2023年4月18日,以太坊开发者Tay发布推特称自2022年12月以来,有大量的ETH早期持有者的地址遭到洗劫,目前已经被盗的包括5000多ETH和涉及11条链的代币或者NFTs。对此没有人知道确切原因,通过对受害者的设备取证,目前发现的唯一共同特点是被盗私钥在2022年前被创建,此外,盗币活动发生时间大多在周末。
比特丛林团队分析发现可能造成此次被盗事件的两大原因如下:
扩展性钱包安全风险问题 ——私钥攻击面广,私钥容易泄露:以知名钱包应用MetaMask为例,作为一种浏览器扩展程序,MetaMask会在本地存储加密后的私钥。当用户在MetaMask中创建钱包时,私钥将被加密并存储在用户的本地计算机中。MetaMask使用浏览器提供的加密技术来加密私钥,以确保私钥不被其他人访问。
在默认情况下,MetaMask使用AES-256-GCM加密算法来保护私钥。用户需要设置一个密码来解锁其MetaMask扩展程序并访问其钱包中的私钥。该密码用于解密本地存储的加密私钥。然而,如果本地的加密后的私钥及用户设置的密码均泄漏,就会造成资产丢失。
操作系统厂商漏洞:
本周Apple更新修复了两个漏洞,
1.CVE-2023-28205涉及Safari的WebKit,攻击者可利用该漏洞制作恶意的网站页面,受害者一旦访问该页面,设备就会被攻击者控制。
2.CVE-2023-28206涉及IOSurfaceAccelerator对象,攻击者可以使用它来执行具有操作系统核心权限的代码。影响MacOS、IOS、tvOS等。
在漏洞修复前,两个漏洞极有可能被攻击者结合使用:第一个漏洞用于最初渗透设备,以便第二个漏洞可以被利用。第二个漏洞允许攻击者逃离安全沙箱,并用受感染的设备做任何事情。
攻击者可以通过使用这两个漏洞来攻击钱包用户,获取设备权限后访问MetaMask私钥文件,盗走数字资产。
被盗资产转移分析
不久前,比特丛林接到用户求助,该用户MetaMask钱包地址内8000ETH被盗。经比特丛林分析,黑客盗窃资产后通过FixedFloat、SimpleSwap、SideShift、ChangeNow等中心化交易中心最终把资产转为BTC,进一步对BTC混币,下图为被盗客户的资产转移路线图。针对该案例,比特丛林希望与Metamask取得联系共同协助用户找回丢失的数字资产,并找出被盗原因。›
比特丛林建议
比特丛林团队提醒,插件式钱包相对于APP钱包以及硬件钱包安全级别更低、风险更大。出于预防性考虑,用户可先对插件式钱包内的资产进行转移。除此以外,可从官方途径下载去中心化钱包,或是把部分资金存入币安或OKX等安全性较高的中心化交易所,大额资金则建议存入如库神、比特、Onekey、币信等硬件钱包。另外,如有用户发现资产被盗,可第一时间联系比特丛林寻求帮助,比特丛林将提供技术支持,溯源找回数字资产,以挽救您宝贵的财产。
