IOT:慢雾：IOTA重大被盗币事件的分析与安全建议_IOTA

一些天前我们注意到IOTA暂停了主网，虽然早前我们也知道IOTA用户遭遇了盗币攻击，但没想到IOTA官方会通过暂停主网方式来进行这次盗币攻击的阻拦与调查，看来问题很严重。随后，2020/02/19，我们深入分析了官方披露在status.iota.org上的一些线索，开始独立调查这次严重安全事故的具体原因。通过对IOTA官方钱包Trinity新版本发布的分析，我们在其GitHub上进行了版本比对，注意到了MoonPay这个第三方组件被移除，且我们注意到Trinitiy桌面钱包是基于Electron开发的，安全经验告诉我们，这可能是个大坑，于是，我们2020/02/19时发布了一些推测：慢雾：IOTA用户Trinity钱包被盗币攻击推测IOTA因为近期不少用户的Trinity钱包被盗币攻击，为了阻止攻击继续、调查与修复具体原因，主网协调器都暂停运行了。这是一个被低估的经典攻击，官方没披露具体攻击细节，但通过我们的分析，可以做出某些重要推测，首先可以明确的几个点：不是IOTA区块链协议的问题，是IOTA的Trinity桌面钱包的问题这款桌面钱包基于Electron(一个使用JavaScript为核心构建桌面应用的框架)，意味着核心代码是JavaScript写的在做该做钱包新旧版本代码的diff分析时，发现去除了之前内置的一个交易所功能模块MoonPay，这其中关键点是去掉了一段可怕的代码：

Deribit：2022年仍实现盈利，QCP Capital在其平台未平仓头寸很小:金色财经报道，加密衍生品交易平台 Deribit 发文表示，其提供匿名交易，因此客户数量和头寸并不像大多数交易平台那样公开。但相对于 Deribit 的整体账面风险，QCP Capital 在 Deribit 上的未平仓头寸很小。他们在交易平台的资产远远超过了他们的初始保证金。Deribit 还称，尽管发生了三箭资本和 FTX 破产的事件，但其仍可在 2022 年实现盈利，即使税后也是如此。

此前报道，12 月 16 日，加密资产交易公司 QCP Capital 至少存在 9700 万美元资金滞留在 FTX 上，为了收回一些现金，QCP 正试图将冻结资金的债权出售给不良资产买家。[2022/12/18 21:51:26]

TEZOS宣布成为2021年迈阿密海滩巴塞尔艺术展官方合作伙伴:11月9日消息，TEZOS宣布成为2021年巴塞尔迈阿密海滩艺术展的官方合作伙伴，并将于今年12月在该艺术展上推出NFT艺术体验和演讲者系列活动，部分参加者包括来自NFT社区的杰出艺术家和人物。目前一些基于Tezos的著名组织包括：一级方程式赛车队RedBullRacingHonda和McLarenRacing、游戏巨头Ubisoft和音乐NFT平台OneOf。（fadmagazine）[2021/11/9 6:40:52]

如果这个第三方JavaScript链接主动或被黑作恶，那该桌面版钱包就可以认为是完全沦陷了。到这，我们很有理由相信这是个很大的定时炸弹，如果这个定时炸弹是真的炸了，那很吻合官方的一些说辞与解释，如：尽快升级新版本的Trinity桌面钱包，尽快改密码，尽快转移资产到安全种子里等等。且看官方的后续披露。今天(2020/02/22)，我们注意到了官方披露了一些细节，基本验证了我们的推测。https://blog.iota.org/重点关注下这段：TheattackerstartedonNovember27th,2019withaDNS-interceptionProofofConceptthatusedaCloudflareAPIkeytorewritetheapi.moonpay.ioendpoints,capturingalldatagoingtoapi.moonpay.ioforpotentialanalysisorexfiltration.Anotherlonger-runningProofofConceptwasevaluatedbytheattackeronemonthlater,onDecember22nd,2019.OnJanuary25th,2020,theactiveattackonTrinitybegan,wheretheattackerstartedshippingillicitcodeviaMoonpay’sDNSprovideratCloudflare.攻击者利用MoonPay的CloudflareAPIKey完成了后续一系列劫持攻击，预估被盗的IOTA达8.55Ti(8550000枚MIOTA，MIOTA现在是交易所默认最小交易单元，当前价格0.267美金/MIOTA)。根据我们历史经验，如果Web服务方使用了Cloudflare，而其Cloudflare账号权限被控制，就可以做到非常完美的中间人劫持攻击，注入恶意JavaScript。而Trinity桌面钱包又是基于Electron，一个完美的JavaScript执行环境就摆在这，不需要任何特别的越权，JavaScript可以完成用户或Trinity钱包可以完成的任何事情，其中就包括密码和种子的盗取等等。由于我们不像IOTA和MoonPay官方，他们拥有足够的日志记录来将攻击过程完整掌握，我们只能通过我们所能接触到的完成以上推测与相关分析工作。剩下的就希望官方公布具体细节并尽快完成主网的重新运行。在这，我们不得不提的一些安全看法及建议：第三方是可以邪恶的，默认都不可信，软件安全开发过程一定要警惕第三方依赖，包括第三方组件与第三方JavaScript链接注：IOTA基金会联合创始人DominikSchiener表示：「此次攻击是由于集成MoonPay的漏洞造成，Trinity钱包所犯的最大错误是没有集成NPM软件包，并且没有适当地对集成进行安全审核」。我们站在第三方独立安全审计的角度认为，这种说法是不严谨的，在加密货币发展的历史上，因为NPM包中引用的第三方源而导致的加密货币被盗案件不在少数。如知名的「event-stream」事件Cloudflare等第三方CDN/WAF服务很优秀很强大，但如果使用者没安全管理好自己的账号权限，其Web服务将会遭遇完美的中间人攻击公链官方钱包的一个致命缺陷可能搞垮一条公链，链上安全关注的同时，链下安全也不能忽视，他们是一直整体，这也是为什么我们关注的是区块链生态安全，而不是仅仅区块链本身的链上安全作为IOTA官方钱包Trinity的使用者来说，尽快按官方的指导完成安全加固工作，这个就不多说了相关链接：TrinityAttackIncidentPart1:SummaryandnextstepsTrinityAttackIncidentPart2:TrinitySeedMigrationPlanTrinityAttackIncidentPart3:KeyLearnings&TakeawaysIOTAStatusPage:如何看待NPM包event-stream被黑客篡改，发现包含恶意代码？

国际金融论坛2021年春季会议在京举行，数字货币成大会重头戏:5月29-30日，国际金融论坛2021年春季会议在京举行。本次大会以“后疫情时代：全球治理与国际合作”为主题，特邀全球多位国家领导人和金融界领袖作为嘉宾以线上和线下相结合的方式参与，讨论议题包括后疫情时代全球抗疫合作、可持续金融、中欧碳定价等主题，为构建全球开放共赢新格局建言献策。值得注意的是，随着数字货币的兴起以及各国央行对其研究的深入，本次大会特别设立“数字货币与未来数字化转型”为主题分论坛。分论坛由IFF学术委员、中央党校国家行政学院研究员陈炳才主持，中国证监会科技监管局局长姚前，北京市地方金融监督管理局局长霍学文，国际清算银行亚太区首席代表悉达多·蒂瓦里，中国证券金融股份有限公司董事长聂庆平，中国证券业协会会长安青松，清华大学经济管理学院金融系主任何平，IFF 学术委员、西班牙对外银行（BBVA）亚洲首席经济学家夏乐，维也纳区块链中心首席科学官亚历山大·艾斯尔等嘉宾出席，讨论数字货币及数字化转型这一热门议题。此外，作为区块链行业唯一公链项目受邀参会的代表RChain创始人卢修斯·格雷戈里·梅雷迪思将通过视频的形式分享他对于区块链及数字货币的看法。注：国际金融论坛（IFF）是总部设在中国的、非营利、非官方独立国际组织。2003年10月由中国、美国、欧盟、联合国等20多个国家、地区及相关国际组织的领袖共同发起成立，是全球金融领域高级别常设对话、交流和研究机构。作为中国与新兴经济体的国际金融合作及战略智库平台，被誉为全球金融领域的“F20（Finance 20）”。[2021/5/30 22:56:53]

孙宇晨：2020年波场推出4.0升级，将隐私计算、PBFT一键发链等技术引入波场:8月5日15:00，2020年纷智云端峰会第三场直播正式开启，本场云会议由元界DNA总冠名，蚂蚁节点联盟、金色财经联合主办，主题为“DeFi领航数字金融最前沿”。

TRON波场创始人孙宇晨首先回顾了2017年在纷智峰会上诞生了诸如波场、币安、金色财经等行业顶尖的企业与公司。三年过去了，2020年波场推出了4.0强势升级，将隐私计算、企业级服务、PBFT一键发链、跨链等全球最新技术引入波场区块链，与此同时，波场入局DeFi取得强势进展，最后他祝贺2020年纷智峰会取得圆满成功。[2020/8/5]

标签：IOTIOTARINTRINIOT价格iota币价格EPRINT价格UTRIN

中币交易所热门资讯