一些天前我们注意到 IOTA 暂停了主网,虽然早前我们也知道 IOTA 用户遭遇了盗币攻击,但没想到 IOTA 官方会通过暂停主网方式来进行这次盗币攻击的阻拦与调查,看来问题很严重。随后,2020/02/19,我们深入分析了官方披露在 status.iota.org 上的一些线索,开始独立调查这次严重安全事故的具体原因。
通过对 IOTA 官方钱包 Trinity 新版本发布的分析,我们在其 GitHub 上进行了版本比对,注意到了 MoonPay 这个第三方组件被移除,且我们注意到 Trinitiy 桌面钱包是基于 Electron 开发的,安全经验告诉我们,这可能是个大坑,于是,我们 2020/02/19 时发布了一些推测:
慢雾:IOTA 用户 Trinity 钱包被盗币攻击推测
IOTA 因为近期不少用户的 Trinity 钱包被盗币攻击,为了阻止攻击继续、调查与修复具体原因,主网协调器都暂停运行了。这是一个被低估的经典攻击,官方没披露具体攻击细节,但通过我们的分析,可以做出某些重要推测,首先可以明确的几个点:
不是 IOTA 区块链协议的问题,是 IOTA 的 Trinity 桌面钱包的问题(官方说的,且先相信)
这款桌面钱包基于 Electron(一个使用 JavaScript 为核心构建桌面应用的框架),意味着核心代码是 JavaScript 写的
在做该做钱包新旧版本代码的 diff 分析时,发现去除了之前内置的一个交易所功能模块 MoonPay,这其中关键点是去掉了一段可怕的代码:
const script = document.createElement('script');script.src = 'https://cdn.moonpay.io/moonpay-sdk.js';document.write(script.outerHTML);如果这个第三方 JavaScript 链接主动或被黑作恶,那该桌面版钱包就可以认为是完全沦陷了。到这,我们很有理由相信这是个很大的定时炸弹,如果这个定时炸弹是真的炸了,那很吻合官方的一些说辞与解释,如:尽快升级新版本的 Trinity 桌面钱包,尽快改密码,尽快转移资产到安全种子里等等。且看官方的后续披露。
央行货币金银局局长:实物人民币将与数字人民币长期并存:7月16日,央行货币金银局局长罗锐在一场吹风会上表示,数字人民币主要定位于现金类支付凭证(M0),与实物人民币都是央行对公众的负债,具有同等法律地位和经济价值。中国作为地域广阔、人口众多、多民族融合、区域发展差异大的国家,社会环境以及居民的支付习惯、年龄结构、安全性需求等因素决定了实物人民币具有其他支付手段不可替代的特性。实物人民币将与数字人民币长期并存。(格隆汇)[2021/7/16 0:58:07]
今天(2020/02/22),我们注意到了官方披露了一些细节,基本验证了我们的推测。
https://blog.iota.org/trinity-attack-incident-part-1-summary-and-next-steps-8c7ccc4d81e8
重点关注下这段:
The attacker started on November 27th, 2019 with a DNS-interception Proof of Concept that used a Cloudflare API key to rewrite the api.moonpay.io endpoints, capturing all data going to api.moonpay.io for potential analysis or exfiltration. Another longer-running Proof of Concept was evaluated by the attacker one month later, on December 22nd, 2019. On January 25th, 2020, the active-qjnu attack on Trinity began, where the attacker started shipping illicit code via Moonpay’s DNS provider at Cloudflare.
攻击者利用 MoonPay 的 Cloudflare API Key 完成了后续一系列劫持攻击,预估被盗的 IOTA 达 8.55 Ti(8550000 枚 MIOTA,MIOTA 现在是交易所默认最小交易单元,当前价格 0.267 美金/MIOTA)。根据我们历史经验,如果 Web 服务方使用了 Cloudflare,而其 Cloudflare 账号权限被控制,就可以做到非常完美的中间人劫持攻击,注入恶意 JavaScript。而 Trinity 桌面钱包又是基于 Electron,一个完美的 JavaScript 执行环境就摆在这,不需要任何特别的越权,JavaScript 可以完成用户或 Trinity 钱包可以完成的任何事情,其中就包括密码和种子的盗取等等。
由于我们不像 IOTA 和 MoonPay 官方,他们拥有足够的日志记录来将攻击过程完整掌握,我们只能通过我们所能接触到的完成以上推测与相关分析工作。剩下的就希望官方公布具体细节并尽快完成主网的重新运行。
在这,我们不得不提的一些安全看法及建议:
第三方是可以邪恶的,默认都不可信,软件安全开发过程一定要警惕第三方依赖,包括第三方组件与第三方 JavaScript 链接
注:IOTA 基金会联合创始人 Dominik Schiener 表示:“此次攻击是由于集成 MoonPay 的漏洞造成,「Trinity 钱包所犯的最大错误是没有集成 NPM 软件包,并且没有适当地对集成进行安全审核」”我们站在第三方独立安全审计的角度认为,这种说法是不严谨的,在加密货币发展的历史上,因为 NPM 包中引用的第三方源而导致的加密货币被盗案件不在少数。如知名的 "event-stream" 事件
Cloudflare 等第三方 CDN/WAF 服务很优秀很强大,但如果使用者没安全管理好自己的账号权限,其 Web 服务将会遭遇完美的中间人攻击
公链官方钱包的一个致命缺陷可能搞垮一条公链,链上安全关注的同时,链下安全也不能忽视,他们是一直整体,这也是为什么我们关注的是区块链生态安全,而不是仅仅区块链本身的链上安全
作为 IOTA 官方钱包 Trinity 的使用者来说,尽快按官方的指导完成安全加固工作,这个就不多说了
相关链接:
Trinity Attack Incident Part 1: Summary and next steps https://blog.iota.org/trinity-attack-incident-part-1-summary-and-next-steps-8c7ccc4d81e8
Trinity Attack Incident Part 2: Trinity Seed Migration Plan https://blog.iota.org/trinity-attack-incident-part-2-trinity-seed-migration-plan-4c52086699b6
Trinity Attack Incident Part 3: Key Learnings & Takeaways https://blog.iota.org/trinity-attack-incident-part-3-key-learnings-takeaways-c933de22fd0a
IOTA Status Page: https://status.iota.org/
如何看待 NPM 包 event-stream 被黑客篡改,发现包含恶意代码?https://www.zhihu.com/question/303815270
1950 年,物理学家恩里科·费米提出了一个令无数人百思不得其解的问题:以宇宙惊人的年龄和庞大的星体数量来看,地外生命应该广泛存在,但为什么我们却什么也没发现。 这个问题在日后被称作「费米悖论」,该悖论的矛盾点在于地外文明存在性的过高估计和相关证据的缺失。
3月12日,由全球知名的衍生品交易所Deribit主办的“数字资产衍生品交易的本质与未来”主题沙龙在上海成功举办。 Deribit,在专业机构出具的数字资产交易所评级中排名全球前十,与BitMEX、OKEx同属于第一梯队。
金色财经比特币 4月20日讯 加密货币投资公司"以太资本"的股票已经开始在一家加拿大证券交易所交易了。 (由以太资本公司发起的这次行动对于多伦多的以太坊业务很有益。) 正如之前报道的那样,该投资基金公司此前被称为以太资本(Ethereum Capital),这一基金会的股票于周四在多伦多NEO交易所上市。
我和我的祖国一刻也不能分割,无论我走到哪里都流出一首赞歌。我们歌唱祖国的壮丽山河,也赞扬各行各业所取得的盛果。2019年10月1日是中华人民共和国成立70周年纪念日,值此庆典,金色财经历数区块链行业的发展成果与前景布局,为70周年呈现区块链产业发展特别报道。
ETH 2.0 的难产似乎已经成为圈内一种“共识”,不过想想其实是好事。ETH 作为圈内“第一公链”,哪哪都好,就是性能太差,才让这么多公链有机可乘,大肆宣扬自己 TPS 多么多么高,新发明的共识机制多么多么特别。 要是 ETH 2.0 真的出了,性能问题也解决了。你觉得留给这些所谓的“下一代公链”的时间窗口,还有多久? 虽说难产,但也不能闲着。
链资讯