Análisis de incidentes de seguridad en Web3: Cartera fría de una plataforma de intercambio sufre un ataque importante
El 21 de febrero de 2025, la cartera fría de Ethereum de una conocida plataforma de intercambio fue atacada, aproximadamente 401,346 ETH, 15,000 cmETH, 8,000 mETH, 90,375 stETH y 90 USDT fueron transferidos a una dirección desconocida, con un valor total de aproximadamente 1.46 mil millones de dólares.
Los atacantes inducen a los firmantes de la billetera multifirma de la plataforma a firmar transacciones maliciosas mediante técnicas de phishing. Los pasos del ataque son los siguientes:
El atacante despliega con anticipación un contrato malicioso que contiene una puerta trasera para la transferencia de fondos.
Modificar la interfaz de gestión de seguridad, de modo que la información de la transacción que ve el firmante no coincida con los datos enviados realmente a la cartera fría.
Obtener tres firmas válidas a través de una interfaz falsa, reemplazar el contrato de implementación de la billetera multifirma por una versión maliciosa, y así controlar la cartera fría y transferir fondos.
La empresa de seguridad designada para llevar a cabo la investigación forense ha descubierto lo siguiente:
En el almacenamiento en la nube de la plataforma de gestión de seguridad, los recursos han sido inyectados con código JavaScript malicioso.
El análisis del código muestra que su principal objetivo es manipular el contenido de la transacción durante el proceso de firma.
El código malicioso tiene condiciones de activación y solo se activa en direcciones de contrato específicas.
Después de ejecutar transacciones maliciosas, se subieron recursos de JavaScript de la versión actualizada, eliminando el código malicioso.
Se ha determinado preliminarmente que el ataque proviene de la infraestructura en la nube de la plataforma de gestión de seguridad.
Actualmente no se han encontrado signos de que la infraestructura de la plataforma de intercambio haya sido comprometida.
Desde la información disponible, el frontend no parece ser el problema principal, la clave radica en que el servicio de almacenamiento en la nube fue infiltrado, lo que llevó a la alteración del JavaScript. Sin embargo, si la plataforma de gestión de seguridad hubiera implementado una verificación básica de integridad en el frontend, incluso si el JavaScript fuera modificado, no habría causado consecuencias tan graves. Por supuesto, la plataforma de comercio también tiene su parte de culpa, ya que confirmaron sin mostrar información de transacción específica en la billetera de hardware, lo que en sí mismo implica un riesgo de confianza en el frontend de la plataforma de gestión de seguridad.
Las carteras de hardware tienen limitaciones al manejar transacciones complejas, ya que no pueden analizar y mostrar completamente los datos detallados de las transacciones de carteras multisig, lo que lleva a que los firmantes realicen "firmas en blanco" sin haber verificado completamente el contenido de la transacción.
Los hackers son expertos en aprovechar las fallas de diseño en los procesos de interacción para engañar a los usuarios y robar sus activos, como el secuestro de la interfaz de usuario, la firma engañosa, el uso de firmas ciegas, el abuso de firmas de permiso, el phishing de TransferFrom con cero transferencias, el fraude de airdrop con números finales iguales, el phishing de NFT, entre otros.
Con el desarrollo de la tecnología Web3, la línea entre la seguridad del frontend y la seguridad de la blockchain se vuelve cada vez más difusa. Las vulnerabilidades tradicionales del frontend adquieren nuevas dimensiones de ataque en el escenario Web3, y problemas como las vulnerabilidades de los contratos inteligentes y las deficiencias en la gestión de claves privadas amplifican aún más el riesgo.
Parámetros de transacción alterados: la interfaz muestra la transferencia, pero se ejecuta la autorización real.
El usuario ve un popup de la Billetera que muestra "Transferir 1 ETH a 0xUser...", pero lo que realmente se ejecuta en la cadena es "approve(attacker, unlimited)", lo que permite que los activos sean transferidos en cualquier momento.
Solución: verificación de firma estructurada EIP-712
Generar datos verificables en el frontend
Verificación de firma de contrato inteligente
De esta manera, cualquier manipulación de parámetros en el frontend provocará una discrepancia en la firma y la transacción se revertirá automáticamente.
Secuestro de firma ciega: razones por las que la billetera de hardware fue comprometida
Los atacantes pueden secuestrar el código del front-end y enviar calldata falsificado a la billetera fría. La pantalla de la billetera fría muestra información de transacción normal, pero lo que realmente se ejecuta es "approve(attacker, unlimited)".
Solución: análisis semántico de billetera de hardware + verificación secundaria en cadena
Actualizar el firmware de la billetera de hardware para soportar EIP-712
Coincidencia semántica forzada en la cadena
Conclusión
La fusión de la seguridad frontend y la seguridad Web3 es tanto un desafío como una oportunidad. Este evento ha expuesto problemas profundos en la gestión de seguridad y la arquitectura técnica de la industria de las criptomonedas. La industria debe mejorar integralmente su capacidad de protección desde múltiples aspectos, como la seguridad de los dispositivos, la verificación de transacciones y los mecanismos de gestión de riesgos, para hacer frente a amenazas cada vez más complejas. El desarrollo frontend debe realizar verificaciones repetidas en las etapas de acceso a DApps, conexión de billeteras, firma de mensajes, firma de transacciones y procesamiento posterior a la transacción, logrando una transición de "reparación pasiva" a "inmunidad activa". Solo así se podrá proteger el valor y la confianza de cada transacción en el mundo abierto de Web3.
Por supuesto, la auditoría de seguridad de contratos en la cadena es indispensable para cada Dapp. Las herramientas de escaneo de seguridad asistidas por IA pueden garantizar la corrección del código a través de la verificación formal y la generación de normas de seguridad asistidas por inteligencia artificial, proporcionando análisis de similitud de código y riesgos de propiedad intelectual para una gran cantidad de contratos desplegados, monitoreo continuo y notificación instantánea de vulnerabilidades de día cero y eventos de seguridad que puedan afectar al proyecto. Algunas herramientas también cuentan con modelos de IA optimizados basados en bases de datos de vulnerabilidades a gran escala, utilizados para detectar diversas vulnerabilidades prácticas en contratos inteligentes.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
13 me gusta
Recompensa
13
6
Compartir
Comentar
0/400
GameFiCritic
· hace17h
Una vez más, un ataque front-end, la verificación de la visibilidad de los datos aún no se ha realizado correctamente.
Ver originalesResponder0
MidnightSeller
· hace17h
Otro negro, es realmente interesante.
Ver originalesResponder0
AirdropHuntress
· hace17h
Catorce firmas fueron atrapadas, es un impuesto sobre la inteligencia.
Ver originalesResponder0
quiet_lurker
· hace17h
¡Los problemas de seguridad siempre son un gran desafío!
Ver originalesResponder0
BoredApeResistance
· hace17h
Otra vez ser engañados, ¿qué pasa con Web3?
Ver originalesResponder0
ChainWallflower
· hace17h
Esto es demasiado duro, 50% de caída a un gran número de personas.
La plataforma de comercio Web3 sufrió un ataque de cartera fría de 1.460 millones de dólares, la seguridad del front-end se convierte en un foco.
Análisis de incidentes de seguridad en Web3: Cartera fría de una plataforma de intercambio sufre un ataque importante
El 21 de febrero de 2025, la cartera fría de Ethereum de una conocida plataforma de intercambio fue atacada, aproximadamente 401,346 ETH, 15,000 cmETH, 8,000 mETH, 90,375 stETH y 90 USDT fueron transferidos a una dirección desconocida, con un valor total de aproximadamente 1.46 mil millones de dólares.
Los atacantes inducen a los firmantes de la billetera multifirma de la plataforma a firmar transacciones maliciosas mediante técnicas de phishing. Los pasos del ataque son los siguientes:
La empresa de seguridad designada para llevar a cabo la investigación forense ha descubierto lo siguiente:
Desde la información disponible, el frontend no parece ser el problema principal, la clave radica en que el servicio de almacenamiento en la nube fue infiltrado, lo que llevó a la alteración del JavaScript. Sin embargo, si la plataforma de gestión de seguridad hubiera implementado una verificación básica de integridad en el frontend, incluso si el JavaScript fuera modificado, no habría causado consecuencias tan graves. Por supuesto, la plataforma de comercio también tiene su parte de culpa, ya que confirmaron sin mostrar información de transacción específica en la billetera de hardware, lo que en sí mismo implica un riesgo de confianza en el frontend de la plataforma de gestión de seguridad.
Las carteras de hardware tienen limitaciones al manejar transacciones complejas, ya que no pueden analizar y mostrar completamente los datos detallados de las transacciones de carteras multisig, lo que lleva a que los firmantes realicen "firmas en blanco" sin haber verificado completamente el contenido de la transacción.
Los hackers son expertos en aprovechar las fallas de diseño en los procesos de interacción para engañar a los usuarios y robar sus activos, como el secuestro de la interfaz de usuario, la firma engañosa, el uso de firmas ciegas, el abuso de firmas de permiso, el phishing de TransferFrom con cero transferencias, el fraude de airdrop con números finales iguales, el phishing de NFT, entre otros.
Con el desarrollo de la tecnología Web3, la línea entre la seguridad del frontend y la seguridad de la blockchain se vuelve cada vez más difusa. Las vulnerabilidades tradicionales del frontend adquieren nuevas dimensiones de ataque en el escenario Web3, y problemas como las vulnerabilidades de los contratos inteligentes y las deficiencias en la gestión de claves privadas amplifican aún más el riesgo.
Parámetros de transacción alterados: la interfaz muestra la transferencia, pero se ejecuta la autorización real.
El usuario ve un popup de la Billetera que muestra "Transferir 1 ETH a 0xUser...", pero lo que realmente se ejecuta en la cadena es "approve(attacker, unlimited)", lo que permite que los activos sean transferidos en cualquier momento.
Solución: verificación de firma estructurada EIP-712
De esta manera, cualquier manipulación de parámetros en el frontend provocará una discrepancia en la firma y la transacción se revertirá automáticamente.
Secuestro de firma ciega: razones por las que la billetera de hardware fue comprometida
Los atacantes pueden secuestrar el código del front-end y enviar calldata falsificado a la billetera fría. La pantalla de la billetera fría muestra información de transacción normal, pero lo que realmente se ejecuta es "approve(attacker, unlimited)".
Solución: análisis semántico de billetera de hardware + verificación secundaria en cadena
Conclusión
La fusión de la seguridad frontend y la seguridad Web3 es tanto un desafío como una oportunidad. Este evento ha expuesto problemas profundos en la gestión de seguridad y la arquitectura técnica de la industria de las criptomonedas. La industria debe mejorar integralmente su capacidad de protección desde múltiples aspectos, como la seguridad de los dispositivos, la verificación de transacciones y los mecanismos de gestión de riesgos, para hacer frente a amenazas cada vez más complejas. El desarrollo frontend debe realizar verificaciones repetidas en las etapas de acceso a DApps, conexión de billeteras, firma de mensajes, firma de transacciones y procesamiento posterior a la transacción, logrando una transición de "reparación pasiva" a "inmunidad activa". Solo así se podrá proteger el valor y la confianza de cada transacción en el mundo abierto de Web3.
Por supuesto, la auditoría de seguridad de contratos en la cadena es indispensable para cada Dapp. Las herramientas de escaneo de seguridad asistidas por IA pueden garantizar la corrección del código a través de la verificación formal y la generación de normas de seguridad asistidas por inteligencia artificial, proporcionando análisis de similitud de código y riesgos de propiedad intelectual para una gran cantidad de contratos desplegados, monitoreo continuo y notificación instantánea de vulnerabilidades de día cero y eventos de seguridad que puedan afectar al proyecto. Algunas herramientas también cuentan con modelos de IA optimizados basados en bases de datos de vulnerabilidades a gran escala, utilizados para detectar diversas vulnerabilidades prácticas en contratos inteligentes.