Два года назад была обнаружена уязвимость в системе безопасности, но она не была своевременно обновлена.
Автор: Цинь Сяофэн
В минувшие выходные был взломан зашифрованный кошелек Atomic Wallet.
Согласно статистике ончейн-детектива ZachXBT, общая сумма, украденная в ходе этой атаки, превысила 35 миллионов долларов США, включая BTC, ETH, USDT, Tron, BSC, ADA, Ripple, Polkadot, Cosmos, Algo, Avax, XLM, LTC и Doge и т. д. Активы, самые большие личные потери составили 7,95 млн долларов США (версия TRC), а совокупные убытки пяти крупнейших жертв составили около 17 млн долларов США, что составляет почти половину.
3 июня несколько пользователей Atomic Wallet опубликовали в социальных сетях информацию о том, что активы их кошелька были украдены. Затем Atomic Wallet написал: «Мы получили сообщения о краже кошелька и делаем все возможное, чтобы расследовать и проанализировать причину. Более актуальные новости будут опубликованы как можно скорее».
Прождав почти два дня, сегодня утром Atomic Wallet официально опубликовал двусмысленный твит: «В настоящее время менее 1% ежемесячно активных пользователей были затронуты / зарегистрированы, и ведется расследование безопасности; Atomic Wallet поместил жертву. Адреса уведомлены крупным биржам и фирмам, занимающимся анализом блокчейна, чтобы отследить и остановить перевод украденных средств». Atomic Wallet не ответил на вопросы пользователей, такие как векторы хакерских атак, способы избежать рисков и последующая компенсация.
Зашифрованный KOL «Tay» обнаружил, что самая ранняя атака произошла в 5:45 3 июня (UTC+8), а последняя украденная транзакция произошла в 23:30 UTC 3 июня (UTC+8) путем сбора адресов жертв. хакер сначала собирает украденные активы на новый адрес, а затем конвертирует каждый токен в базовый токен цепочки через uniswap, mm swap, sunswap и другие DEX и снова переводит их на новый адрес (ожидая последующих операций).
После атаки Баффалу, генеральный директор компании по инфраструктуре шифрования Jito Labs, и Брайан, руководитель бизнеса, помогли жертве возместить убытки в размере 1 миллиона долларов.
Как хакеру удалось осуществить атаку? Основатель Btc 21.de «Джоко» подозревает, что в Atomic Wallet есть «вредоносный патч», который отправит злоумышленнику закрытый ключ, как только пользователь откроет приложение. Вывод сделан из обсуждений в сообществе: некоторые жертвы заявили, что их активы были украдены хакерами в течение одной минуты после входа в Atomic Wallet.
(Форум жертвы)
Некоторые жертвы также сообщали, что закрытый ключ их учетной записи Atomic Wallet никогда не резервировался и не авторизовался на других платформах, они не использовали SIM-карту и редко подключались к своему домашнему Wi-Fi, но все активы ADA все равно были украдены хакерами. Однако стоит отметить одну деталь: пользователь использует Atomic Wallet Android версии 1.13.20, а последняя версия 1.15.1 (обновление от 23 мая 2023 г.), поэтому не исключено наличие уязвимостей в системе безопасности. в старой версии кошелька.
«Tay» проанализировал, что приложение Atomic Wallet не было создано безопасным образом, либо кто-то запустил вредоносную версию приложения и украл ключ пользователя, либо они (Atomic Wallet) непреднамеренно записали закрытый ключ пользователя на свои собственные серверы, которые доступ злоумышленников.
Стоит отметить, что еще год назад охранная компания Least Authority раскрыла, что Atomic Wallet имеет уязвимости в системе безопасности, и предупредила пользователей о рисках.
(Объявление с наименьшим авторитетом)
В феврале 2022 года Least Authority выпустила отчет, в котором говорится, что компания, впервые нанятая в начале 2021 года для изучения конструкции системы Atomic и соответствующих реализаций кодирования ядра, настольных и мобильных устройств, пришла к выводу о наличии уязвимостей, подвергающих пользователей «значительному риску», и недостатков. , отчет был представлен Atomic в апреле 2021 года. Atomic отреагировала на выводы в ноябре 2021 года, указав, что были внесены обновления и улучшения. Однако при рассмотрении модифицированной версии, предлагаемой Atomic Wallet, Least Authority обнаружил, что большое количество проблем остается нерешенным и представляет угрозу безопасности для пользователей. Наименьший орган официально выпустил предупреждение для пользователей о рисках в соответствии со стандартами аудита и политиками раскрытия информации. Однако это предупреждение все равно не привлекло внимания Atomic Wallet и в какой-то мере заложило скрытую мину для сегодняшней атаки.
В ответ на кражу Atomic Wallet Юй Сянь, основатель охранной компании SlowMist, прокомментировал: «Забавно, что такая конфиденциальная информация, как мнемоник/закрытый ключ, передается кошельку, который не отвечает за безопасность или уровень безопасности. недостаточно высока.Информационная асимметрия здесь слишком серьезная, и даже я с трудом могу ответить, какие кошельки постоянно защищены... MPC на сингл Просто немного неприятностей».
Понятно, что Atomic Wallet позиционирует себя как децентрализованное, не связанное с хранением приложение, которое не владеет закрытым ключом пользователя, утверждает, что в настоящее время поддерживает более 1000 криптовалют и имеет более 5 миллионов пользователей по всему миру. «Atomic Wallet действует как интерфейс, который позволяет пользователям получать доступ к своим средствам в блокчейне. Кошелек и его операции защищены шифрованием, а ключевые данные, такие как закрытые ключи и резервные фразы, надежно хранятся на локальном устройстве пользователя с помощью надежного алгоритма шифрования. "высший".
Из-за того, что Atomic Wallet не связан с тюремным заключением, в условиях обслуживания также четко указано, что разработчики не несут ответственности за любой ущерб, понесенный пользователями в сети. «Ни при каких обстоятельствах Atomic Wallet не будет нести ответственность за ущерб, причиненный услугами, стоимость которых превышает 50 долларов США».
Наконец, мы должны напомнить всем жертвам, что поддельные учетные записи, выдающие себя за Atomic Wallet, публиковали твиты о возмещении в Twitter, и пользователи будут перенаправлены на фишинговые веб-сайты после нажатия, поэтому они должны быть более бдительными. При поиске официальной учетной записи в Твиттере ищите синюю сертификацию V — поддельная учетная запись использует золотую сертификацию V, чтобы запутать общественность, официальная учетная запись: @AtomicWallet.
Посмотреть Оригинал
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
Взломанный кошелек Atomic потерял 35 миллионов долларов, непреднамеренно или самовольно виноват?
Автор: Цинь Сяофэн
В минувшие выходные был взломан зашифрованный кошелек Atomic Wallet.
Согласно статистике ончейн-детектива ZachXBT, общая сумма, украденная в ходе этой атаки, превысила 35 миллионов долларов США, включая BTC, ETH, USDT, Tron, BSC, ADA, Ripple, Polkadot, Cosmos, Algo, Avax, XLM, LTC и Doge и т. д. Активы, самые большие личные потери составили 7,95 млн долларов США (версия TRC), а совокупные убытки пяти крупнейших жертв составили около 17 млн долларов США, что составляет почти половину.
3 июня несколько пользователей Atomic Wallet опубликовали в социальных сетях информацию о том, что активы их кошелька были украдены. Затем Atomic Wallet написал: «Мы получили сообщения о краже кошелька и делаем все возможное, чтобы расследовать и проанализировать причину. Более актуальные новости будут опубликованы как можно скорее».
Прождав почти два дня, сегодня утром Atomic Wallet официально опубликовал двусмысленный твит: «В настоящее время менее 1% ежемесячно активных пользователей были затронуты / зарегистрированы, и ведется расследование безопасности; Atomic Wallet поместил жертву. Адреса уведомлены крупным биржам и фирмам, занимающимся анализом блокчейна, чтобы отследить и остановить перевод украденных средств». Atomic Wallet не ответил на вопросы пользователей, такие как векторы хакерских атак, способы избежать рисков и последующая компенсация.
Зашифрованный KOL «Tay» обнаружил, что самая ранняя атака произошла в 5:45 3 июня (UTC+8), а последняя украденная транзакция произошла в 23:30 UTC 3 июня (UTC+8) путем сбора адресов жертв. хакер сначала собирает украденные активы на новый адрес, а затем конвертирует каждый токен в базовый токен цепочки через uniswap, mm swap, sunswap и другие DEX и снова переводит их на новый адрес (ожидая последующих операций).
После атаки Баффалу, генеральный директор компании по инфраструктуре шифрования Jito Labs, и Брайан, руководитель бизнеса, помогли жертве возместить убытки в размере 1 миллиона долларов.
Как хакеру удалось осуществить атаку? Основатель Btc 21.de «Джоко» подозревает, что в Atomic Wallet есть «вредоносный патч», который отправит злоумышленнику закрытый ключ, как только пользователь откроет приложение. Вывод сделан из обсуждений в сообществе: некоторые жертвы заявили, что их активы были украдены хакерами в течение одной минуты после входа в Atomic Wallet.
(Форум жертвы)
Некоторые жертвы также сообщали, что закрытый ключ их учетной записи Atomic Wallet никогда не резервировался и не авторизовался на других платформах, они не использовали SIM-карту и редко подключались к своему домашнему Wi-Fi, но все активы ADA все равно были украдены хакерами. Однако стоит отметить одну деталь: пользователь использует Atomic Wallet Android версии 1.13.20, а последняя версия 1.15.1 (обновление от 23 мая 2023 г.), поэтому не исключено наличие уязвимостей в системе безопасности. в старой версии кошелька.
«Tay» проанализировал, что приложение Atomic Wallet не было создано безопасным образом, либо кто-то запустил вредоносную версию приложения и украл ключ пользователя, либо они (Atomic Wallet) непреднамеренно записали закрытый ключ пользователя на свои собственные серверы, которые доступ злоумышленников.
Стоит отметить, что еще год назад охранная компания Least Authority раскрыла, что Atomic Wallet имеет уязвимости в системе безопасности, и предупредила пользователей о рисках.
(Объявление с наименьшим авторитетом)
В феврале 2022 года Least Authority выпустила отчет, в котором говорится, что компания, впервые нанятая в начале 2021 года для изучения конструкции системы Atomic и соответствующих реализаций кодирования ядра, настольных и мобильных устройств, пришла к выводу о наличии уязвимостей, подвергающих пользователей «значительному риску», и недостатков. , отчет был представлен Atomic в апреле 2021 года. Atomic отреагировала на выводы в ноябре 2021 года, указав, что были внесены обновления и улучшения. Однако при рассмотрении модифицированной версии, предлагаемой Atomic Wallet, Least Authority обнаружил, что большое количество проблем остается нерешенным и представляет угрозу безопасности для пользователей. Наименьший орган официально выпустил предупреждение для пользователей о рисках в соответствии со стандартами аудита и политиками раскрытия информации. Однако это предупреждение все равно не привлекло внимания Atomic Wallet и в какой-то мере заложило скрытую мину для сегодняшней атаки.
В ответ на кражу Atomic Wallet Юй Сянь, основатель охранной компании SlowMist, прокомментировал: «Забавно, что такая конфиденциальная информация, как мнемоник/закрытый ключ, передается кошельку, который не отвечает за безопасность или уровень безопасности. недостаточно высока.Информационная асимметрия здесь слишком серьезная, и даже я с трудом могу ответить, какие кошельки постоянно защищены... MPC на сингл Просто немного неприятностей».
Понятно, что Atomic Wallet позиционирует себя как децентрализованное, не связанное с хранением приложение, которое не владеет закрытым ключом пользователя, утверждает, что в настоящее время поддерживает более 1000 криптовалют и имеет более 5 миллионов пользователей по всему миру. «Atomic Wallet действует как интерфейс, который позволяет пользователям получать доступ к своим средствам в блокчейне. Кошелек и его операции защищены шифрованием, а ключевые данные, такие как закрытые ключи и резервные фразы, надежно хранятся на локальном устройстве пользователя с помощью надежного алгоритма шифрования. "высший".
Из-за того, что Atomic Wallet не связан с тюремным заключением, в условиях обслуживания также четко указано, что разработчики не несут ответственности за любой ущерб, понесенный пользователями в сети. «Ни при каких обстоятельствах Atomic Wallet не будет нести ответственность за ущерб, причиненный услугами, стоимость которых превышает 50 долларов США».
Наконец, мы должны напомнить всем жертвам, что поддельные учетные записи, выдающие себя за Atomic Wallet, публиковали твиты о возмещении в Twitter, и пользователи будут перенаправлены на фишинговые веб-сайты после нажатия, поэтому они должны быть более бдительными. При поиске официальной учетной записи в Твиттере ищите синюю сертификацию V — поддельная учетная запись использует золотую сертификацию V, чтобы запутать общественность, официальная учетная запись: @AtomicWallet.