Atomic Wallet 遭黑客攻擊損失 3500 萬美元,無心之失還是咎由自取?
撰文:秦曉峰,Odaily星球日報
上週末,加密錢包 Atomic Wallet 遭遇黑客攻擊。
根據鏈上偵探 ZachXBT 統計,本次攻擊被盜總額已超 3500 萬美元,涉及 BTC、ETH、USDT、Tron、BSC、ADA、Ripple、Polkadot、Cosmos、Algo、Avax、XLM、LTC 和 Doge 等多個資產;最大個人損失為 795 萬枚 USDT(TRC 版),排名前五的受害者累計損失約 1700 萬美元,占比近一半。
6 月 3 日,多名 Atomic Wallet 用戶在社交媒體發文稱自己的錢包資產被盜,Atomic Wallet 隨後發文稱:「我們收到了錢包被盜的報告,正在盡一切努力調查和分析原因。如果有更多相關消息,會第一時間發布。」
在等待了近兩天後,今天上午 Atomic Wallet 官方只發布了一份語焉不詳的推文,「目前不到 1% 的月活用戶受到影響 / 已上報,安全調查正在進行中;Atomic Wallet 已將受害者地址告知主要交易所和區塊鏈分析公司,以追蹤並阻止被盜資金轉移」。對於黑客攻擊媒介、如何避險以及後續補償等用戶關心的問題,Atomic Wallet 並未給出回應。
加密 KOL「Tay」通過收集受害者地址分析發現,最早的攻擊發生在 6 月 3 日 5: 45 (UTC+ 8 ),最新一筆被盜交易發生在 6 月 3 日 23: 30 UTC(UTC+ 8 );黑客首先將被盜資產歸集到一個新地址,而後通過 uniswap、mm swap、sunswap 等 DEX 將各個代幣兌換為該鏈的基礎代幣並再次轉移至新地址(等待後續操作)。
攻擊發生後,加密基礎設施公司 Jito Labs 首席執行官 buffalu 和業務負責人 Brian 出手,幫助一名受害者成功挽回 100 萬美元損失。
黑客是如何實現攻擊的?Btc 21.de 創始人 「Joko」 懷疑 Atomic Wallet 存在一個「惡意補丁」,一旦用戶打開應用程序,它就會將私鑰發送給攻擊者。該推斷來自社區討論,有受害者表示,自己在登錄 Atomic Wallet 後一分鐘內,資產就被黑客盜竊。
(受害者論壇)
也有受害者反映,自己的 Atomic Wallet 賬戶私鑰從未在其他平台進行備份或授權,並且也沒有使用 SIM 卡,很少連接家庭 WiFi,但依然被黑客盜走了所有的 ADA 資產。不過有一個細節值得注意,該用戶使用的是 Atomic Wallet 安卓版本 1.13.20 ,最新版本為 1.15.1 (2023 年 5 月 23 日更新),因此不排除是舊版本錢包存在安全漏洞的可能。
「Tay」分析認為,Atomic Wallet 的應用程序沒有以安全的方式構建,要麼是有人推送了惡意版本的應用程序,竊取了用戶的密鑰;或者他們(Atomic Wallet)無意中將用戶的私鑰記錄到自己的伺服器上,而這些伺服器被惡意行為者訪問。
需要注意的是,早在一年前,安全公司 Least Authority 就曾披露 Atomic Wallet 存在安全漏洞,並警告用戶注意風險。
(Least Authority 公告)
2022 年 2 月,Least Authority 發布報告稱,該公司於 2021 年初首次受聘檢查 Atomic 的系統設計及其相應的核心、桌面和移動編碼實現,得出的結論是存在使用戶面臨「重大風險」的漏洞和不足,該報告於 2021 年 4 月提交給 Atomic。Atomic 在 2021 年 11 月對調查結果做出了回應,表明已進行更新和改進。然而,Least Authority 在審查 Atomic Wallet 提供的修改後版本中,發現大量問題仍未解決,並對用戶構成安全風險。根據審計準則和披露政策,Least Authority 正式向用戶發布警告,以警示風險。但這一警示依然沒有引起 Atomic Wallet 的重視,某種程度上也為今天的攻擊埋下了暗雷。
針對 Atomic Wallet 被盜事件,安全公司慢霧創始人余弦評論稱:「助記詞 / 私鑰如此敏感的信息交給對安全不夠負責任或安全等級不足夠高的錢包來守護,簡直就是諷刺。這裡的信息不對稱太嚴重了,連我都難以回答哪些錢包是持續安全的……助記詞 / 私鑰就應該躲在加密芯片、離線環境或可信環境裡,用多簽 /MPC 去單點故障也行。」
據了解,Atomic Wallet 將自己定位為不擁有用戶私鑰的去中心化、非托管應用程序,號稱目前支持超過 1000 種加密貨幣,在全球擁有超過 500 萬用戶。「Atomic Wallet 作為一個接口,使用戶能夠訪問他們的區塊鏈資金。錢包及其操作是受加密保護的,私鑰和備份短語等關鍵數據,通過可靠的加密算法安全地存儲在用戶的本地設備上。」
由於非托管的屬性,Atomic Wallet 也在服務條款中明確說明,開發者對用戶遭受的鏈上損害不承擔任何責任。「在任何情況下,Atomic Wallet 都不會對超過 50 美元的服務造成的損害承擔責任。」
最後,需要提醒廣大受害者,目前推特上已經出現虛假賬戶冒充 Atomic Wallet 發布退款推文,用戶點擊後會跳轉至釣魚網站,需要提高警惕。在推特搜索官方賬戶時,認準藍 V 認證------虛假賬戶使用金 V 認證混淆視聽,官方賬戶為:@AtomicWallet。