Une faille de sécurité a été découverte il y a deux ans, mais elle n'a pas été mise à jour à temps.
Écrit par : Qin Xiaofeng
Le week-end dernier, le portefeuille crypté Atomic Wallet a été piraté.
Selon les statistiques du détective en chaîne ZachXBT, le montant total volé dans cette attaque a dépassé 35 millions de dollars américains, impliquant BTC, ETH, USDT, Tron, BSC, ADA, Ripple, Polkadot, Cosmos, Algo, Avax, XLM, LTC et Doge, etc. Actifs ; la plus grande perte personnelle était de 7,95 millions USDT (version TRC), et les pertes cumulées des cinq principales victimes étaient d'environ 17 millions de dollars américains, soit près de la moitié.
Le 3 juin, un certain nombre d'utilisateurs d'Atomic Wallet ont publié sur les réseaux sociaux que les actifs de leur portefeuille avaient été volés. Atomic Wallet a ensuite publié : "Nous avons reçu des rapports de vol de portefeuille et faisons tout ce que nous pouvons pour enquêter et analyser la cause. S'il y a sont plus Des nouvelles plus pertinentes seront publiées dès que possible.
Après avoir attendu près de deux jours, Atomic Wallet a officiellement publié un tweet ambigu ce matin, "Actuellement moins de 1% des utilisateurs actifs mensuels ont été affectés/signalés, et une enquête de sécurité est en cours ; Atomic Wallet a placé la victime Les adresses sont notifiées aux principales bourses et sociétés d'analyse de blockchain pour retracer et arrêter le transfert de fonds volés. Atomic Wallet n'a pas répondu aux préoccupations des utilisateurs telles que les vecteurs d'attaque de pirates, comment éviter les risques et les compensations ultérieures.
KOL "Tay" crypté a découvert que la première attaque s'est produite à 5h45 le 3 juin (UTC+ 8 ) et que la dernière transaction volée s'est produite à 23h30 UTC le 3 juin (UTC+ 8 ) en collectant les adresses des victimes. le pirate collecte d'abord les actifs volés à une nouvelle adresse, puis convertit chaque jeton en jeton de base de la chaîne via uniswap, mm swap, sunswap et autres DEX et les transfère à nouveau à la nouvelle adresse (en attendant les opérations suivantes).
Après l'attaque, buffalu, PDG de la société d'infrastructure de chiffrement Jito Labs, et Brian, chef d'entreprise, ont aidé une victime à récupérer 1 million de dollars de pertes.
Comment le pirate a-t-il réussi l'attaque ? Le fondateur de Btc 21.de "Joko" soupçonne qu'il existe un "correctif malveillant" dans Atomic Wallet, qui enverra la clé privée à l'attaquant une fois que l'utilisateur ouvrira l'application. L'inférence provient de discussions communautaires.Certaines victimes ont déclaré que leurs actifs avaient été volés par des pirates dans la minute suivant leur connexion à Atomic Wallet.
(Forum des victimes)
Certaines victimes ont également signalé que la clé privée de leur compte Atomic Wallet n'a jamais été sauvegardée ou autorisée sur d'autres plates-formes, et qu'elles n'utilisaient pas de carte SIM et se connectaient rarement à leur WiFi domestique, mais tous les actifs ADA étaient toujours volés par des pirates. . Cependant, il y a un détail à noter : l'utilisateur utilise Atomic Wallet Android version 1.13.20, et la dernière version est 1.15.1 (mise à jour le 23 mai 2023), il n'est donc pas exclu qu'il puisse y avoir des failles de sécurité. dans l'ancienne version du portefeuille.
"Tay" a analysé que l'application d'Atomic Wallet n'était pas construite de manière sécurisée, soit quelqu'un a poussé une version malveillante de l'application et a volé la clé de l'utilisateur ; ou ils (Atomic Wallet) ont enregistré par inadvertance la clé privée de l'utilisateur sur leurs propres serveurs, qui sont accessibles par des acteurs malveillants.
Il convient de noter qu'il y a un an déjà, la société de sécurité Least Authority a révélé qu'Atomic Wallet présentait des failles de sécurité et a averti les utilisateurs des risques.
(Annonce de moindre autorité)
En février 2022, la moindre autorité a publié un rapport indiquant que la société, embauchée pour la première fois au début de 2021 pour examiner la conception du système d'Atomic et ses implémentations de codage de base, de bureau et mobiles correspondantes, a conclu qu'il existait des vulnérabilités qui exposaient les utilisateurs à un "risque important" et des lacunes. , le rapport a été soumis à Atomic en avril 2021. Atomic a répondu aux conclusions en novembre 2021, indiquant que des mises à jour et des améliorations avaient été apportées. Cependant, en examinant la version modifiée proposée par Atomic Wallet, Least Authority a constaté qu'un grand nombre de problèmes restaient non résolus et posaient un risque de sécurité pour les utilisateurs. La moindre autorité a officiellement émis un avertissement aux utilisateurs pour avertir des risques conformément aux normes d'audit et aux politiques de divulgation. Cependant, cet avertissement n'a toujours pas attiré l'attention d'Atomic Wallet et, dans une certaine mesure, il a également posé une mine cachée pour l'attaque d'aujourd'hui.
En réponse au vol d'Atomic Wallet, Yu Xian, fondateur de la société de sécurité SlowMist, a commenté : « Il est ironique que des informations aussi sensibles que la clé mnémonique/privée soient transmises à un portefeuille qui n'est pas responsable de la sécurité ou du niveau de sécurité. n'est pas assez élevé. L'asymétrie des informations ici est trop grave, et même moi, je peux difficilement dire quels portefeuilles sont sécurisés en permanence... les mnémoniques/clés privées doivent être cachées dans des puces de chiffrement, des environnements hors ligne ou des environnements de confiance, et utiliser la multi-signature/ MPC à single Juste un peu de mal."
Il est entendu qu'Atomic Wallet se positionne comme une application décentralisée, non dépositaire, qui ne possède pas la clé privée de l'utilisateur, prétend prendre en charge actuellement plus de 1 000 crypto-monnaies et compte plus de 5 millions d'utilisateurs dans le monde. "Atomic Wallet agit comme une interface qui permet aux utilisateurs d'accéder à leurs fonds blockchain. Le portefeuille et ses opérations sont protégés par cryptage, et les données clés telles que les clés privées et les phrases de sauvegarde sont stockées en toute sécurité sur l'appareil local de l'utilisateur grâce à un algorithme de cryptage fiable. « supérieur ».
En raison de sa nature non dépositaire, Atomic Wallet a également clairement indiqué dans les conditions d'utilisation que les développeurs ne sont pas responsables des dommages subis par les utilisateurs de la chaîne. "Atomic Wallet ne sera en aucun cas responsable des dommages causés par des services dépassant 50 $."
Enfin, nous devons rappeler à toutes les victimes que de faux comptes prétendant être Atomic Wallet ont publié des tweets de remboursement sur Twitter, et les utilisateurs seront redirigés vers des sites Web de phishing après avoir cliqué, ils doivent donc être plus vigilants. Lorsque vous recherchez le compte officiel sur Twitter, recherchez la certification Blue V - le faux compte utilise la certification Gold V pour confondre le public, le compte officiel est : @AtomicWallet.
Voir l'original
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
Le portefeuille atomique piraté a perdu 35 millions de dollars, par inadvertance ou de façon tortueuse À blâmer ?
Écrit par : Qin Xiaofeng
Le week-end dernier, le portefeuille crypté Atomic Wallet a été piraté.
Selon les statistiques du détective en chaîne ZachXBT, le montant total volé dans cette attaque a dépassé 35 millions de dollars américains, impliquant BTC, ETH, USDT, Tron, BSC, ADA, Ripple, Polkadot, Cosmos, Algo, Avax, XLM, LTC et Doge, etc. Actifs ; la plus grande perte personnelle était de 7,95 millions USDT (version TRC), et les pertes cumulées des cinq principales victimes étaient d'environ 17 millions de dollars américains, soit près de la moitié.
Le 3 juin, un certain nombre d'utilisateurs d'Atomic Wallet ont publié sur les réseaux sociaux que les actifs de leur portefeuille avaient été volés. Atomic Wallet a ensuite publié : "Nous avons reçu des rapports de vol de portefeuille et faisons tout ce que nous pouvons pour enquêter et analyser la cause. S'il y a sont plus Des nouvelles plus pertinentes seront publiées dès que possible.
Après avoir attendu près de deux jours, Atomic Wallet a officiellement publié un tweet ambigu ce matin, "Actuellement moins de 1% des utilisateurs actifs mensuels ont été affectés/signalés, et une enquête de sécurité est en cours ; Atomic Wallet a placé la victime Les adresses sont notifiées aux principales bourses et sociétés d'analyse de blockchain pour retracer et arrêter le transfert de fonds volés. Atomic Wallet n'a pas répondu aux préoccupations des utilisateurs telles que les vecteurs d'attaque de pirates, comment éviter les risques et les compensations ultérieures.
KOL "Tay" crypté a découvert que la première attaque s'est produite à 5h45 le 3 juin (UTC+ 8 ) et que la dernière transaction volée s'est produite à 23h30 UTC le 3 juin (UTC+ 8 ) en collectant les adresses des victimes. le pirate collecte d'abord les actifs volés à une nouvelle adresse, puis convertit chaque jeton en jeton de base de la chaîne via uniswap, mm swap, sunswap et autres DEX et les transfère à nouveau à la nouvelle adresse (en attendant les opérations suivantes).
Après l'attaque, buffalu, PDG de la société d'infrastructure de chiffrement Jito Labs, et Brian, chef d'entreprise, ont aidé une victime à récupérer 1 million de dollars de pertes.
Comment le pirate a-t-il réussi l'attaque ? Le fondateur de Btc 21.de "Joko" soupçonne qu'il existe un "correctif malveillant" dans Atomic Wallet, qui enverra la clé privée à l'attaquant une fois que l'utilisateur ouvrira l'application. L'inférence provient de discussions communautaires.Certaines victimes ont déclaré que leurs actifs avaient été volés par des pirates dans la minute suivant leur connexion à Atomic Wallet.
(Forum des victimes)
Certaines victimes ont également signalé que la clé privée de leur compte Atomic Wallet n'a jamais été sauvegardée ou autorisée sur d'autres plates-formes, et qu'elles n'utilisaient pas de carte SIM et se connectaient rarement à leur WiFi domestique, mais tous les actifs ADA étaient toujours volés par des pirates. . Cependant, il y a un détail à noter : l'utilisateur utilise Atomic Wallet Android version 1.13.20, et la dernière version est 1.15.1 (mise à jour le 23 mai 2023), il n'est donc pas exclu qu'il puisse y avoir des failles de sécurité. dans l'ancienne version du portefeuille.
"Tay" a analysé que l'application d'Atomic Wallet n'était pas construite de manière sécurisée, soit quelqu'un a poussé une version malveillante de l'application et a volé la clé de l'utilisateur ; ou ils (Atomic Wallet) ont enregistré par inadvertance la clé privée de l'utilisateur sur leurs propres serveurs, qui sont accessibles par des acteurs malveillants.
Il convient de noter qu'il y a un an déjà, la société de sécurité Least Authority a révélé qu'Atomic Wallet présentait des failles de sécurité et a averti les utilisateurs des risques.
(Annonce de moindre autorité)
En février 2022, la moindre autorité a publié un rapport indiquant que la société, embauchée pour la première fois au début de 2021 pour examiner la conception du système d'Atomic et ses implémentations de codage de base, de bureau et mobiles correspondantes, a conclu qu'il existait des vulnérabilités qui exposaient les utilisateurs à un "risque important" et des lacunes. , le rapport a été soumis à Atomic en avril 2021. Atomic a répondu aux conclusions en novembre 2021, indiquant que des mises à jour et des améliorations avaient été apportées. Cependant, en examinant la version modifiée proposée par Atomic Wallet, Least Authority a constaté qu'un grand nombre de problèmes restaient non résolus et posaient un risque de sécurité pour les utilisateurs. La moindre autorité a officiellement émis un avertissement aux utilisateurs pour avertir des risques conformément aux normes d'audit et aux politiques de divulgation. Cependant, cet avertissement n'a toujours pas attiré l'attention d'Atomic Wallet et, dans une certaine mesure, il a également posé une mine cachée pour l'attaque d'aujourd'hui.
En réponse au vol d'Atomic Wallet, Yu Xian, fondateur de la société de sécurité SlowMist, a commenté : « Il est ironique que des informations aussi sensibles que la clé mnémonique/privée soient transmises à un portefeuille qui n'est pas responsable de la sécurité ou du niveau de sécurité. n'est pas assez élevé. L'asymétrie des informations ici est trop grave, et même moi, je peux difficilement dire quels portefeuilles sont sécurisés en permanence... les mnémoniques/clés privées doivent être cachées dans des puces de chiffrement, des environnements hors ligne ou des environnements de confiance, et utiliser la multi-signature/ MPC à single Juste un peu de mal."
Il est entendu qu'Atomic Wallet se positionne comme une application décentralisée, non dépositaire, qui ne possède pas la clé privée de l'utilisateur, prétend prendre en charge actuellement plus de 1 000 crypto-monnaies et compte plus de 5 millions d'utilisateurs dans le monde. "Atomic Wallet agit comme une interface qui permet aux utilisateurs d'accéder à leurs fonds blockchain. Le portefeuille et ses opérations sont protégés par cryptage, et les données clés telles que les clés privées et les phrases de sauvegarde sont stockées en toute sécurité sur l'appareil local de l'utilisateur grâce à un algorithme de cryptage fiable. « supérieur ».
En raison de sa nature non dépositaire, Atomic Wallet a également clairement indiqué dans les conditions d'utilisation que les développeurs ne sont pas responsables des dommages subis par les utilisateurs de la chaîne. "Atomic Wallet ne sera en aucun cas responsable des dommages causés par des services dépassant 50 $."
Enfin, nous devons rappeler à toutes les victimes que de faux comptes prétendant être Atomic Wallet ont publié des tweets de remboursement sur Twitter, et les utilisateurs seront redirigés vers des sites Web de phishing après avoir cliqué, ils doivent donc être plus vigilants. Lorsque vous recherchez le compte officiel sur Twitter, recherchez la certification Blue V - le faux compte utilise la certification Gold V pour confondre le public, le compte officiel est : @AtomicWallet.