2023年4月18日,以太坊開發者Tay發布推特稱自2022年12月以來,有大量的ETH早期持有者的地址遭到洗劫,目前已經被盜的包括5000多ETH和涉及11條鏈的代幣或者NFTs。對此沒有人知道確切原因,通過對受害者的設備取證,目前發現的唯一共同特點是被盜私鑰在2022年前被創建,此外,盜幣活動發生時間大多在周末。
比特叢林團隊分析發現可能造成此次被盜事件的兩大原因如下:
擴展性錢包安全風險問題——私鑰攻擊面廣,私鑰容易洩露:以知名錢包應用MetaMask為例,作為一種瀏覽器擴展程序,MetaMask會在本地存儲加密後的私鑰。當用戶在MetaMask中創建錢包時,私鑰將被加密並存儲在用戶的本地計算機中。 MetaMask使用瀏覽器提供的加密技術來加密私鑰,以確保私鑰不被其他人訪問。
在默認情況下,MetaMask使用AES-256-GCM加密算法來保護私鑰。用戶需要設置一個密碼來解鎖其MetaMask擴展程序並訪問其錢包中的私鑰。該密碼用於解密本地存儲的加密私鑰。然而,如果本地的加密後的私鑰及用戶設置的密碼均洩漏,就會造成資產丟失。
操作系統廠商漏洞:
本週Apple更新修復了兩個漏洞,
1.CVE-2023-28205涉及Safari的WebKit,攻擊者可利用該漏洞製作惡意的網站頁面,受害者一旦訪問該頁面,設備就會被攻擊者控制。
2.CVE-2023-28206涉及IOSurfaceAccelerator對象,攻擊者可以使用它來執行具有操作系統核心權限的代碼。影響MacOS、IOS、tvOS等。
在漏洞修復前,兩個漏洞極有可能被攻擊者結合使用:第一個漏洞用於最初滲透設備,以便第二個漏洞可以被利用。第二個漏洞允許攻擊者逃離安全沙箱,並用受感染的設備做任何事情。
攻擊者可以通過使用這兩個漏洞來攻擊錢包用戶,獲取設備權限後訪問MetaMask私鑰文件,盜走數字資產。
被盜資產轉移分析
不久前,比特叢林接到用戶求助,該用戶MetaMask錢包地址內8000ETH被盜。經比特叢林分析,黑客盜竊資產後通過FixedFloat、SimpleSwap、SideShift、ChangeNow等中心化交易中心最終把資產轉為BTC,進一步對BTC混幣,下圖為被盜客戶的資產轉移路線圖。針對該案例,比特叢林希望與Metamask取得聯繫共同協助用戶找回丟失的數字資產,並找出被盜原因。 ›
比特叢林建議
比特叢林團隊提醒,插件式錢包相對於APP錢包以及硬件錢包安全級別更低、風險更大。出於預防性考慮,用戶可先對插件式錢包內的資產進行轉移。除此以外,可從官方途徑下載去中心化錢包,或是把部分資金存入幣安或OKX等安全性較高的中心化交易所,大額資金則建議存入如庫神、比特、Onekey 、幣信等硬件錢包。另外,如有用戶發現資產被盜,可第一時間聯繫比特叢林尋求幫助,比特叢林將提供技術支持,溯源找回數字資產,以挽救您寶貴的財產。