两年前发现安全漏洞，并未及时更新处理。

撰文：秦晓峰

上周末，加密钱包 Atomic Wallet 遭遇黑客攻击。

根据链上侦探 ZachXBT 统计，本次攻击被盗总额已超 3500 万美元，涉及 BTC、ETH、USDT、Tron、BSC、ADA、Ripple、Polkadot、Cosmos、Algo、Avax、XLM、LTC 和 Doge 等多个资产；最大个人损失为 795 万枚 USDT（TRC 版），排名前五的受害者累计损失约 1700 万美元，占比近一半。

6 月 3 日，多名 Atomic Wallet 用户在社交媒体发文称自己的钱包资产被盗，Atomic Wallet 随后发文称：「我们收到了钱包被盗的报告，正在尽一切努力调查和分析原因。如果有更多相关消息，会第一时间发布。」

在等待了近两天后，今天上午 Atomic Wallet 官方只发布了一份语焉不详的推文，「目前不到 1% 的月活用户受到影响 / 已上报，安全调查正在进行中；Atomic Wallet 已将受害者地址告知主要交易所和区块链分析公司，以追踪并阻止被盗资金转移」。对于黑客攻击媒介、如何避险以及后续补偿等用户关心的问题，Atomic Wallet 并未给出回应。

加密 KOL「Tay」通过收集受害者地址分析发现，最早的攻击发生在 6 月 3 日 5: 45 （UTC+ 8 ），最新一笔被盗交易发生在 6 月 3 日 23: 30 UTC（UTC+ 8 ）；黑客首先将被盗资产归集到一个新地址，而后通过 uniswap、mm swap、sunswap 等 DEX 将各个代币兑换为该链的基础代币并再次转移至新地址（等待后续操作）。

攻击发生后，加密基础设施公司 Jito Labs 首席执行官 buffalu 和业务负责人 Brian 出手，帮助一名受害者成功挽回 100 万美元损失。

黑客是如何实现攻击的？Btc 21.de 创始人 「Joko」 怀疑 Atomic Wallet 存在一个「恶意补丁」，一旦用户打开应用程序，它就会将私钥发送给攻击者。该推断来自社区讨论，有受害者表示，自己在登陆 Atomic Wallet 后一分钟内，资产就被黑客盗窃。

也有受害者反映，自己的 Atomic Wallet 账户私钥从未在其他平台进行备份或授权，并且也没有使用 SIM 卡，很少连接家庭 WiFi，但依然被黑客盗走了所有的 ADA 资产。不过有一个细节值得注意，该用户使用的是 Atomic Wallet 安卓版本 1.13.20 ，最新版本为 1.15.1 （2023 年 5 月 23 日更新），因此不排除是旧版本钱包存在安全漏洞的可能。

「Tay」分析认为，Atomic Wallet 的应用程序没有以安全的方式构建，要么是有人推送了恶意版本的应用程序，窃取了用户的密钥；或者他们（Atomic Wallet）无意中将用户的私钥记录到自己的服务器上，而这些服务器被恶意行为者访问。

需要注意的是，早在一年前，安全公司 Least Authority 就曾披露 Atomic Wallet 存在安全漏洞，并警告用户注意风险。

2022 年 2 月，Least Authority 发布报告称，该公司于 2021 年初首次受聘检查 Atomic 的系统设计及其相应的核心、桌面和移动编码实现，得出的结论是存在使用户面临「重大风险」的漏洞和不足，该报告于 2021 年 4 月提交给 Atomic。Atomic 在 2021 年 11 月对调查结果做出了回应，表明已进行更新和改进。然而，Least Authority 在审查 Atomic Wallet 提供的修改后版本中，发现大量问题仍未解决，并对用户构成安全风险。根据审计准则和披露政策，Least Authority 正式向用户发布警告，以警示风险。但这一警示依然没有引起 Atomic Wallet 的重视，某种程度上也为今天的攻击埋下了暗雷。

针对 Atomic Wallet 被盗事件，安全公司慢雾创始人余弦评论称：「助记词 / 私钥如此敏感的信息交给对安全不够负责任或安全等级不足够高的钱包来守护，简直就是讽刺。这里的信息不对称太严重了，连我都难以回答哪些钱包是持续安全的……助记词 / 私钥就应该躲在加密芯片、离线环境或可信环境里，用多签 /MPC 去单点故障也行。」

据了解，Atomic Wallet 将自己定位为不拥有用户私钥的去中心化、非托管应用程序，号称目前支持超过 1000 种加密货币，在全球拥有超过 500 万用户。「Atomic Wallet 作为一个接口，使用户能够访问他们的区块链资金。钱包及其操作是受加密保护的，私钥和备份短语等关键数据，通过可靠的加密算法安全地存储在用户的本地设备上。」

由于非托管的属性，Atomic Wallet 也在服务条款中明确说明，开发者对用户遭受的链上损害不承担任何责任。「在任何情况下，Atomic Wallet 都不会对超过 50 美元的服务造成的损害承担责任。」

最后，需要提醒广大受害者，目前推特上已经出现虚假账户冒充 Atomic Wallet 发布退款推文，用户点击后会跳转至钓鱼网站，需要提高警惕。在推特搜索官方账户时，认准蓝 V 认证——虚假账户使用金 V 认证混淆视听，官方账户为：@AtomicWallet。