セキュリティ上の脆弱性が 2 年前に発見されましたが、更新が間に合わなかったのです。
作者: 秦暁峰
先週末、暗号化ウォレットAtomic Walletがハッキングされました。
オンチェーン探偵 ZachXBT の統計によると、この攻撃で盗まれた総額は 3,500 万米ドルを超えており、BTC、ETH、USDT、Tron、BSC、ADA、Ripple、Polkadot、Cosmos、Algo、Avax、XLM、 LTC、Dogeらの資産;個人損失の最大額は795万USDT(TRC版)で、被害者上位5人の累積損失は約1,700万米ドルで、ほぼ半分を占めた。
6月3日、多数のアトミックウォレットユーザーがウォレット資産が盗まれたとソーシャルメディアに投稿し、アトミックウォレットは「ウォレット盗難の報告を受けており、原因の調査と分析に全力を尽くしている。もしあれば」と投稿した。もっと関連性の高いニュースができるだけ早くリリースされる予定です。」
2日近く待った後、アトミックウォレットは今朝、曖昧なツイートを正式に発表、「現在、月間アクティブユーザーの1%未満が影響を受けている/報告されており、セキュリティ調査が進行中です。アトミックウォレットは被害者を出しており、アドレスは通知されています」主要な取引所やブロックチェーン分析会社に、盗まれた資金の移動を追跡し阻止するよう要請する。」アトミックウォレットは、ハッカーの攻撃ベクトル、リスクの回避方法、その後の補償などのユーザーの懸念に応えていませんでした。
暗号化された KOL「Tay」は、被害者のアドレスを収集することで、最初の攻撃が 6 月 3 日の 5:45 (UTC+ 8) に発生し、最後に盗まれたトランザクションが 6 月 3 日の 23:30 UTC (UTC+ 8) に発生したことを発見しました。ハッカーはまず盗んだ資産を新しいアドレスに収集し、次に uniswap、mm swap、sunswap、その他の DEX を通じて各トークンをチェーンの基本トークンに変換し、それを再び新しいアドレスに転送します (後続の操作を待ちます)。
攻撃後、暗号化インフラストラクチャ会社 Jito Labs の CEO buffalu とビジネス責任者の Brian は、被害者が 100 万ドルの損失を取り戻せるよう支援しました。
ハッカーはどのようにして攻撃を達成したのでしょうか? Btc 21.de の創設者「Joko」は、Atomic Wallet に「悪意のあるパッチ」が存在し、ユーザーがアプリケーションを開くと秘密鍵を攻撃者に送信するのではないかと疑っています。この推論はコミュニティでの議論から得たもので、一部の被害者は、アトミック ウォレットにログインしてから 1 分以内にハッカーによって資産が盗まれたと述べています。
(被害者フォーラム)
また、一部の被害者は、Atomic Wallet アカウントの秘密キーが他のプラットフォームでバックアップも認証もされておらず、SIM カードも使用しておらず、自宅の WiFi にもめったに接続していないと報告しましたが、依然としてすべての ADA 資産がハッカーによって盗まれていました。ただし、注意すべき点が 1 つあり、ユーザーは Atomic Wallet Android バージョン 1.13.20 を使用しており、最新バージョンは 1.15.1 (2023 年 5 月 23 日に更新) であるため、セキュリティ上の脆弱性が存在する可能性が排除されません。古いバージョンのウォレットでは。
「テイ」は、アトミック ウォレットのアプリケーションは安全な方法で構築されておらず、誰かが悪意のあるバージョンのアプリケーションをプッシュしてユーザーのキーを盗んだか、または彼ら (アトミック ウォレット) が誤ってユーザーの秘密キーを自身のサーバーに記録したかのいずれかであると分析しました。悪意のある攻撃者によってアクセスされました。
注目すべきは、セキュリティ会社の Least Authority が 1 年前にも Atomic Wallet にセキュリティ上の脆弱性があることを明らかにし、ユーザーにそのリスクを警告していたことです。
(最小権限の発表)
2022年2月、最小権限機関は報告書を発表し、同社は2021年初めにAtomicのシステム設計とそれに対応するコア、デスクトップ、モバイルのコーディング実装を調査するために初めて雇用されたが、ユーザーを「重大なリスク」にさらす脆弱性と欠陥が存在すると結論付けたと述べた。 、レポートは2021年4月にアトミックに提出されました。アトミックは2021年11月に調査結果に返答し、更新と改善が行われたことを示した。しかし、Atomic Wallet が提供する修正バージョンをレビューしたところ、Least Authority は多数の問題が未解決のままであり、ユーザーにセキュリティ上のリスクをもたらしていることを発見しました。 Least Authorityは、監査基準と開示ポリシーに従ってリスクを警告するようユーザーに正式に警告を発した。しかし、この警告は依然として Atomic Wallet の注意を引くことはなく、ある程度、今日の攻撃に対する隠れた地雷を敷設することにもなりました。
アトミックウォレットの盗難を受けて、セキュリティ会社スローミストの創設者ユー・シアン氏は「ニーモニックや秘密鍵などの機密情報が、セキュリティやセキュリティレベルに責任を持たないウォレットに渡されるのは皮肉なことだ」とコメントした。ここでの情報の非対称性は深刻すぎて、どのウォレットが継続的に安全であるかを答えることは私でもほとんどできません...ニーモニック/秘密鍵は暗号化チップ、オフライン環境、または信頼できる環境に隠され、マルチ署名/を使用する必要があります。 MPCからシングルへ ちょっとしたトラブルです。」
Atomic Wallet は、ユーザーの秘密鍵を所有しない分散型の非保管アプリケーションとして自らを位置づけており、現在 1,000 以上の暗号通貨をサポートしており、世界中で 500 万人以上のユーザーがいると主張しています。 「アトミック ウォレットは、ユーザーがブロックチェーン ファンドにアクセスできるようにするインターフェイスとして機能します。ウォレットとその操作は暗号化によって保護されており、秘密キーやバックアップ フレーズなどの重要なデータは、信頼できる暗号化アルゴリズムを通じてユーザーのローカル デバイスに安全に保存されます。 「優れている。」
また、Atomic Wallet はその非管理的な性質により、チェーン上でユーザーが被った損害に対して開発者は責任を負わないことを利用規約に明確に記載しています。 「いかなる状況においても、Atomic Wallet は 50 ドルを超えるサービスによって生じた損害に対して責任を負いません。」
最後に、被害者全員に注意していただきたいのは、Atomic Wallet を騙る偽アカウントが Twitter 上に返金ツイートを投稿しており、ユーザーがクリックするとフィッシング Web サイトにリダイレクトされるため、より警戒する必要があるということです。 Twitter で公式アカウントを検索するときは、青い V 認証を探してください。偽のアカウントは一般の人々を混乱させるために金の V 認証を使用しています。公式アカウントは @AtomicWallet です。
254407 投稿
241958 投稿
155842 投稿
80165 投稿
66692 投稿
65292 投稿
60793 投稿
59384 投稿
52094 投稿
50468 投稿
アトミックウォレットがハッキングされ3,500万ドル損失、不注意か自業自得か?
作者: 秦暁峰
先週末、暗号化ウォレットAtomic Walletがハッキングされました。
オンチェーン探偵 ZachXBT の統計によると、この攻撃で盗まれた総額は 3,500 万米ドルを超えており、BTC、ETH、USDT、Tron、BSC、ADA、Ripple、Polkadot、Cosmos、Algo、Avax、XLM、 LTC、Dogeらの資産;個人損失の最大額は795万USDT(TRC版)で、被害者上位5人の累積損失は約1,700万米ドルで、ほぼ半分を占めた。
6月3日、多数のアトミックウォレットユーザーがウォレット資産が盗まれたとソーシャルメディアに投稿し、アトミックウォレットは「ウォレット盗難の報告を受けており、原因の調査と分析に全力を尽くしている。もしあれば」と投稿した。もっと関連性の高いニュースができるだけ早くリリースされる予定です。」
2日近く待った後、アトミックウォレットは今朝、曖昧なツイートを正式に発表、「現在、月間アクティブユーザーの1%未満が影響を受けている/報告されており、セキュリティ調査が進行中です。アトミックウォレットは被害者を出しており、アドレスは通知されています」主要な取引所やブロックチェーン分析会社に、盗まれた資金の移動を追跡し阻止するよう要請する。」アトミックウォレットは、ハッカーの攻撃ベクトル、リスクの回避方法、その後の補償などのユーザーの懸念に応えていませんでした。
暗号化された KOL「Tay」は、被害者のアドレスを収集することで、最初の攻撃が 6 月 3 日の 5:45 (UTC+ 8) に発生し、最後に盗まれたトランザクションが 6 月 3 日の 23:30 UTC (UTC+ 8) に発生したことを発見しました。ハッカーはまず盗んだ資産を新しいアドレスに収集し、次に uniswap、mm swap、sunswap、その他の DEX を通じて各トークンをチェーンの基本トークンに変換し、それを再び新しいアドレスに転送します (後続の操作を待ちます)。
攻撃後、暗号化インフラストラクチャ会社 Jito Labs の CEO buffalu とビジネス責任者の Brian は、被害者が 100 万ドルの損失を取り戻せるよう支援しました。
ハッカーはどのようにして攻撃を達成したのでしょうか? Btc 21.de の創設者「Joko」は、Atomic Wallet に「悪意のあるパッチ」が存在し、ユーザーがアプリケーションを開くと秘密鍵を攻撃者に送信するのではないかと疑っています。この推論はコミュニティでの議論から得たもので、一部の被害者は、アトミック ウォレットにログインしてから 1 分以内にハッカーによって資産が盗まれたと述べています。
(被害者フォーラム)
また、一部の被害者は、Atomic Wallet アカウントの秘密キーが他のプラットフォームでバックアップも認証もされておらず、SIM カードも使用しておらず、自宅の WiFi にもめったに接続していないと報告しましたが、依然としてすべての ADA 資産がハッカーによって盗まれていました。ただし、注意すべき点が 1 つあり、ユーザーは Atomic Wallet Android バージョン 1.13.20 を使用しており、最新バージョンは 1.15.1 (2023 年 5 月 23 日に更新) であるため、セキュリティ上の脆弱性が存在する可能性が排除されません。古いバージョンのウォレットでは。
「テイ」は、アトミック ウォレットのアプリケーションは安全な方法で構築されておらず、誰かが悪意のあるバージョンのアプリケーションをプッシュしてユーザーのキーを盗んだか、または彼ら (アトミック ウォレット) が誤ってユーザーの秘密キーを自身のサーバーに記録したかのいずれかであると分析しました。悪意のある攻撃者によってアクセスされました。
注目すべきは、セキュリティ会社の Least Authority が 1 年前にも Atomic Wallet にセキュリティ上の脆弱性があることを明らかにし、ユーザーにそのリスクを警告していたことです。
(最小権限の発表)
2022年2月、最小権限機関は報告書を発表し、同社は2021年初めにAtomicのシステム設計とそれに対応するコア、デスクトップ、モバイルのコーディング実装を調査するために初めて雇用されたが、ユーザーを「重大なリスク」にさらす脆弱性と欠陥が存在すると結論付けたと述べた。 、レポートは2021年4月にアトミックに提出されました。アトミックは2021年11月に調査結果に返答し、更新と改善が行われたことを示した。しかし、Atomic Wallet が提供する修正バージョンをレビューしたところ、Least Authority は多数の問題が未解決のままであり、ユーザーにセキュリティ上のリスクをもたらしていることを発見しました。 Least Authorityは、監査基準と開示ポリシーに従ってリスクを警告するようユーザーに正式に警告を発した。しかし、この警告は依然として Atomic Wallet の注意を引くことはなく、ある程度、今日の攻撃に対する隠れた地雷を敷設することにもなりました。
アトミックウォレットの盗難を受けて、セキュリティ会社スローミストの創設者ユー・シアン氏は「ニーモニックや秘密鍵などの機密情報が、セキュリティやセキュリティレベルに責任を持たないウォレットに渡されるのは皮肉なことだ」とコメントした。ここでの情報の非対称性は深刻すぎて、どのウォレットが継続的に安全であるかを答えることは私でもほとんどできません...ニーモニック/秘密鍵は暗号化チップ、オフライン環境、または信頼できる環境に隠され、マルチ署名/を使用する必要があります。 MPCからシングルへ ちょっとしたトラブルです。」
Atomic Wallet は、ユーザーの秘密鍵を所有しない分散型の非保管アプリケーションとして自らを位置づけており、現在 1,000 以上の暗号通貨をサポートしており、世界中で 500 万人以上のユーザーがいると主張しています。 「アトミック ウォレットは、ユーザーがブロックチェーン ファンドにアクセスできるようにするインターフェイスとして機能します。ウォレットとその操作は暗号化によって保護されており、秘密キーやバックアップ フレーズなどの重要なデータは、信頼できる暗号化アルゴリズムを通じてユーザーのローカル デバイスに安全に保存されます。 「優れている。」
また、Atomic Wallet はその非管理的な性質により、チェーン上でユーザーが被った損害に対して開発者は責任を負わないことを利用規約に明確に記載しています。 「いかなる状況においても、Atomic Wallet は 50 ドルを超えるサービスによって生じた損害に対して責任を負いません。」
最後に、被害者全員に注意していただきたいのは、Atomic Wallet を騙る偽アカウントが Twitter 上に返金ツイートを投稿しており、ユーザーがクリックするとフィッシング Web サイトにリダイレクトされるため、より警戒する必要があるということです。 Twitter で公式アカウントを検索するときは、青い V 認証を探してください。偽のアカウントは一般の人々を混乱させるために金の V 認証を使用しています。公式アカウントは @AtomicWallet です。