Se descubrió una vulnerabilidad de seguridad hace dos años, pero no se actualizó a tiempo.
Escrito por: Qin Xiaofeng
El fin de semana pasado, la billetera encriptada Atomic Wallet fue pirateada.
Según las estadísticas del detective en cadena ZachXBT, la cantidad total robada en este ataque superó los 35 millones de dólares estadounidenses, involucrando BTC, ETH, USDT, Tron, BSC, ADA, Ripple, Polkadot, Cosmos, Algo, Avax, XLM, LTC y Doge, etc.. Activos: la pérdida personal más grande fue de 7,95 millones de USDT (versión TRC), y las cinco víctimas principales tuvieron una pérdida acumulada de alrededor de 17 millones de dólares estadounidenses, lo que representa casi la mitad.
El 3 de junio, varios usuarios de Atomic Wallet publicaron en las redes sociales que sus activos de billetera habían sido robados. Atomic Wallet luego publicó: "Hemos recibido informes de robo de billetera y estamos haciendo todo lo posible para investigar y analizar la causa. Si hay son más Se publicarán noticias más relevantes lo antes posible”.
Después de esperar casi dos días, Atomic Wallet publicó oficialmente un tuit ambiguo esta mañana: "Actualmente, menos del 1 % de los usuarios activos mensuales han sido afectados/informados y se está realizando una investigación de seguridad; Atomic Wallet ha colocado a la víctima. Las direcciones están notificadas". a las principales casas de cambio y empresas de análisis de blockchain para rastrear y detener la transferencia de fondos robados". Atomic Wallet no respondió a las inquietudes de los usuarios, como los vectores de ataque de piratas informáticos, cómo evitar riesgos y la compensación posterior.
El KOL encriptado "Tay" encontró que el primer ataque ocurrió a las 5:45 el 3 de junio (UTC+ 8), y la última transacción robada ocurrió a las 23:30 UTC del 3 de junio (UTC+ 8) al recopilar las direcciones de las víctimas. El hacker primero recopila los activos robados en una nueva dirección y luego convierte cada token en el token básico de la cadena a través de uniswap, mm swap, sunswap y otros DEX y los transfiere a la nueva dirección nuevamente (esperando las operaciones posteriores).
Después del ataque, buffalu, director ejecutivo de la empresa de infraestructura de encriptación Jito Labs, y Brian, jefe de negocios, ayudaron a una víctima a recuperar $1 millón en pérdidas.
¿Cómo logró el hacker el ataque? El fundador de Btc 21.de "Joko" sospecha que hay un "parche malicioso" en Atomic Wallet, que enviará la clave privada al atacante una vez que el usuario abra la aplicación. La inferencia proviene de las discusiones de la comunidad: algunas víctimas dijeron que los piratas informáticos robaron sus activos al minuto de iniciar sesión en Atomic Wallet.
(Foro de víctimas)
Algunas víctimas también informaron que la clave privada de su cuenta de Atomic Wallet nunca ha sido respaldada ni autorizada en otras plataformas, y no usaron una tarjeta SIM, y rara vez se conectaron a su WiFi doméstico, pero los piratas informáticos robaron todos los activos de ADA. . Sin embargo, hay un detalle a destacar, el usuario está usando Atomic Wallet Android versión 1.13.20, y la última versión es la 1.15.1 (actualizada el 23 de mayo de 2023), por lo que no se descarta que pueda haber vulnerabilidades de seguridad. en la versión antigua de la billetera.
"Tay" analizó que la aplicación de Atomic Wallet no se creó de manera segura, ya sea que alguien envió una versión maliciosa de la aplicación y robó la clave del usuario; o ellos (Atomic Wallet) sin darse cuenta registraron la clave privada del usuario en sus propios servidores, que son accedido por actores malintencionados.
Cabe señalar que ya hace un año, la empresa de seguridad Least Authority reveló que Atomic Wallet tenía vulnerabilidades de seguridad y advirtió a los usuarios sobre los riesgos.
(Anuncio de la Autoridad Menor)
En febrero de 2022, Least Authority publicó un informe que indica que la empresa, contratada por primera vez a principios de 2021 para examinar el diseño del sistema de Atomic y sus correspondientes implementaciones de codificación central, de escritorio y móvil, concluyó que había vulnerabilidades que ponían a los usuarios en un "riesgo significativo" y deficiencias , el informe se envió a Atomic en abril de 2021. Atomic respondió a los hallazgos en noviembre de 2021, indicando que se habían realizado actualizaciones y mejoras. Sin embargo, al revisar la versión modificada ofrecida por Atomic Wallet, Least Authority descubrió que una gran cantidad de problemas permanecían sin resolver y representaban un riesgo de seguridad para los usuarios. Least Authority emitió oficialmente una advertencia a los usuarios para advertir sobre los riesgos de acuerdo con los estándares de auditoría y las políticas de divulgación. Sin embargo, esta advertencia aún no atrajo la atención de Atomic Wallet y, en cierta medida, también colocó una mina oculta para el ataque de hoy.
En respuesta al robo de Atomic Wallet, Yu Xian, fundador de la empresa de seguridad SlowMist, comentó: "Es irónico que información tan confidencial como la clave mnemotécnica/privada se entregue a una billetera que no es responsable de la seguridad ni del nivel de seguridad". no es lo suficientemente alto La asimetría de la información aquí es demasiado grave, e incluso yo apenas puedo responder qué billeteras son continuamente seguras ... mnemónicos / claves privadas deben estar ocultas en chips de cifrado, entornos fuera de línea o entornos confiables, y usar firma múltiple / MPC a single Solo un poco de problemas".
Se entiende que Atomic Wallet se posiciona como una aplicación descentralizada, sin custodia que no posee la clave privada del usuario.Afirma admitir actualmente más de 1,000 criptomonedas y tiene más de 5 millones de usuarios en todo el mundo. "Atomic Wallet actúa como una interfaz que permite a los usuarios acceder a sus fondos de cadena de bloques. La billetera y sus operaciones están protegidas por encriptación, y los datos clave, como claves privadas y frases de respaldo, se almacenan de forma segura en el dispositivo local del usuario a través de un algoritmo de encriptación confiable. "superior".
Debido a su naturaleza sin custodia, Atomic Wallet también establece claramente en los términos de servicio que los desarrolladores no son responsables de ningún daño sufrido por los usuarios en la cadena. "Bajo ninguna circunstancia, Atomic Wallet será responsable de los daños causados por servicios que excedan los $50".
Finalmente, debemos recordar a todas las víctimas que las cuentas falsas que se hacen pasar por Atomic Wallet han publicado tweets de reembolso en Twitter, y los usuarios serán redirigidos a sitios web de phishing después de hacer clic, por lo que deben estar más atentos. Cuando busque la cuenta oficial en Twitter, busque la certificación V azul: la cuenta falsa utiliza la certificación V dorada para confundir al público, la cuenta oficial es: @AtomicWallet.
Ver originales
El contenido es solo de referencia, no una solicitud u oferta. No se proporciona asesoramiento fiscal, legal ni de inversión. Consulte el Descargo de responsabilidad para obtener más información sobre los riesgos.
La billetera atómica pirateada perdió $ 35 millones, sin darse cuenta o tortuosamente ¿A quién culpar?
Escrito por: Qin Xiaofeng
El fin de semana pasado, la billetera encriptada Atomic Wallet fue pirateada.
Según las estadísticas del detective en cadena ZachXBT, la cantidad total robada en este ataque superó los 35 millones de dólares estadounidenses, involucrando BTC, ETH, USDT, Tron, BSC, ADA, Ripple, Polkadot, Cosmos, Algo, Avax, XLM, LTC y Doge, etc.. Activos: la pérdida personal más grande fue de 7,95 millones de USDT (versión TRC), y las cinco víctimas principales tuvieron una pérdida acumulada de alrededor de 17 millones de dólares estadounidenses, lo que representa casi la mitad.
El 3 de junio, varios usuarios de Atomic Wallet publicaron en las redes sociales que sus activos de billetera habían sido robados. Atomic Wallet luego publicó: "Hemos recibido informes de robo de billetera y estamos haciendo todo lo posible para investigar y analizar la causa. Si hay son más Se publicarán noticias más relevantes lo antes posible”.
Después de esperar casi dos días, Atomic Wallet publicó oficialmente un tuit ambiguo esta mañana: "Actualmente, menos del 1 % de los usuarios activos mensuales han sido afectados/informados y se está realizando una investigación de seguridad; Atomic Wallet ha colocado a la víctima. Las direcciones están notificadas". a las principales casas de cambio y empresas de análisis de blockchain para rastrear y detener la transferencia de fondos robados". Atomic Wallet no respondió a las inquietudes de los usuarios, como los vectores de ataque de piratas informáticos, cómo evitar riesgos y la compensación posterior.
El KOL encriptado "Tay" encontró que el primer ataque ocurrió a las 5:45 el 3 de junio (UTC+ 8), y la última transacción robada ocurrió a las 23:30 UTC del 3 de junio (UTC+ 8) al recopilar las direcciones de las víctimas. El hacker primero recopila los activos robados en una nueva dirección y luego convierte cada token en el token básico de la cadena a través de uniswap, mm swap, sunswap y otros DEX y los transfiere a la nueva dirección nuevamente (esperando las operaciones posteriores).
Después del ataque, buffalu, director ejecutivo de la empresa de infraestructura de encriptación Jito Labs, y Brian, jefe de negocios, ayudaron a una víctima a recuperar $1 millón en pérdidas.
¿Cómo logró el hacker el ataque? El fundador de Btc 21.de "Joko" sospecha que hay un "parche malicioso" en Atomic Wallet, que enviará la clave privada al atacante una vez que el usuario abra la aplicación. La inferencia proviene de las discusiones de la comunidad: algunas víctimas dijeron que los piratas informáticos robaron sus activos al minuto de iniciar sesión en Atomic Wallet.
(Foro de víctimas)
Algunas víctimas también informaron que la clave privada de su cuenta de Atomic Wallet nunca ha sido respaldada ni autorizada en otras plataformas, y no usaron una tarjeta SIM, y rara vez se conectaron a su WiFi doméstico, pero los piratas informáticos robaron todos los activos de ADA. . Sin embargo, hay un detalle a destacar, el usuario está usando Atomic Wallet Android versión 1.13.20, y la última versión es la 1.15.1 (actualizada el 23 de mayo de 2023), por lo que no se descarta que pueda haber vulnerabilidades de seguridad. en la versión antigua de la billetera.
"Tay" analizó que la aplicación de Atomic Wallet no se creó de manera segura, ya sea que alguien envió una versión maliciosa de la aplicación y robó la clave del usuario; o ellos (Atomic Wallet) sin darse cuenta registraron la clave privada del usuario en sus propios servidores, que son accedido por actores malintencionados.
Cabe señalar que ya hace un año, la empresa de seguridad Least Authority reveló que Atomic Wallet tenía vulnerabilidades de seguridad y advirtió a los usuarios sobre los riesgos.
(Anuncio de la Autoridad Menor)
En febrero de 2022, Least Authority publicó un informe que indica que la empresa, contratada por primera vez a principios de 2021 para examinar el diseño del sistema de Atomic y sus correspondientes implementaciones de codificación central, de escritorio y móvil, concluyó que había vulnerabilidades que ponían a los usuarios en un "riesgo significativo" y deficiencias , el informe se envió a Atomic en abril de 2021. Atomic respondió a los hallazgos en noviembre de 2021, indicando que se habían realizado actualizaciones y mejoras. Sin embargo, al revisar la versión modificada ofrecida por Atomic Wallet, Least Authority descubrió que una gran cantidad de problemas permanecían sin resolver y representaban un riesgo de seguridad para los usuarios. Least Authority emitió oficialmente una advertencia a los usuarios para advertir sobre los riesgos de acuerdo con los estándares de auditoría y las políticas de divulgación. Sin embargo, esta advertencia aún no atrajo la atención de Atomic Wallet y, en cierta medida, también colocó una mina oculta para el ataque de hoy.
En respuesta al robo de Atomic Wallet, Yu Xian, fundador de la empresa de seguridad SlowMist, comentó: "Es irónico que información tan confidencial como la clave mnemotécnica/privada se entregue a una billetera que no es responsable de la seguridad ni del nivel de seguridad". no es lo suficientemente alto La asimetría de la información aquí es demasiado grave, e incluso yo apenas puedo responder qué billeteras son continuamente seguras ... mnemónicos / claves privadas deben estar ocultas en chips de cifrado, entornos fuera de línea o entornos confiables, y usar firma múltiple / MPC a single Solo un poco de problemas".
Se entiende que Atomic Wallet se posiciona como una aplicación descentralizada, sin custodia que no posee la clave privada del usuario.Afirma admitir actualmente más de 1,000 criptomonedas y tiene más de 5 millones de usuarios en todo el mundo. "Atomic Wallet actúa como una interfaz que permite a los usuarios acceder a sus fondos de cadena de bloques. La billetera y sus operaciones están protegidas por encriptación, y los datos clave, como claves privadas y frases de respaldo, se almacenan de forma segura en el dispositivo local del usuario a través de un algoritmo de encriptación confiable. "superior".
Debido a su naturaleza sin custodia, Atomic Wallet también establece claramente en los términos de servicio que los desarrolladores no son responsables de ningún daño sufrido por los usuarios en la cadena. "Bajo ninguna circunstancia, Atomic Wallet será responsable de los daños causados por servicios que excedan los $50".
Finalmente, debemos recordar a todas las víctimas que las cuentas falsas que se hacen pasar por Atomic Wallet han publicado tweets de reembolso en Twitter, y los usuarios serán redirigidos a sitios web de phishing después de hacer clic, por lo que deben estar más atentos. Cuando busque la cuenta oficial en Twitter, busque la certificación V azul: la cuenta falsa utiliza la certificación V dorada para confundir al público, la cuenta oficial es: @AtomicWallet.