Cointime

扫码下载App
iOS & Android

Atomic Wallet 遭黑客攻击损失 3500 万美元,无心之失还是咎由自取?

两年前发现安全漏洞,并未及时更新处理。

撰文:秦晓峰

上周末,加密钱包 Atomic Wallet 遭遇黑客攻击。

根据链上侦探 ZachXBT 统计,本次攻击被盗总额已超 3500 万美元,涉及 BTC、ETH、USDT、Tron、BSC、ADA、Ripple、Polkadot、Cosmos、Algo、Avax、XLM、LTC 和 Doge 等多个资产;最大个人损失为 795 万枚 USDT(TRC 版),排名前五的受害者累计损失约 1700 万美元,占比近一半。

6 月 3 日,多名 Atomic Wallet 用户在社交媒体发文称自己的钱包资产被盗,Atomic Wallet 随后发文称:「我们收到了钱包被盗的报告,正在尽一切努力调查和分析原因。如果有更多相关消息,会第一时间发布。」

在等待了近两天后,今天上午 Atomic Wallet 官方只发布了一份语焉不详的推文,「目前不到 1% 的月活用户受到影响 / 已上报,安全调查正在进行中;Atomic Wallet 已将受害者地址告知主要交易所和区块链分析公司,以追踪并阻止被盗资金转移」。对于黑客攻击媒介、如何避险以及后续补偿等用户关心的问题,Atomic Wallet 并未给出回应。

加密 KOL「Tay」通过收集受害者地址分析发现,最早的攻击发生在 6 月 3 日 5: 45 (UTC+ 8 ),最新一笔被盗交易发生在 6 月 3 日 23: 30 UTC(UTC+ 8 );黑客首先将被盗资产归集到一个新地址,而后通过 uniswap、mm swap、sunswap 等 DEX 将各个代币兑换为该链的基础代币并再次转移至新地址(等待后续操作)。

攻击发生后,加密基础设施公司 Jito Labs 首席执行官 buffalu 和业务负责人 Brian 出手,帮助一名受害者成功挽回 100 万美元损失。

黑客是如何实现攻击的?Btc 21.de 创始人 「Joko」 怀疑 Atomic Wallet 存在一个「恶意补丁」,一旦用户打开应用程序,它就会将私钥发送给攻击者。该推断来自社区讨论,有受害者表示,自己在登陆 Atomic Wallet 后一分钟内,资产就被黑客盗窃。

(受害者论坛)

也有受害者反映,自己的 Atomic Wallet 账户私钥从未在其他平台进行备份或授权,并且也没有使用 SIM 卡,很少连接家庭 WiFi,但依然被黑客盗走了所有的 ADA 资产。不过有一个细节值得注意,该用户使用的是 Atomic Wallet 安卓版本 1.13.20 ,最新版本为 1.15.1 (2023 年 5 月 23 日更新),因此不排除是旧版本钱包存在安全漏洞的可能。

「Tay」分析认为,Atomic Wallet 的应用程序没有以安全的方式构建,要么是有人推送了恶意版本的应用程序,窃取了用户的密钥;或者他们(Atomic Wallet)无意中将用户的私钥记录到自己的服务器上,而这些服务器被恶意行为者访问。

需要注意的是,早在一年前,安全公司 Least Authority 就曾披露 Atomic Wallet 存在安全漏洞,并警告用户注意风险。

(Least Authority 公告)

2022 年 2 月,Least Authority 发布报告称,该公司于 2021 年初首次受聘检查 Atomic 的系统设计及其相应的核心、桌面和移动编码实现,得出的结论是存在使用户面临「重大风险」的漏洞和不足,该报告于 2021 年 4 月提交给 Atomic。Atomic 在 2021 年 11 月对调查结果做出了回应,表明已进行更新和改进。然而,Least Authority 在审查 Atomic Wallet 提供的修改后版本中,发现大量问题仍未解决,并对用户构成安全风险。根据审计准则和披露政策,Least Authority 正式向用户发布警告,以警示风险。但这一警示依然没有引起 Atomic Wallet 的重视,某种程度上也为今天的攻击埋下了暗雷。

针对 Atomic Wallet 被盗事件,安全公司慢雾创始人余弦评论称:「助记词 / 私钥如此敏感的信息交给对安全不够负责任或安全等级不足够高的钱包来守护,简直就是讽刺。这里的信息不对称太严重了,连我都难以回答哪些钱包是持续安全的……助记词 / 私钥就应该躲在加密芯片、离线环境或可信环境里,用多签 /MPC 去单点故障也行。」

据了解,Atomic Wallet 将自己定位为不拥有用户私钥的去中心化、非托管应用程序,号称目前支持超过 1000 种加密货币,在全球拥有超过 500 万用户。「Atomic Wallet 作为一个接口,使用户能够访问他们的区块链资金。钱包及其操作是受加密保护的,私钥和备份短语等关键数据,通过可靠的加密算法安全地存储在用户的本地设备上。」

由于非托管的属性,Atomic Wallet 也在服务条款中明确说明,开发者对用户遭受的链上损害不承担任何责任。「在任何情况下,Atomic Wallet 都不会对超过 50 美元的服务造成的损害承担责任。」

最后,需要提醒广大受害者,目前推特上已经出现虚假账户冒充 Atomic Wallet 发布退款推文,用户点击后会跳转至钓鱼网站,需要提高警惕。在推特搜索官方账户时,认准蓝 V 认证——虚假账户使用金 V 认证混淆视听,官方账户为:@AtomicWallet。

评论

所有评论

推荐阅读

  • 新罕布什尔州将就1亿美元比特币支持债券提案举行公开听证会

    据The Block报道,美国新罕布什尔州官员将于周三就一项发行最高1亿美元比特币支持债券的提案举行公开听证会。该提案最终仍需获得州长凯利·阿约特(Kelly Ayotte)及执行委员会的批准方可落地。

  • Kraken过去24小时流出2108枚BTC

    据数据监测,Kraken交易所出现大额资金流动。过去24小时,该交易所钱包流出2108枚BTC,价值2.11亿美元,当前其BTC钱包余额为14.59万枚BTC。

  • 特朗普结束停火发言后 欧洲央行加息预期升温

    7月8日讯,市场定价显示,欧洲央行今年进一步收紧货币政策的预期升至36个基点,高于周二的25个基点,此前特朗普发表停火结束言论。(金十)

  • BTC跌破62000美元

    行情显示,BTC跌破62000美元,现报61984.58美元,24小时跌幅达到1.82%,行情波动较大,请做好风险控制。

  • 现货白银日内跌幅达3.00%

    现货白银日内跌幅达3.00%,现报58.18美元/盎司。

  • 油气股盘前普涨 埃克森美孚涨超2% 美伊冲突再起国际油价大涨

    7月8日消息,美股油气股盘前普涨,埃克森美孚、戴文能源涨超2%,西方石油、雪佛龙、康菲石油涨超1%。今年以来,西方石油、威廉姆斯年内涨幅均超26%,埃克森美孚累涨近20%,雪佛龙、康菲石油、戴文能源年内累涨约16%~17%。 消息面上,美国总统特朗普8日在北约峰会上说,他认为美伊谅解备忘录“已终结”。此前美国已撤销一项授权允许伊朗石油销售的通用许可,恢复对伊朗石油制裁。有官员称此次对伊朗的打击行动是“惩罚性行动”,短时间内不会结束。地缘冲突硝烟再起刺激国际油价大涨,美、布两油日内均涨超5%。 此外,埃克森美孚发布业绩预告。公司表示,第二季度原油市场大涨带来37亿美元的上游利润增量,炼油与化工业务贡献33亿美元的额外收益。但埃克森美孚指出,上述利好因素部分被中东地区生产中断所造成的约12亿美元损失所抵消。该公司将于7月31日正式发布完整财报。

  • 特朗普称美伊临时停火协议已结束

    7月8日,美国总统特朗普表示,他与伊朗达成的临时停火协议已经结束,这加剧了两国之间军事冲突再度爆发的可能性。“对我来说,我认为已经结束了。”他周三在北约年度峰会上表示,“就我而言,这只是在浪费时间。”特朗普发表此番言论前不久,美国对伊朗发动了新一波打击,并撤销了允许销售伊朗石油的豁免。这些行动是对近期霍尔木兹海峡船只遇袭事件的回应,给能源市场带来了新的波动,并考验了美伊之间本已脆弱的和平协议。特朗普表示:“我不想和他们打交道,但他们是渣滓。你知道渣滓是什么吗?他们就是渣滓。他们是病态的人,由病态的人领导,他们是凶狠暴力的人,如果他们拥有核武器,他们就会使用。”不过,特朗普表示他不会阻止谈判代表继续接触,尽管他对这一策略表示悲观。他说:“他们有问题,他们疯了。他们可以谈,但我认为他们是在浪费时间。”

  • 美、布两油日内均涨超3%

    美、布两油日内均涨超3%,现分别报74.18美元/桶和78.08美元/桶。(金十)

  • BTC跌破62000美元

    行情显示,BTC跌破62000美元,现报61973.88美元,24小时跌幅达到1.7%,行情波动较大,请做好风险控制。

  • 特朗普认为美伊谅解备忘录已终结

    7月8日讯,美国总统特朗普8日在北约峰会上说,他认为美伊谅解备忘录“已终结”。(新华社)