Uma vulnerabilidade de segurança foi descoberta há dois anos, mas não foi atualizada a tempo.
Escrito por: Qin Xiaofeng
No último fim de semana, a carteira criptografada Atomic Wallet foi hackeada.
De acordo com as estatísticas do detetive on-chain ZachXBT, o valor total roubado neste ataque ultrapassou 35 milhões de dólares americanos, envolvendo BTC, ETH, USDT, Tron, BSC, ADA, Ripple, Polkadot, Cosmos, Algo, Avax, XLM, LTC e Doge, etc. Ativos, a maior perda pessoal foi de 7,95 milhões de USDT (versão TRC), e as cinco principais vítimas tiveram uma perda cumulativa de cerca de 17 milhões de dólares americanos, representando quase a metade.
Em 3 de junho, vários usuários da Atomic Wallet postaram nas mídias sociais que seus ativos de carteira foram roubados. A Atomic Wallet postou: "Recebemos denúncias de roubo de carteira e estamos fazendo todo o possível para investigar e analisar a causa. Se houver são mais notícias mais relevantes serão divulgadas o mais breve possível.”
Depois de esperar por quase dois dias, a Atomic Wallet divulgou oficialmente um tweet ambíguo esta manhã: "Atualmente, menos de 1% dos usuários ativos mensais foram afetados / relatados e uma investigação de segurança está em andamento; Atomic Wallet colocou a vítima Os endereços são notificados às principais bolsas e empresas de análise de blockchain para rastrear e impedir a transferência de fundos roubados.” A Atomic Wallet não respondeu às preocupações do usuário, como vetores de ataque de hackers, como evitar riscos e compensação subsequente.
O KOL "Tay" criptografado descobriu que o primeiro ataque ocorreu às 5h45 do dia 3 de junho (UTC+ 8), e a última transação roubada ocorreu às 23h30 UTC do dia 3 de junho (UTC+ 8), coletando os endereços das vítimas. ;O o hacker primeiro coleta os ativos roubados para um novo endereço e, em seguida, converte cada token no token básico da cadeia por meio de uniswap, mm swap, sunswap e outros DEXs e os transfere para o novo endereço novamente (aguardando operações subsequentes).
Após o ataque, buffalu, CEO da empresa de infraestrutura de criptografia Jito Labs, e Brian, chefe de negócios, ajudaram uma vítima a recuperar US$ 1 milhão em perdas.
Como o hacker conseguiu o ataque? O fundador do Btc 21.de "Joko" suspeita que haja um "patch malicioso" na Atomic Wallet, que enviará a chave privada ao invasor assim que o usuário abrir o aplicativo. A inferência vem de discussões da comunidade. Algumas vítimas disseram que seus bens foram roubados por hackers dentro de um minuto após o login no Atomic Wallet.
(Fórum de Vítimas)
Algumas vítimas também relataram que a chave privada de sua conta Atomic Wallet nunca foi copiada ou autorizada em outras plataformas, e eles não usaram um cartão SIM e raramente se conectaram ao Wi-Fi doméstico, mas todos os ativos da ADA ainda foram roubados por hackers . No entanto, há um detalhe que vale a pena observar: o usuário está usando o Atomic Wallet Android versão 1.13.20, e a versão mais recente é 1.15.1 (atualizada em 23 de maio de 2023), portanto, não é descartado que possa haver vulnerabilidades de segurança na versão antiga da carteira.
"Tay" analisou que o aplicativo da Atomic Wallet não foi desenvolvido de maneira segura, ou alguém enviou uma versão maliciosa do aplicativo e roubou a chave do usuário; ou eles (Atomic Wallet) inadvertidamente gravaram a chave privada do usuário em seus próprios servidores, que são acessados por atores maliciosos.
Deve-se notar que já há um ano, a empresa de segurança Least Authority divulgou que a Atomic Wallet tinha vulnerabilidades de segurança e alertou os usuários sobre os riscos.
(Anúncio de menor autoridade)
Em fevereiro de 2022, a Least Authority divulgou um relatório afirmando que a empresa, contratada pela primeira vez no início de 2021 para examinar o design do sistema Atomic e suas implementações de codificação de núcleo, desktop e móvel correspondentes, concluiu que havia vulnerabilidades que colocavam os usuários em "risco significativo" e deficiências , o relatório foi submetido à Atomic em abril de 2021. A Atomic respondeu às descobertas em novembro de 2021, indicando que atualizações e melhorias foram feitas. No entanto, ao revisar a versão modificada oferecida pela Atomic Wallet, a Least Authority descobriu que um grande número de problemas permanecia sem solução e representava um risco de segurança para os usuários. A Autoridade Menor emitiu oficialmente um aviso aos usuários para alertar sobre os riscos de acordo com os padrões de auditoria e políticas de divulgação. No entanto, esse aviso ainda não atraiu a atenção da Atomic Wallet e, até certo ponto, também colocou uma mina oculta para o ataque de hoje.
Em resposta ao roubo da Atomic Wallet, Yu Xian, fundador da empresa de segurança SlowMist, comentou: "É irônico que informações confidenciais como chave mnemônica/privada sejam entregues a uma carteira que não é responsável pela segurança ou pelo nível de segurança não é alto o suficiente. A assimetria de informação aqui é muito séria, e mesmo eu dificilmente posso responder quais carteiras são continuamente seguras... mnemônicos/chaves privadas devem ser escondidas em chips de criptografia, ambientes offline ou ambientes confiáveis, e usar assinatura múltipla/ MPC para solteiro Só um pouco de problema."
Entende-se que a Atomic Wallet se posiciona como um aplicativo descentralizado e sem custódia, que não possui a chave privada do usuário, afirmando suportar atualmente mais de 1.000 criptomoedas e ter mais de 5 milhões de usuários em todo o mundo. "A Atomic Wallet atua como uma interface que permite aos usuários acessar seus fundos blockchain. A carteira e suas operações são protegidas por criptografia, e dados importantes, como chaves privadas e frases de backup, são armazenados com segurança no dispositivo local do usuário por meio de um algoritmo de criptografia confiável. "superiores".
Devido à sua natureza não custodial, a Atomic Wallet também afirmou claramente nos termos de serviço que os desenvolvedores não são responsáveis por quaisquer danos sofridos pelos usuários na cadeia. "Sob nenhuma circunstância a Atomic Wallet será responsável por danos causados por serviços superiores a US$ 50."
Finalmente, precisamos lembrar a todas as vítimas que contas falsas fingindo ser Atomic Wallet postaram tweets de reembolso no Twitter, e os usuários serão redirecionados para sites de phishing após clicarem, então eles precisam estar mais vigilantes. Ao pesquisar a conta oficial no Twitter, procure a certificação V azul - a conta falsa usa a certificação V ouro para confundir o público, a conta oficial é: @AtomicWallet.
Ver original
O conteúdo serve apenas de referência e não constitui uma solicitação ou oferta. Não é prestado qualquer aconselhamento em matéria de investimento, fiscal ou jurídica. Consulte a Declaração de exoneração de responsabilidade para obter mais informações sobre os riscos.
Atomic Wallet hackeada perdeu $ 35 milhões, inadvertidamente ou auto-tortuosamente A culpa?
Escrito por: Qin Xiaofeng
No último fim de semana, a carteira criptografada Atomic Wallet foi hackeada.
De acordo com as estatísticas do detetive on-chain ZachXBT, o valor total roubado neste ataque ultrapassou 35 milhões de dólares americanos, envolvendo BTC, ETH, USDT, Tron, BSC, ADA, Ripple, Polkadot, Cosmos, Algo, Avax, XLM, LTC e Doge, etc. Ativos, a maior perda pessoal foi de 7,95 milhões de USDT (versão TRC), e as cinco principais vítimas tiveram uma perda cumulativa de cerca de 17 milhões de dólares americanos, representando quase a metade.
Em 3 de junho, vários usuários da Atomic Wallet postaram nas mídias sociais que seus ativos de carteira foram roubados. A Atomic Wallet postou: "Recebemos denúncias de roubo de carteira e estamos fazendo todo o possível para investigar e analisar a causa. Se houver são mais notícias mais relevantes serão divulgadas o mais breve possível.”
Depois de esperar por quase dois dias, a Atomic Wallet divulgou oficialmente um tweet ambíguo esta manhã: "Atualmente, menos de 1% dos usuários ativos mensais foram afetados / relatados e uma investigação de segurança está em andamento; Atomic Wallet colocou a vítima Os endereços são notificados às principais bolsas e empresas de análise de blockchain para rastrear e impedir a transferência de fundos roubados.” A Atomic Wallet não respondeu às preocupações do usuário, como vetores de ataque de hackers, como evitar riscos e compensação subsequente.
O KOL "Tay" criptografado descobriu que o primeiro ataque ocorreu às 5h45 do dia 3 de junho (UTC+ 8), e a última transação roubada ocorreu às 23h30 UTC do dia 3 de junho (UTC+ 8), coletando os endereços das vítimas. ;O o hacker primeiro coleta os ativos roubados para um novo endereço e, em seguida, converte cada token no token básico da cadeia por meio de uniswap, mm swap, sunswap e outros DEXs e os transfere para o novo endereço novamente (aguardando operações subsequentes).
Após o ataque, buffalu, CEO da empresa de infraestrutura de criptografia Jito Labs, e Brian, chefe de negócios, ajudaram uma vítima a recuperar US$ 1 milhão em perdas.
Como o hacker conseguiu o ataque? O fundador do Btc 21.de "Joko" suspeita que haja um "patch malicioso" na Atomic Wallet, que enviará a chave privada ao invasor assim que o usuário abrir o aplicativo. A inferência vem de discussões da comunidade. Algumas vítimas disseram que seus bens foram roubados por hackers dentro de um minuto após o login no Atomic Wallet.
(Fórum de Vítimas)
Algumas vítimas também relataram que a chave privada de sua conta Atomic Wallet nunca foi copiada ou autorizada em outras plataformas, e eles não usaram um cartão SIM e raramente se conectaram ao Wi-Fi doméstico, mas todos os ativos da ADA ainda foram roubados por hackers . No entanto, há um detalhe que vale a pena observar: o usuário está usando o Atomic Wallet Android versão 1.13.20, e a versão mais recente é 1.15.1 (atualizada em 23 de maio de 2023), portanto, não é descartado que possa haver vulnerabilidades de segurança na versão antiga da carteira.
"Tay" analisou que o aplicativo da Atomic Wallet não foi desenvolvido de maneira segura, ou alguém enviou uma versão maliciosa do aplicativo e roubou a chave do usuário; ou eles (Atomic Wallet) inadvertidamente gravaram a chave privada do usuário em seus próprios servidores, que são acessados por atores maliciosos.
Deve-se notar que já há um ano, a empresa de segurança Least Authority divulgou que a Atomic Wallet tinha vulnerabilidades de segurança e alertou os usuários sobre os riscos.
(Anúncio de menor autoridade)
Em fevereiro de 2022, a Least Authority divulgou um relatório afirmando que a empresa, contratada pela primeira vez no início de 2021 para examinar o design do sistema Atomic e suas implementações de codificação de núcleo, desktop e móvel correspondentes, concluiu que havia vulnerabilidades que colocavam os usuários em "risco significativo" e deficiências , o relatório foi submetido à Atomic em abril de 2021. A Atomic respondeu às descobertas em novembro de 2021, indicando que atualizações e melhorias foram feitas. No entanto, ao revisar a versão modificada oferecida pela Atomic Wallet, a Least Authority descobriu que um grande número de problemas permanecia sem solução e representava um risco de segurança para os usuários. A Autoridade Menor emitiu oficialmente um aviso aos usuários para alertar sobre os riscos de acordo com os padrões de auditoria e políticas de divulgação. No entanto, esse aviso ainda não atraiu a atenção da Atomic Wallet e, até certo ponto, também colocou uma mina oculta para o ataque de hoje.
Em resposta ao roubo da Atomic Wallet, Yu Xian, fundador da empresa de segurança SlowMist, comentou: "É irônico que informações confidenciais como chave mnemônica/privada sejam entregues a uma carteira que não é responsável pela segurança ou pelo nível de segurança não é alto o suficiente. A assimetria de informação aqui é muito séria, e mesmo eu dificilmente posso responder quais carteiras são continuamente seguras... mnemônicos/chaves privadas devem ser escondidas em chips de criptografia, ambientes offline ou ambientes confiáveis, e usar assinatura múltipla/ MPC para solteiro Só um pouco de problema."
Entende-se que a Atomic Wallet se posiciona como um aplicativo descentralizado e sem custódia, que não possui a chave privada do usuário, afirmando suportar atualmente mais de 1.000 criptomoedas e ter mais de 5 milhões de usuários em todo o mundo. "A Atomic Wallet atua como uma interface que permite aos usuários acessar seus fundos blockchain. A carteira e suas operações são protegidas por criptografia, e dados importantes, como chaves privadas e frases de backup, são armazenados com segurança no dispositivo local do usuário por meio de um algoritmo de criptografia confiável. "superiores".
Devido à sua natureza não custodial, a Atomic Wallet também afirmou claramente nos termos de serviço que os desenvolvedores não são responsáveis por quaisquer danos sofridos pelos usuários na cadeia. "Sob nenhuma circunstância a Atomic Wallet será responsável por danos causados por serviços superiores a US$ 50."
Finalmente, precisamos lembrar a todas as vítimas que contas falsas fingindo ser Atomic Wallet postaram tweets de reembolso no Twitter, e os usuários serão redirecionados para sites de phishing após clicarem, então eles precisam estar mais vigilantes. Ao pesquisar a conta oficial no Twitter, procure a certificação V azul - a conta falsa usa a certificação V ouro para confundir o público, a conta oficial é: @AtomicWallet.