Два роки тому було виявлено вразливість безпеки, але її не було вчасно оновлено.
Автор: Qin Xiaofeng
У минулі вихідні зашифрований гаманець Atomic Wallet був зламаний.
Згідно зі статистикою он-чейн-детектива ZachXBT, загальна сума вкраденого в цій атаці перевищила 35 мільйонів доларів США, включаючи BTC, ETH, USDT, Tron, BSC, ADA, Ripple, Polkadot, Cosmos, Algo, Avax, XLM, LTC і Doge тощо. Активи; найбільша особиста втрата склала 7,95 мільйона доларів США (версія TRC), а п’ять найбільших жертв мали загальний збиток приблизно в 17 мільйонів доларів США, що становить майже половину.
3 червня кілька користувачів Atomic Wallet повідомили в соціальних мережах, що активи їхніх гаманців були викрадені. Потім Atomic Wallet опублікував: «Ми отримали повідомлення про крадіжку гаманця і робимо все можливе, щоб розслідувати та проаналізувати причину. Якщо є Більше актуальних новин буде опубліковано якнайшвидше».
Прочекавши майже два дні, сьогодні вранці Atomic Wallet офіційно опублікував неоднозначний твіт: «Наразі менше 1% щомісячних активних користувачів постраждали/повідомлено, і триває розслідування безпеки; Atomic Wallet розмістив жертву. Адреси повідомлені великим біржам і компаніям, які займаються аналізом блокчейнів, щоб відстежити та зупинити передачу вкрадених коштів». Atomic Wallet не відповів на запитання користувачів, такі як вектори хакерських атак, як уникнути ризиків і подальша компенсація.
Зашифрований KOL "Tay" виявив, що найраніша атака сталася о 5:45 3 червня (UTC+ 8), а остання викрадена транзакція сталася о 23:30 UTC 3 червня (UTC+ 8), зібравши адреси жертв. ; хакер спочатку збирає вкрадені активи на нову адресу, а потім перетворює кожен токен на базовий токен ланцюга за допомогою uniswap, mm swap, suswap та інших DEX і знову передає їх на нову адресу (очікуючи наступних операцій).
Після атаки Буффалу, генеральний директор компанії з інфраструктури шифрування Jito Labs, і Браян, керівник бізнесу, допомогли жертві відшкодувати 1 мільйон доларів США.
Як хакер здійснив атаку? Засновник Btc 21.de «Джоко» підозрює, що в Atomic Wallet є «шкідливий патч», який надсилає приватний ключ зловмиснику, коли користувач відкриває програму. Висновок зроблений на основі дискусій у спільноті. Деякі жертви сказали, що їхні активи були вкрадені хакерами протягом однієї хвилини після входу в Atomic Wallet.
(Форум жертв)
Деякі жертви також повідомили, що їхні закриті ключі облікового запису Atomic Wallet ніколи не були створені резервні копії або авторизовані на інших платформах, вони не використовували SIM-карту та рідко підключалися до свого домашнього Wi-Fi, але всі активи ADA все одно були вкрадені хакерами. Однак варто звернути увагу на одну деталь: користувач використовує Atomic Wallet Android версії 1.13.20, а остання версія – 1.15.1 (оновлено 23 травня 2023 року), тому не виключено наявність уразливостей у безпеці. в старій версії гаманця.
«Tay» проаналізував, що програма Atomic Wallet не була створена безпечним способом: або хтось запустив шкідливу версію програми та вкрав ключ користувача, або вони (Atomic Wallet) випадково записали приватний ключ користувача на власні сервери, які доступ зловмисників.
Слід зазначити, що ще рік тому охоронна компанія Least Authority оприлюднила наявність у Atomic Wallet уразливості безпеки та попередила користувачів про ризики.
(Оголошення найменшого авторитету)
У лютому 2022 року Least Authority опублікував звіт, у якому говориться, що компанія, яку вперше найняли на початку 2021 року для перевірки дизайну системи Atomic і її відповідних реалізацій кодування для настільних комп’ютерів і мобільних пристроїв, дійшла висновку про наявність вразливостей, які наражають користувачів на «значний ризик» і недоліки. , звіт надали Atomic у квітні 2021 року. У листопаді 2021 року компанія Atomic відповіла на висновки, зазначивши, що були внесені оновлення та покращення. Однак під час перегляду модифікованої версії, запропонованої Atomic Wallet, Least Authority виявив, що велика кількість проблем залишаються невирішеними та становлять ризик для безпеки користувачів. Least Authority офіційно попередив користувачів про ризики відповідно до стандартів аудиту та політики розкриття інформації. Однак це попередження все одно не привернуло увагу Atomic Wallet і певною мірою також заклало приховану міну для сьогоднішньої атаки.
У відповідь на крадіжку Atomic Wallet Ю Сянь, засновник охоронної компанії SlowMist, прокоментував: «Це дивно, що така конфіденційна інформація, як мнемонічний/приватний ключ, передається до гаманця, який не відповідає за безпеку або рівень безпеки. недостатньо висока. Інформаційна асиметрія тут надто серйозна, і навіть я навряд чи можу відповісти, які гаманці постійно захищені... мнемоніка/приватні ключі мають бути приховані в чіпах шифрування, офлайн-середовищах або надійних середовищах і використовувати мультипідпис/ MPC до синглу Просто трохи проблем."
Зрозуміло, що Atomic Wallet позиціонує себе як децентралізовану програму, яка не є власником приватного ключа користувача. На даний момент вона підтримує понад 1000 криптовалют і має понад 5 мільйонів користувачів у всьому світі. «Atomic Wallet діє як інтерфейс, який дозволяє користувачам отримувати доступ до своїх коштів у блокчейні. Гаманець і його операції захищені шифруванням, а ключові дані, такі як закриті ключі та резервні фрази, надійно зберігаються на локальному пристрої користувача за допомогою надійного алгоритму шифрування. "вищий".
Через те, що Atomic Wallet не є конфіденційним, в умовах обслуговування також чітко зазначено, що розробники не несуть відповідальності за будь-які збитки, завдані користувачам у мережі. «За жодних обставин Atomic Wallet не несе відповідальності за збитки, спричинені послугами, вартість яких перевищує 50 доларів США».
Нарешті, нам потрібно нагадати всім жертвам, що підроблені облікові записи, які видають себе за Atomic Wallet, публікували твіти про повернення коштів у Twitter, і після натискання користувачі будуть перенаправлені на фішингові веб-сайти, тому їм потрібно бути пильнішими. Під час пошуку офіційного облікового запису в Twitter шукайте синю сертифікацію V - підроблений обліковий запис використовує золоту сертифікацію V, щоб заплутати громадськість, офіційний обліковий запис: @AtomicWallet.
Переглянути оригінал
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
Хакер Atomic Wallet втратив 35 мільйонів доларів, ненавмисно чи самовільно. У чому винні?
Автор: Qin Xiaofeng
У минулі вихідні зашифрований гаманець Atomic Wallet був зламаний.
Згідно зі статистикою он-чейн-детектива ZachXBT, загальна сума вкраденого в цій атаці перевищила 35 мільйонів доларів США, включаючи BTC, ETH, USDT, Tron, BSC, ADA, Ripple, Polkadot, Cosmos, Algo, Avax, XLM, LTC і Doge тощо. Активи; найбільша особиста втрата склала 7,95 мільйона доларів США (версія TRC), а п’ять найбільших жертв мали загальний збиток приблизно в 17 мільйонів доларів США, що становить майже половину.
3 червня кілька користувачів Atomic Wallet повідомили в соціальних мережах, що активи їхніх гаманців були викрадені. Потім Atomic Wallet опублікував: «Ми отримали повідомлення про крадіжку гаманця і робимо все можливе, щоб розслідувати та проаналізувати причину. Якщо є Більше актуальних новин буде опубліковано якнайшвидше».
Прочекавши майже два дні, сьогодні вранці Atomic Wallet офіційно опублікував неоднозначний твіт: «Наразі менше 1% щомісячних активних користувачів постраждали/повідомлено, і триває розслідування безпеки; Atomic Wallet розмістив жертву. Адреси повідомлені великим біржам і компаніям, які займаються аналізом блокчейнів, щоб відстежити та зупинити передачу вкрадених коштів». Atomic Wallet не відповів на запитання користувачів, такі як вектори хакерських атак, як уникнути ризиків і подальша компенсація.
Зашифрований KOL "Tay" виявив, що найраніша атака сталася о 5:45 3 червня (UTC+ 8), а остання викрадена транзакція сталася о 23:30 UTC 3 червня (UTC+ 8), зібравши адреси жертв. ; хакер спочатку збирає вкрадені активи на нову адресу, а потім перетворює кожен токен на базовий токен ланцюга за допомогою uniswap, mm swap, suswap та інших DEX і знову передає їх на нову адресу (очікуючи наступних операцій).
Після атаки Буффалу, генеральний директор компанії з інфраструктури шифрування Jito Labs, і Браян, керівник бізнесу, допомогли жертві відшкодувати 1 мільйон доларів США.
Як хакер здійснив атаку? Засновник Btc 21.de «Джоко» підозрює, що в Atomic Wallet є «шкідливий патч», який надсилає приватний ключ зловмиснику, коли користувач відкриває програму. Висновок зроблений на основі дискусій у спільноті. Деякі жертви сказали, що їхні активи були вкрадені хакерами протягом однієї хвилини після входу в Atomic Wallet.
(Форум жертв)
Деякі жертви також повідомили, що їхні закриті ключі облікового запису Atomic Wallet ніколи не були створені резервні копії або авторизовані на інших платформах, вони не використовували SIM-карту та рідко підключалися до свого домашнього Wi-Fi, але всі активи ADA все одно були вкрадені хакерами. Однак варто звернути увагу на одну деталь: користувач використовує Atomic Wallet Android версії 1.13.20, а остання версія – 1.15.1 (оновлено 23 травня 2023 року), тому не виключено наявність уразливостей у безпеці. в старій версії гаманця.
«Tay» проаналізував, що програма Atomic Wallet не була створена безпечним способом: або хтось запустив шкідливу версію програми та вкрав ключ користувача, або вони (Atomic Wallet) випадково записали приватний ключ користувача на власні сервери, які доступ зловмисників.
Слід зазначити, що ще рік тому охоронна компанія Least Authority оприлюднила наявність у Atomic Wallet уразливості безпеки та попередила користувачів про ризики.
(Оголошення найменшого авторитету)
У лютому 2022 року Least Authority опублікував звіт, у якому говориться, що компанія, яку вперше найняли на початку 2021 року для перевірки дизайну системи Atomic і її відповідних реалізацій кодування для настільних комп’ютерів і мобільних пристроїв, дійшла висновку про наявність вразливостей, які наражають користувачів на «значний ризик» і недоліки. , звіт надали Atomic у квітні 2021 року. У листопаді 2021 року компанія Atomic відповіла на висновки, зазначивши, що були внесені оновлення та покращення. Однак під час перегляду модифікованої версії, запропонованої Atomic Wallet, Least Authority виявив, що велика кількість проблем залишаються невирішеними та становлять ризик для безпеки користувачів. Least Authority офіційно попередив користувачів про ризики відповідно до стандартів аудиту та політики розкриття інформації. Однак це попередження все одно не привернуло увагу Atomic Wallet і певною мірою також заклало приховану міну для сьогоднішньої атаки.
У відповідь на крадіжку Atomic Wallet Ю Сянь, засновник охоронної компанії SlowMist, прокоментував: «Це дивно, що така конфіденційна інформація, як мнемонічний/приватний ключ, передається до гаманця, який не відповідає за безпеку або рівень безпеки. недостатньо висока. Інформаційна асиметрія тут надто серйозна, і навіть я навряд чи можу відповісти, які гаманці постійно захищені... мнемоніка/приватні ключі мають бути приховані в чіпах шифрування, офлайн-середовищах або надійних середовищах і використовувати мультипідпис/ MPC до синглу Просто трохи проблем."
Зрозуміло, що Atomic Wallet позиціонує себе як децентралізовану програму, яка не є власником приватного ключа користувача. На даний момент вона підтримує понад 1000 криптовалют і має понад 5 мільйонів користувачів у всьому світі. «Atomic Wallet діє як інтерфейс, який дозволяє користувачам отримувати доступ до своїх коштів у блокчейні. Гаманець і його операції захищені шифруванням, а ключові дані, такі як закриті ключі та резервні фрази, надійно зберігаються на локальному пристрої користувача за допомогою надійного алгоритму шифрування. "вищий".
Через те, що Atomic Wallet не є конфіденційним, в умовах обслуговування також чітко зазначено, що розробники не несуть відповідальності за будь-які збитки, завдані користувачам у мережі. «За жодних обставин Atomic Wallet не несе відповідальності за збитки, спричинені послугами, вартість яких перевищує 50 доларів США».
Нарешті, нам потрібно нагадати всім жертвам, що підроблені облікові записи, які видають себе за Atomic Wallet, публікували твіти про повернення коштів у Twitter, і після натискання користувачі будуть перенаправлені на фішингові веб-сайти, тому їм потрібно бути пильнішими. Під час пошуку офіційного облікового запису в Twitter шукайте синю сертифікацію V - підроблений обліковий запис використовує золоту сертифікацію V, щоб заплутати громадськість, офіційний обліковий запис: @AtomicWallet.