Kerentanan keamanan ditemukan dua tahun lalu, tetapi tidak diperbarui tepat waktu.
Ditulis oleh: Qin Xiaofeng
Akhir pekan lalu, dompet terenkripsi Dompet Atom diretas.
Menurut statistik detektif on-chain ZachXBT, jumlah total yang dicuri dalam serangan ini telah melebihi 35 juta dolar AS, melibatkan BTC, ETH, USDT, Tron, BSC, ADA, Ripple, Polkadot, Cosmos, Algo, Avax, XLM, LTC dan Doge, dll. Aset; kerugian pribadi terbesar adalah 7,95 juta USDT (versi TRC), dan lima korban teratas memiliki kerugian kumulatif sekitar 17 juta dolar AS, terhitung hampir setengahnya.
Pada tanggal 3 Juni, sejumlah pengguna Dompet Atom memposting di media sosial bahwa aset dompet mereka telah dicuri. Dompet Atom kemudian memposting: "Kami telah menerima laporan pencurian dompet dan sedang melakukan segala yang kami bisa untuk menyelidiki dan menganalisis penyebabnya. Jika ada lebih Berita yang lebih relevan akan dirilis sesegera mungkin.
Setelah menunggu hampir dua hari, Atomic Wallet secara resmi merilis tweet ambigu pagi ini, "Saat ini kurang dari 1% pengguna aktif bulanan telah terpengaruh/dilaporkan, dan penyelidikan keamanan sedang dilakukan; Atomic Wallet telah menempatkan korban Alamatnya diberitahukan ke bursa utama dan firma analisis blockchain untuk melacak dan menghentikan transfer dana yang dicuri.” Dompet Atom tidak menanggapi kekhawatiran pengguna seperti vektor serangan peretas, cara menghindari risiko, dan kompensasi selanjutnya.
KOL terenkripsi "Tay" menemukan bahwa serangan paling awal terjadi pada 5:45 pada 3 Juni (UTC+ 8 ), dan transaksi curian terbaru terjadi pada 23:30 UTC pada 3 Juni (UTC+ 8 ) dengan mengumpulkan alamat para korban. ; peretas pertama-tama mengumpulkan aset yang dicuri ke alamat baru, lalu mengubah setiap token menjadi token dasar rantai melalui uniswap, mm swap, sunswap, dan DEX lainnya dan mentransfernya ke alamat baru lagi (menunggu operasi selanjutnya).
Setelah serangan itu, buffalu, CEO perusahaan infrastruktur enkripsi Jito Labs, dan Brian, kepala bisnis, membantu satu korban memulihkan kerugian sebesar $1 juta.
Bagaimana peretas mencapai serangan itu? Pendiri Btc 21.de "Joko" mencurigai ada "patch berbahaya" di Atomic Wallet, yang akan mengirimkan kunci pribadi ke penyerang begitu pengguna membuka aplikasi. Kesimpulan tersebut berasal dari diskusi komunitas, beberapa korban mengatakan bahwa aset mereka dicuri oleh peretas dalam waktu satu menit setelah masuk ke Atomic Wallet.
(Forum Korban)
Beberapa korban juga melaporkan bahwa kunci pribadi akun Dompet Atom mereka tidak pernah dicadangkan atau diotorisasi pada platform lain, dan mereka tidak menggunakan kartu SIM, dan jarang terhubung ke WiFi rumah mereka, tetapi semua aset ADA masih dicuri oleh peretas. Namun, ada satu detail yang perlu diperhatikan, pengguna menggunakan Atomic Wallet Android versi 1.13.20, dan versi terbaru adalah 1.15.1 (diperbarui pada 23 Mei 2023), sehingga tidak menutup kemungkinan adanya kerentanan keamanan. di dompet versi lama.
"Tay" menganalisis bahwa aplikasi Dompet Atom tidak dibangun dengan cara yang aman, entah seseorang mendorong versi berbahaya dari aplikasi tersebut dan mencuri kunci pengguna; atau mereka (Dompet Atom) secara tidak sengaja merekam kunci pribadi pengguna ke server mereka sendiri, yaitu diakses oleh aktor jahat.
Perlu dicatat bahwa setahun yang lalu, perusahaan keamanan Least Authority mengungkapkan bahwa Atomic Wallet memiliki kerentanan keamanan dan memperingatkan pengguna tentang risikonya.
(Pengumuman Otoritas Terkecil)
Pada bulan Februari 2022, Least Authority merilis laporan yang menyatakan bahwa perusahaan, yang pertama kali disewa pada awal tahun 2021 untuk memeriksa desain sistem Atomic dan implementasi pengkodean inti, desktop, dan seluler yang sesuai, menyimpulkan bahwa ada kerentanan yang menempatkan pengguna pada "risiko signifikan" dan kekurangan. , laporan tersebut diserahkan ke Atomic pada April 2021. Atomic menanggapi temuan tersebut pada November 2021, menunjukkan pembaruan dan peningkatan telah dilakukan. Namun, saat meninjau versi modifikasi yang ditawarkan oleh Atomic Wallet, Least Authority menemukan bahwa sejumlah besar masalah masih belum terselesaikan dan menimbulkan risiko keamanan bagi pengguna. Least Authority secara resmi mengeluarkan peringatan kepada pengguna untuk memperingatkan risiko sesuai dengan standar audit dan kebijakan pengungkapan. Namun, peringatan ini masih tidak menarik perhatian Atomic Wallet, dan sampai batas tertentu juga menjadi ranjau tersembunyi untuk serangan hari ini.
Menanggapi pencurian Dompet Atom, Yu Xian, pendiri perusahaan keamanan SlowMist, berkomentar: "Sungguh ironis bahwa informasi sensitif seperti kunci mnemonik/pribadi diserahkan ke dompet yang tidak bertanggung jawab atas keamanan atau tingkat keamanan. tidak cukup tinggi Asimetri informasi di sini terlalu serius, dan bahkan saya hampir tidak dapat menjawab dompet mana yang terus aman... mnemonik/kunci pribadi harus disembunyikan di chip enkripsi, lingkungan offline atau lingkungan tepercaya, dan gunakan multi-tanda tangan/ MPC ke single Hanya sedikit masalah."
Dapat dipahami bahwa Atomic Wallet memposisikan dirinya sebagai aplikasi non-penahanan terdesentralisasi yang tidak memiliki kunci pribadi pengguna, mengklaim saat ini mendukung lebih dari 1.000 cryptocurrency dan memiliki lebih dari 5 juta pengguna di seluruh dunia. "Dompet Atom bertindak sebagai antarmuka yang memungkinkan pengguna untuk mengakses dana blockchain mereka. Dompet dan operasinya dilindungi oleh enkripsi, dan data kunci seperti kunci pribadi dan frasa cadangan disimpan dengan aman di perangkat lokal pengguna melalui algoritme enkripsi yang andal. "unggulan."
Karena sifatnya yang non-penahanan, Atomic Wallet juga dengan jelas menyatakan dalam ketentuan layanan bahwa pengembang tidak bertanggung jawab atas kerusakan yang dialami oleh pengguna di jaringan. "Dalam keadaan apa pun, Atomic Wallet tidak akan bertanggung jawab atas kerusakan yang disebabkan oleh layanan yang melebihi $50."
Terakhir, kami perlu mengingatkan semua korban bahwa akun palsu yang berpura-pura menjadi Dompet Atom telah memposting tweet pengembalian dana di Twitter, dan pengguna akan dialihkan ke situs web phishing setelah mengklik, jadi mereka harus lebih waspada. Saat mencari akun resmi di Twitter, cari sertifikasi V biru - akun palsu menggunakan sertifikasi V emas untuk membingungkan publik, akun resminya adalah: @AtomicWallet.
Lihat Asli
Konten ini hanya untuk referensi, bukan ajakan atau tawaran. Tidak ada nasihat investasi, pajak, atau hukum yang diberikan. Lihat Penafian untuk pengungkapan risiko lebih lanjut.
Dompet Atom Diretas Kehilangan $35 Juta, Secara Tidak Sengaja atau Menyalahkan Diri Sendiri?
Ditulis oleh: Qin Xiaofeng
Akhir pekan lalu, dompet terenkripsi Dompet Atom diretas.
Menurut statistik detektif on-chain ZachXBT, jumlah total yang dicuri dalam serangan ini telah melebihi 35 juta dolar AS, melibatkan BTC, ETH, USDT, Tron, BSC, ADA, Ripple, Polkadot, Cosmos, Algo, Avax, XLM, LTC dan Doge, dll. Aset; kerugian pribadi terbesar adalah 7,95 juta USDT (versi TRC), dan lima korban teratas memiliki kerugian kumulatif sekitar 17 juta dolar AS, terhitung hampir setengahnya.
Pada tanggal 3 Juni, sejumlah pengguna Dompet Atom memposting di media sosial bahwa aset dompet mereka telah dicuri. Dompet Atom kemudian memposting: "Kami telah menerima laporan pencurian dompet dan sedang melakukan segala yang kami bisa untuk menyelidiki dan menganalisis penyebabnya. Jika ada lebih Berita yang lebih relevan akan dirilis sesegera mungkin.
Setelah menunggu hampir dua hari, Atomic Wallet secara resmi merilis tweet ambigu pagi ini, "Saat ini kurang dari 1% pengguna aktif bulanan telah terpengaruh/dilaporkan, dan penyelidikan keamanan sedang dilakukan; Atomic Wallet telah menempatkan korban Alamatnya diberitahukan ke bursa utama dan firma analisis blockchain untuk melacak dan menghentikan transfer dana yang dicuri.” Dompet Atom tidak menanggapi kekhawatiran pengguna seperti vektor serangan peretas, cara menghindari risiko, dan kompensasi selanjutnya.
KOL terenkripsi "Tay" menemukan bahwa serangan paling awal terjadi pada 5:45 pada 3 Juni (UTC+ 8 ), dan transaksi curian terbaru terjadi pada 23:30 UTC pada 3 Juni (UTC+ 8 ) dengan mengumpulkan alamat para korban. ; peretas pertama-tama mengumpulkan aset yang dicuri ke alamat baru, lalu mengubah setiap token menjadi token dasar rantai melalui uniswap, mm swap, sunswap, dan DEX lainnya dan mentransfernya ke alamat baru lagi (menunggu operasi selanjutnya).
Setelah serangan itu, buffalu, CEO perusahaan infrastruktur enkripsi Jito Labs, dan Brian, kepala bisnis, membantu satu korban memulihkan kerugian sebesar $1 juta.
Bagaimana peretas mencapai serangan itu? Pendiri Btc 21.de "Joko" mencurigai ada "patch berbahaya" di Atomic Wallet, yang akan mengirimkan kunci pribadi ke penyerang begitu pengguna membuka aplikasi. Kesimpulan tersebut berasal dari diskusi komunitas, beberapa korban mengatakan bahwa aset mereka dicuri oleh peretas dalam waktu satu menit setelah masuk ke Atomic Wallet.
(Forum Korban)
Beberapa korban juga melaporkan bahwa kunci pribadi akun Dompet Atom mereka tidak pernah dicadangkan atau diotorisasi pada platform lain, dan mereka tidak menggunakan kartu SIM, dan jarang terhubung ke WiFi rumah mereka, tetapi semua aset ADA masih dicuri oleh peretas. Namun, ada satu detail yang perlu diperhatikan, pengguna menggunakan Atomic Wallet Android versi 1.13.20, dan versi terbaru adalah 1.15.1 (diperbarui pada 23 Mei 2023), sehingga tidak menutup kemungkinan adanya kerentanan keamanan. di dompet versi lama.
"Tay" menganalisis bahwa aplikasi Dompet Atom tidak dibangun dengan cara yang aman, entah seseorang mendorong versi berbahaya dari aplikasi tersebut dan mencuri kunci pengguna; atau mereka (Dompet Atom) secara tidak sengaja merekam kunci pribadi pengguna ke server mereka sendiri, yaitu diakses oleh aktor jahat.
Perlu dicatat bahwa setahun yang lalu, perusahaan keamanan Least Authority mengungkapkan bahwa Atomic Wallet memiliki kerentanan keamanan dan memperingatkan pengguna tentang risikonya.
(Pengumuman Otoritas Terkecil)
Pada bulan Februari 2022, Least Authority merilis laporan yang menyatakan bahwa perusahaan, yang pertama kali disewa pada awal tahun 2021 untuk memeriksa desain sistem Atomic dan implementasi pengkodean inti, desktop, dan seluler yang sesuai, menyimpulkan bahwa ada kerentanan yang menempatkan pengguna pada "risiko signifikan" dan kekurangan. , laporan tersebut diserahkan ke Atomic pada April 2021. Atomic menanggapi temuan tersebut pada November 2021, menunjukkan pembaruan dan peningkatan telah dilakukan. Namun, saat meninjau versi modifikasi yang ditawarkan oleh Atomic Wallet, Least Authority menemukan bahwa sejumlah besar masalah masih belum terselesaikan dan menimbulkan risiko keamanan bagi pengguna. Least Authority secara resmi mengeluarkan peringatan kepada pengguna untuk memperingatkan risiko sesuai dengan standar audit dan kebijakan pengungkapan. Namun, peringatan ini masih tidak menarik perhatian Atomic Wallet, dan sampai batas tertentu juga menjadi ranjau tersembunyi untuk serangan hari ini.
Menanggapi pencurian Dompet Atom, Yu Xian, pendiri perusahaan keamanan SlowMist, berkomentar: "Sungguh ironis bahwa informasi sensitif seperti kunci mnemonik/pribadi diserahkan ke dompet yang tidak bertanggung jawab atas keamanan atau tingkat keamanan. tidak cukup tinggi Asimetri informasi di sini terlalu serius, dan bahkan saya hampir tidak dapat menjawab dompet mana yang terus aman... mnemonik/kunci pribadi harus disembunyikan di chip enkripsi, lingkungan offline atau lingkungan tepercaya, dan gunakan multi-tanda tangan/ MPC ke single Hanya sedikit masalah."
Dapat dipahami bahwa Atomic Wallet memposisikan dirinya sebagai aplikasi non-penahanan terdesentralisasi yang tidak memiliki kunci pribadi pengguna, mengklaim saat ini mendukung lebih dari 1.000 cryptocurrency dan memiliki lebih dari 5 juta pengguna di seluruh dunia. "Dompet Atom bertindak sebagai antarmuka yang memungkinkan pengguna untuk mengakses dana blockchain mereka. Dompet dan operasinya dilindungi oleh enkripsi, dan data kunci seperti kunci pribadi dan frasa cadangan disimpan dengan aman di perangkat lokal pengguna melalui algoritme enkripsi yang andal. "unggulan."
Karena sifatnya yang non-penahanan, Atomic Wallet juga dengan jelas menyatakan dalam ketentuan layanan bahwa pengembang tidak bertanggung jawab atas kerusakan yang dialami oleh pengguna di jaringan. "Dalam keadaan apa pun, Atomic Wallet tidak akan bertanggung jawab atas kerusakan yang disebabkan oleh layanan yang melebihi $50."
Terakhir, kami perlu mengingatkan semua korban bahwa akun palsu yang berpura-pura menjadi Dompet Atom telah memposting tweet pengembalian dana di Twitter, dan pengguna akan dialihkan ke situs web phishing setelah mengklik, jadi mereka harus lebih waspada. Saat mencari akun resmi di Twitter, cari sertifikasi V biru - akun palsu menggunakan sertifikasi V emas untuk membingungkan publik, akun resminya adalah: @AtomicWallet.