تم اكتشاف ثغرة أمنية قبل عامين ، ولكن لم يتم تحديثها في الوقت المناسب.
** بقلم: تشين شياو فنغ **
في نهاية الأسبوع الماضي ، تم اختراق المحفظة المشفرة Atomic Wallet.
وفقًا لإحصاءات المحقق على السلسلة ZachXBT ، تجاوز إجمالي المبلغ المسروق في هذا الهجوم 35 مليون دولار أمريكي ، بما في ذلك BTC و ETH و USDT و Tron و BSC و ADA و Ripple و Polkadot و Cosmos و Algo و Avax و XLM و LTC و Doge ، إلخ. الأصول ؛ أكبر خسارة شخصية كانت 7.95 مليون دولار أمريكي (إصدار TRC) ، وبلغت الخسائر التراكمية للضحايا الخمسة الأوائل حوالي 17 مليون دولار أمريكي ، أي ما يقرب من النصف.
في 3 يونيو ، نشر عدد من مستخدمي Atomic Wallet على وسائل التواصل الاجتماعي أن أصول محفظتهم قد سُرقت. ثم نشرت Atomic Wallet: "لقد تلقينا تقارير عن سرقة المحفظة ونبذل قصارى جهدنا للتحقيق في السبب وتحليله. إذا كان هناك هي المزيد من الأخبار ذات الصلة سيتم إصدارها في أقرب وقت ممكن ".
بعد الانتظار لمدة يومين تقريبًا ، أصدرت Atomic Wallet رسميًا تغريدة غامضة هذا الصباح ، "حاليًا أقل من 1٪ من المستخدمين النشطين شهريًا قد تأثروا / تم الإبلاغ عنهم ، ويجري تحقيق أمني ؛ وضعت Atomic Wallet الضحية ويتم إخطار العناوين إلى البورصات الكبرى وشركات تحليل blockchain لتتبع ووقف تحويل الأموال المسروقة. " لم تستجب Atomic Wallet لمخاوف المستخدم مثل نواقل هجوم القراصنة ، وكيفية تجنب المخاطر ، والتعويضات اللاحقة.
وجد موقع KOL "Tay" المشفر أن الهجوم الأول حدث في 5:45 يوم 3 يونيو (UTC + 8) ، وأن آخر معاملة مسروقة حدثت في الساعة 23:30 بالتوقيت العالمي المنسق في 3 يونيو (UTC + 8) من خلال جمع عناوين الضحايا. يقوم المتسلل أولاً بجمع الأصول المسروقة إلى عنوان جديد ، ثم يحول كل رمز مميز إلى رمز مميز أساسي للسلسلة من خلال uniswap ، ومقايضة mm ، و sunswap وغيرها من DEXs وينقلها إلى العنوان الجديد مرة أخرى (في انتظار العمليات اللاحقة).
بعد الهجوم ، ساعد بافالو ، الرئيس التنفيذي لشركة جيتو لابز للبنية التحتية للتشفير ، وبريان ، رئيس الأعمال ، ضحية على استرداد مليون دولار من الخسائر.
كيف نفذ المخترق الهجوم؟ يشك مؤسس Btc 21.de "Joko" في وجود "تصحيح ضار" في Atomic Wallet ، والذي سيرسل المفتاح الخاص إلى المهاجم بمجرد فتح المستخدم للتطبيق. يأتي الاستنتاج من مناقشات المجتمع ، حيث قال بعض الضحايا إن أصولهم قد سرقها المتسللون في غضون دقيقة واحدة من تسجيل الدخول إلى Atomic Wallet.
(ملتقى الضحايا) *
أفاد بعض الضحايا أيضًا أن المفتاح الخاص لحساب Atomic Wallet الخاص بهم لم يتم نسخه احتياطيًا أو التصريح به على منصات أخرى ، ولم يستخدموا بطاقة SIM ، ونادرًا ما يكونون متصلين بشبكة WiFi المنزلية الخاصة بهم ، لكن جميع أصول ADA لا تزال مسروقة من قبل المتسللين . ومع ذلك ، هناك تفصيل واحد جدير بالملاحظة ، وهو أن المستخدم يستخدم Atomic Wallet Android الإصدار 1.13.20 ، والإصدار الأحدث هو 1.15.1 (تم التحديث في 23 مايو 2023) ، وبالتالي فإن احتمال وجود ثغرة أمنية في الإصدار القديم من لا يمكن استبعاد المحفظة.
حلل "تاي" أن تطبيق Atomic Wallet لم يتم إنشاؤه بطريقة آمنة ، إما أن قام شخص ما بدفع نسخة ضارة من التطبيق وسرق مفتاح المستخدم ؛ أو قاموا (Atomic Wallet) عن غير قصد بتسجيل مفتاح المستخدم الخاص بخوادمهم الخاصة ، وهي الوصول إليها من قبل الجهات الخبيثة.
تجدر الإشارة إلى أنه منذ عام مضى ، كشفت شركة الأمن Least Authority أن Atomic Wallet بها ثغرات أمنية وحذرت المستخدمين من المخاطر.
(إعلان أقل سلطة) *
في فبراير 2022 ، أصدرت Least Authority تقريرًا يفيد بأن الشركة ، التي تم تعيينها لأول مرة في أوائل عام 2021 لفحص تصميم نظام Atomic وما يقابله من تطبيقات الترميز الأساسية وسطح المكتب والجوّال ، خلصت إلى وجود ثغرات تعرض المستخدمين "لخطر كبير" وأوجه قصور ، تم تقديم التقرير إلى Atomic في أبريل 2021. استجابت أتوميك للنتائج في نوفمبر 2021 ، مشيرة إلى إجراء تحديثات وتحسينات. ومع ذلك ، في مراجعة النسخة المعدلة التي تقدمها Atomic Wallet ، وجدت Least Authority أن عددًا كبيرًا من المشكلات لا يزال بدون حل ويشكل خطرًا أمنيًا على المستخدمين. أصدرت Least Authority رسميًا تحذيرًا للمستخدمين لتحذيرهم من المخاطر وفقًا لمعايير التدقيق وسياسات الإفصاح. ومع ذلك ، فإن هذا التحذير لم يجذب انتباه Atomic Wallet ، وإلى حد ما وضع أيضًا لغمًا مخفيًا لهجوم اليوم.
ردًا على سرقة Atomic Wallet ، علق Yu Xian ، مؤسس شركة الأمان SlowMist: "من المفارقات أن يتم تسليم معلومات حساسة مثل مفتاح ذاكري / خاص إلى محفظة ليست مسؤولة عن الأمان أو مستوى الأمان ليست عالية بما فيه الكفاية. عدم تناسق المعلومات هنا خطير للغاية ، وحتى أنني لا أستطيع الإجابة عن المحافظ الآمنة باستمرار ... يجب إخفاء فن الإستذكار / المفاتيح الخاصة في شرائح التشفير أو البيئات غير المتصلة بالإنترنت أو البيئات الموثوقة ، واستخدام التوقيعات المتعددة / لجنة السياسة النقدية إلى واحدة فقط قليلا من المتاعب ".
من المفهوم أن Atomic Wallet تضع نفسها على أنها تطبيق لامركزي غير أمني ولا يمتلك المفتاح الخاص للمستخدم ، وتدعي أنها تدعم حاليًا أكثر من 1000 عملة مشفرة ولديها أكثر من 5 ملايين مستخدم حول العالم. "تعمل Atomic Wallet كواجهة تمكن المستخدمين من الوصول إلى أموال blockchain الخاصة بهم. تتم حماية المحفظة وعملياتها عن طريق التشفير ، ويتم تخزين البيانات الرئيسية مثل المفاتيح الخاصة والعبارات الاحتياطية بشكل آمن على الجهاز المحلي للمستخدم من خلال خوارزمية تشفير موثوقة. "متفوقة".
نظرًا لطبيعتها غير الحاكمة ، فقد نصت Atomic Wallet بوضوح في شروط الخدمة على أن المطورين ليسوا مسؤولين عن أي ضرر يلحق بالمستخدمين في السلسلة. "لن تكون Atomic Wallet تحت أي ظرف من الظروف مسؤولة عن الأضرار الناجمة عن الخدمات التي تتجاوز 50 دولارًا."
أخيرًا ، نحتاج إلى تذكير جميع الضحايا بأن الحسابات المزيفة التي تتظاهر بأنها Atomic Wallet قد نشرت تغريدات مستردة على Twitter ، وسيتم إعادة توجيه المستخدمين إلى مواقع التصيد الاحتيالي بعد النقر ، لذلك يجب أن يكونوا أكثر يقظة. عند البحث عن الحساب الرسمي على Twitter ، ابحث عن شهادة V الزرقاء - يستخدم الحساب المزيف شهادة V الذهبية لإرباك الجمهور ، الحساب الرسمي هو:AtomicWallet.
شاهد النسخة الأصلية
المحتوى هو للمرجعية فقط، وليس دعوة أو عرضًا. لا يتم تقديم أي مشورة استثمارية أو ضريبية أو قانونية. للمزيد من الإفصاحات حول المخاطر، يُرجى الاطلاع على إخلاء المسؤولية.
هل فقدت المحفظة الذرية 35 مليون دولار ، عن غير قصد أو عن طريق الخطأ الذاتي؟
** بقلم: تشين شياو فنغ **
في نهاية الأسبوع الماضي ، تم اختراق المحفظة المشفرة Atomic Wallet.
وفقًا لإحصاءات المحقق على السلسلة ZachXBT ، تجاوز إجمالي المبلغ المسروق في هذا الهجوم 35 مليون دولار أمريكي ، بما في ذلك BTC و ETH و USDT و Tron و BSC و ADA و Ripple و Polkadot و Cosmos و Algo و Avax و XLM و LTC و Doge ، إلخ. الأصول ؛ أكبر خسارة شخصية كانت 7.95 مليون دولار أمريكي (إصدار TRC) ، وبلغت الخسائر التراكمية للضحايا الخمسة الأوائل حوالي 17 مليون دولار أمريكي ، أي ما يقرب من النصف.
في 3 يونيو ، نشر عدد من مستخدمي Atomic Wallet على وسائل التواصل الاجتماعي أن أصول محفظتهم قد سُرقت. ثم نشرت Atomic Wallet: "لقد تلقينا تقارير عن سرقة المحفظة ونبذل قصارى جهدنا للتحقيق في السبب وتحليله. إذا كان هناك هي المزيد من الأخبار ذات الصلة سيتم إصدارها في أقرب وقت ممكن ".
بعد الانتظار لمدة يومين تقريبًا ، أصدرت Atomic Wallet رسميًا تغريدة غامضة هذا الصباح ، "حاليًا أقل من 1٪ من المستخدمين النشطين شهريًا قد تأثروا / تم الإبلاغ عنهم ، ويجري تحقيق أمني ؛ وضعت Atomic Wallet الضحية ويتم إخطار العناوين إلى البورصات الكبرى وشركات تحليل blockchain لتتبع ووقف تحويل الأموال المسروقة. " لم تستجب Atomic Wallet لمخاوف المستخدم مثل نواقل هجوم القراصنة ، وكيفية تجنب المخاطر ، والتعويضات اللاحقة.
وجد موقع KOL "Tay" المشفر أن الهجوم الأول حدث في 5:45 يوم 3 يونيو (UTC + 8) ، وأن آخر معاملة مسروقة حدثت في الساعة 23:30 بالتوقيت العالمي المنسق في 3 يونيو (UTC + 8) من خلال جمع عناوين الضحايا. يقوم المتسلل أولاً بجمع الأصول المسروقة إلى عنوان جديد ، ثم يحول كل رمز مميز إلى رمز مميز أساسي للسلسلة من خلال uniswap ، ومقايضة mm ، و sunswap وغيرها من DEXs وينقلها إلى العنوان الجديد مرة أخرى (في انتظار العمليات اللاحقة).
بعد الهجوم ، ساعد بافالو ، الرئيس التنفيذي لشركة جيتو لابز للبنية التحتية للتشفير ، وبريان ، رئيس الأعمال ، ضحية على استرداد مليون دولار من الخسائر.
كيف نفذ المخترق الهجوم؟ يشك مؤسس Btc 21.de "Joko" في وجود "تصحيح ضار" في Atomic Wallet ، والذي سيرسل المفتاح الخاص إلى المهاجم بمجرد فتح المستخدم للتطبيق. يأتي الاستنتاج من مناقشات المجتمع ، حيث قال بعض الضحايا إن أصولهم قد سرقها المتسللون في غضون دقيقة واحدة من تسجيل الدخول إلى Atomic Wallet.
أفاد بعض الضحايا أيضًا أن المفتاح الخاص لحساب Atomic Wallet الخاص بهم لم يتم نسخه احتياطيًا أو التصريح به على منصات أخرى ، ولم يستخدموا بطاقة SIM ، ونادرًا ما يكونون متصلين بشبكة WiFi المنزلية الخاصة بهم ، لكن جميع أصول ADA لا تزال مسروقة من قبل المتسللين . ومع ذلك ، هناك تفصيل واحد جدير بالملاحظة ، وهو أن المستخدم يستخدم Atomic Wallet Android الإصدار 1.13.20 ، والإصدار الأحدث هو 1.15.1 (تم التحديث في 23 مايو 2023) ، وبالتالي فإن احتمال وجود ثغرة أمنية في الإصدار القديم من لا يمكن استبعاد المحفظة.
حلل "تاي" أن تطبيق Atomic Wallet لم يتم إنشاؤه بطريقة آمنة ، إما أن قام شخص ما بدفع نسخة ضارة من التطبيق وسرق مفتاح المستخدم ؛ أو قاموا (Atomic Wallet) عن غير قصد بتسجيل مفتاح المستخدم الخاص بخوادمهم الخاصة ، وهي الوصول إليها من قبل الجهات الخبيثة.
تجدر الإشارة إلى أنه منذ عام مضى ، كشفت شركة الأمن Least Authority أن Atomic Wallet بها ثغرات أمنية وحذرت المستخدمين من المخاطر.
في فبراير 2022 ، أصدرت Least Authority تقريرًا يفيد بأن الشركة ، التي تم تعيينها لأول مرة في أوائل عام 2021 لفحص تصميم نظام Atomic وما يقابله من تطبيقات الترميز الأساسية وسطح المكتب والجوّال ، خلصت إلى وجود ثغرات تعرض المستخدمين "لخطر كبير" وأوجه قصور ، تم تقديم التقرير إلى Atomic في أبريل 2021. استجابت أتوميك للنتائج في نوفمبر 2021 ، مشيرة إلى إجراء تحديثات وتحسينات. ومع ذلك ، في مراجعة النسخة المعدلة التي تقدمها Atomic Wallet ، وجدت Least Authority أن عددًا كبيرًا من المشكلات لا يزال بدون حل ويشكل خطرًا أمنيًا على المستخدمين. أصدرت Least Authority رسميًا تحذيرًا للمستخدمين لتحذيرهم من المخاطر وفقًا لمعايير التدقيق وسياسات الإفصاح. ومع ذلك ، فإن هذا التحذير لم يجذب انتباه Atomic Wallet ، وإلى حد ما وضع أيضًا لغمًا مخفيًا لهجوم اليوم.
ردًا على سرقة Atomic Wallet ، علق Yu Xian ، مؤسس شركة الأمان SlowMist: "من المفارقات أن يتم تسليم معلومات حساسة مثل مفتاح ذاكري / خاص إلى محفظة ليست مسؤولة عن الأمان أو مستوى الأمان ليست عالية بما فيه الكفاية. عدم تناسق المعلومات هنا خطير للغاية ، وحتى أنني لا أستطيع الإجابة عن المحافظ الآمنة باستمرار ... يجب إخفاء فن الإستذكار / المفاتيح الخاصة في شرائح التشفير أو البيئات غير المتصلة بالإنترنت أو البيئات الموثوقة ، واستخدام التوقيعات المتعددة / لجنة السياسة النقدية إلى واحدة فقط قليلا من المتاعب ".
من المفهوم أن Atomic Wallet تضع نفسها على أنها تطبيق لامركزي غير أمني ولا يمتلك المفتاح الخاص للمستخدم ، وتدعي أنها تدعم حاليًا أكثر من 1000 عملة مشفرة ولديها أكثر من 5 ملايين مستخدم حول العالم. "تعمل Atomic Wallet كواجهة تمكن المستخدمين من الوصول إلى أموال blockchain الخاصة بهم. تتم حماية المحفظة وعملياتها عن طريق التشفير ، ويتم تخزين البيانات الرئيسية مثل المفاتيح الخاصة والعبارات الاحتياطية بشكل آمن على الجهاز المحلي للمستخدم من خلال خوارزمية تشفير موثوقة. "متفوقة".
نظرًا لطبيعتها غير الحاكمة ، فقد نصت Atomic Wallet بوضوح في شروط الخدمة على أن المطورين ليسوا مسؤولين عن أي ضرر يلحق بالمستخدمين في السلسلة. "لن تكون Atomic Wallet تحت أي ظرف من الظروف مسؤولة عن الأضرار الناجمة عن الخدمات التي تتجاوز 50 دولارًا."
أخيرًا ، نحتاج إلى تذكير جميع الضحايا بأن الحسابات المزيفة التي تتظاهر بأنها Atomic Wallet قد نشرت تغريدات مستردة على Twitter ، وسيتم إعادة توجيه المستخدمين إلى مواقع التصيد الاحتيالي بعد النقر ، لذلك يجب أن يكونوا أكثر يقظة. عند البحث عن الحساب الرسمي على Twitter ، ابحث عن شهادة V الزرقاء - يستخدم الحساب المزيف شهادة V الذهبية لإرباك الجمهور ، الحساب الرسمي هو:AtomicWallet.