數字資產行業來說是艱難的一年。

2022年惡意行為者從Web3.0協議中盜取了價值超過37億美元的資產，這個數字比2021年的13億美元損失增加了189%。

這些資產被盜的原因大部分是由于網絡釣魚攻擊中的私鑰泄露或智能合約中的漏洞，但也有相當數量的資金是被盜于數字貨幣錢包。

這些錢包事件既影響了個人用戶，如Fenbushi Capital的Bo Shen：4200萬美元的數字貨幣資產被盜；也影響了大批用戶群體，如Slope及Bitkeep錢包事件，影響了超過9000個用戶賬戶。

然而這些事件中的一部分原本是可以避免的——因為這些漏洞可以在錢包安全評估中被發現。

CertiK在過去幾年中已經保障了數百個錢包應用的安全。

在本文中，我們將重新審視2022年發生的與數字貨幣錢包相關的主要安全事件，并探討其技術細節。

此外，我們將對我們在為客戶的錢包應用程序進行研究和安全評估時發現的常見安全漏洞進行總結。文末我們將列出一些可供錢包用戶參考的安全建議，以降低被黑風險。

~2022年主要的加密貨幣錢包相關事件~

Slope錢包

比特幣技術初創公司Lightning Labs發布Litd節點管理工具更新:金色財經報道，比特幣技術初創公司Lightning Labs的團隊是比特幣快速且可擴展的閃電網絡的主要開發商之一，它發布了Litd節點管理工具的更新，旨在使比特幣和閃電網絡更易于使用。[2023/4/30 14:34:57]

2022年最著名、影響最大的加密貨幣錢包安全事件源于Slope錢包對私鑰的不當處理。

Slope錢包是一個非托管的數字貨幣錢包，適用于iOS和Android、Chrome瀏覽器的擴展。

它支持多個區塊鏈，但主要活躍于Solana區塊鏈。

2022年8月2日晚，價值約410萬美元的資產在大約四個小時的時間里被從9231名用戶的錢包地址中盜取。

在事件發生的前幾個小時，當根本原因不明時，用戶就已出現了恐慌，Solana區塊鏈被黑的謠言也開始不脛而走。

在攻擊發生的幾小時后，一名推特用戶發布了一張截圖，顯示了來自Slope移動錢包的HTTP流量（其中包含了該用戶的助記詞）。CertiK發現在導入錢包賬戶時，用戶的助記詞將被發送到Slope的Sentry日志服務器，任何有權訪問日志的人都可以接管該賬戶并從該地址轉移所有資產。

該攻擊事件發生兩周后，Slope錢包發布了“取證和事件響應報告”。

數據：zkSync橋接存儲總價值突破20萬枚ETH:金色財經報道，據 Dune Analytics 數據顯示，以太坊 Layer2 擴容解決方案 zkSync 跨鏈橋接存儲總價值已突破 20 萬枚 ETH，截至目前達到 200,003 ETH（按照當前 ETH 價格計算超過 3.3 億美元），參與橋接交易的用戶量為 530,753 個。其他 L2 存儲總價值方面，當前 Arbitrum 跨鏈橋存儲總價值約為 211.23 萬枚 ETH，Optimism 約為 46.65 萬枚 ETH，StarkNet 約為 1.04 萬枚 ETH。金色財經此前報道，zkSync 開發公司 Matter Labs 于去年 11 月中旬完成 2 億美元 C 輪融資，Blockchain Capital 和 Dragonfly 共同領投。[2023/1/21 11:24:26]

從報告中我們可以得知，2022年7月28日起，用戶私鑰就已經會被記錄于數據庫中，然而這一漏洞風險在經過安全審計或是內部審查后其實非常容易被發現。

發布報告后至今，Slope錢包團隊未于社交媒體上再發表任何回應。

Profanity

Profanity是一個基于GPU的Vanity地址（靚號地址）生成工具，允許用戶生成自己喜歡的Vanity自定義外部賬戶（EOA）和智能合約地址。

近4億枚USDT從Bitfinex轉移到Tether Treasury:金色財經報道，WhaleAlert數據顯示，398,000,000 枚USDT(價值約397,729,360美元)從Bitfinex轉移到Tether Treasury。[2022/11/13 12:56:28]

Profanity使用一個隨機的種子數來將其擴展為初始私鑰，并通過GPU根據初始私鑰計算數百萬個帳戶，以此暴力創建滿足用戶要求的地址。

從技術上講，Profity并不是一個錢包應用程序，但它確實有一個與幾乎所有數字貨幣錢包通用的功能：生成錢包賬戶。

這就是由風險賬戶導致了惡劣后果的完美案例。

2022年9月15日，1Inch團隊發表了一篇文章《以太坊vanity地址工具Profanity中披露的一個漏洞》，講述Profanity工具使用不安全的種子，該工具生成賬戶的私鑰可以被輕易破解。此后該漏洞首次引起了人們的注意。

五天后，即9月20日，最大數字資產做市商之一的Wintermute的一個錢包賬戶被黑，攻擊者利用該賬戶從一個智能合約中提取了約1.625億美元。

10月11日，Qanx Bridge的部署者賬戶被黑，攻擊者利用該賬戶從Bridge上提取$Qanx并出售。多個攻擊者同時也在區塊鏈上積極尋找有漏洞的賬戶并竊取資金。

去中心化電子協議簽署平臺EthSign在Polygon網絡已聚合超10萬個簽名:7月24日消息，去中心化電子協議簽署平臺EthSign宣布，EthSign Signatures Beta版本在Polygon網絡上已經聚合超10萬個簽名。

此前報道，6月2日，去中心化電子協議簽署平臺EthSign宣布正式上線Signatures Beta版本，新版本提供與Web2電子簽名平臺相同的功能、用戶體驗和法律有效性，同時運用區塊鏈提高透明度和安全性。此次Beta版的新智能合約將gas消耗減少了9倍，并增加了只讀查看者權限、共同簽署人之間的簽署順序、PDF注釋和文本字段集、無密碼的地址鎖定加密、通過EPNS和Blockscan Chat推送通知等新功能。[2022/7/24 2:33:59]

這類問題的根本原因在于，種子總數也許只有2^32（40億）。不安全的種子和可逆的暴力過程使恢復使用該工具生成賬戶的私鑰成為可能。CertiK成功開發了一個概念驗證程序，并能夠恢復Wintermute和Qanx部署者賬戶的私鑰。

這樣的事件并非獨例。

2013年，Android系統的隨機數生成器中，一個類似的漏洞被發現，影響了比特幣錢包的創建。

密碼學是一個復雜的領域，因此很容易犯下損害安全的錯誤。一條金科玉律就是“don't roll your own crypto”（不要從頭開始建立一個加密函數。因為新的函數沒有經過足夠長時間的檢驗，它可能會存在諸多漏洞）。

OpenSea更新網站個人資料和NFT收藏頁面:5月27日消息，NFT市場OpenSea已重新設計其網站上的個人資料和NFT收藏頁面，目的是使網站更易于瀏覽。該公司表示，這些重新設計只是該公司改進其網站運作方式工作的開始。[2022/5/27 3:44:55]

幸運的是，大多數數字貨幣錢包在處理創建錢包賬戶時，都會使用如 "bip39"這樣的既定的庫。

MetaMask的iCloud備份

4月17日，被3000多萬人用來存儲和管理數字資產的主流加數字幣錢包MetaMask警告其iOS用戶，在Apple iCloud中存儲錢包秘密存在潛在風險。

如助記詞這樣的錢包敏感信息在上傳到iCloud時是加密的，但如果其所有者的Apple賬戶被泄露，且使用了低強度的密碼，那他們的數字資產很可能會面臨風險。

這一警告是由一次代價高昂的釣魚攻擊換來的。

在這次攻擊中，推特賬號為@revive_dom的用戶Domenic Iacovone損失了大量的數字貨幣和非同質化token，總計價值約65萬美金。

騙子假裝是Apple公司的支持人員，借此獲得了Iacovone的iCloud賬戶的訪問權，并使用存儲的MetaMask憑證耗盡了他的錢包，讓他成為了這場社會工程攻擊的受害者。錢包應將包含助記詞的保管庫存儲于不會被iCloud備份的位置，如果這一點無法實現，應用程序也應警告用戶：在創建賬戶時禁用iCloud備份以確保錢包安全。

SeaFlower

一個安全研究小組發現，有一個組織SeaFlower正在傳播合法數字貨幣錢包的惡意版本（包括Coinbase Wallet、MetaMask、TokenPocket和imToken），會導致用戶的助記詞被通過后門竊取。這些修改過的錢包會按照預期運行，但允許攻擊者通過使用竊取的助記詞來獲取用戶的數字貨幣。

SeaFlower向盡可能多的用戶傳播數字貨幣錢包應用程序的木馬版本是通過包括創建山寨網站和攻擊搜索引擎優化（SEO）等各類方式實現的，或是通過社交媒體渠道、論壇和通過惡意廣告推廣這些應用程序，但其主要傳播渠道是通過搜索服務。

研究人員發現，百度引擎的搜索結果尤其會受到SeaFlower的影響，將大量流量引向惡意網站。

在iOS設備上，攻擊者可以通過濫用配置文件繞過安全保護以對惡意應用進行side-load——這些配置文件可將開發人員和設備鏈接到授權的開發團隊，并允許設備用于測試應用程序代碼，因此攻擊者可以利用它們向設備添加惡意應用程序。

數字貨幣錢包應用的常見安全問題

錢包敏感信息被上傳到服務器，或在服務器端生成錢包

最關鍵的風險之一是將錢包敏感信息上傳到服務器或在服務器端生成錢包。對于非托管錢包，錢包敏感信息應存儲于用戶的設備中——即使它們是以加密的形式存在，這種高度敏感的數據仍可能會在傳輸過程中被截獲，或者被泄露給能夠訪問服務器的數據庫或日志的人。

不安全的存儲

當敏感信息（如錢包密碼和其它機密）以純文本或在設備上的不安全位置存儲時，就會出現安全風險。

這種情況包括Android上的外部存儲或iOS上的“UserDefaults”。

當使用不安全的密鑰派生函數來生成加密密鑰時，或者當使用不安全的加密算法來保護數據時，也可能發生這種情況。

缺少對操作和運行環境的安全檢查

除了安全地存儲數據外，錢包應用程序還應該確保其運行的安全和底層運行環境的安全。這一類的一些常見問題包括缺乏root和越獄檢測，無法阻止用戶對錢包敏感信息進行截圖、應用程序在后臺運行時未能隱藏敏感信息，以及允許在敏感輸入字段使用自定義鍵盤。

擴展錢包中缺乏對惡意網站的防范

大多數DApp都是Web應用程序，使用瀏覽器擴展錢包是最常見的交互方式。

然而，擴展錢包的一個共同問題是缺乏對惡意網站的防范。例如，一個不安全的錢包可能允許惡意網站獲取用戶的錢包賬戶信息，或在用戶同意將其錢包連接到該網站之前接受交易簽名請求；當從惡意網站接收惡意數據時，錢包可能會出現故障。

對錢包用戶的建議

采取預防措施以保護你的數字資產并確保錢包使用安全非常重要。數字貨幣領域充滿了黑客及欺詐者帶來的風險。

下文是一份用戶可以參考或遵循的建議清單，以減少被黑客攻擊的可能性。

① 選擇符合安全標準的錢包。一些錢包可能存在漏洞，容易受到黑客攻擊或其他安全漏洞的影響。請只使用經過安全公司安全測試、徹底檢查潛在的漏洞且認為符合安全標準的錢包。

② 從官方的iOS商店和Google Play商店下載應用程序有助于確保你獲取該應用程序的合法版本。

③ 保持設備更新十分重要，因為軟件更新通常包括對已發現的漏洞的安全修復。④ 使用專門的手機或個人電腦來安裝錢包應用程序，請勿使用日常工作的設備，這有助于降低被意外安裝的惡意應用程序破壞的風險。⑤ 如果你持有大量的數字貨幣，并希望確保其盡可能安全，可以考慮使用硬件錢包。

寫在最后

新Layer 1和Layer 2區塊鏈正在持續發展，鑒于許多現有的錢包與這些新的區塊鏈并不兼容，市場上將會推出更多的數字貨幣錢包。

盡可能地降低錢包的安全風險需要用戶和錢包開發者共同的努力：用戶需要遵循最佳實踐并保持警惕以防止被黑客入侵；開發團隊則需要編寫安全的代碼，并對其錢包應用進行安全審計。

CertiK中文社區

企業專欄

閱讀更多

金色財經

金色早8點

澎湃新聞

Odaily星球日報

Arcane Labs

深潮TechFlow

歐科云鏈

鏈得得

MarsBit

BTCStudy

Tags：數字貨幣ETHANISLOPE被朋友騙去弄數字貨幣道德的英文ethicalAnime TokenSLOPE幣

芝麻開門交易所下載