TRI:慢雾：IOTA重大被盗币事件的分析与安全建议

一些天前我们注意到IOTA暂停了主网，虽然早前我们也知道IOTA用户遭遇了盗币攻击，但没想到IOTA官方会通过暂停主网方式来进行这次盗币攻击的阻拦与调查，看来问题很严重。随后，2020/02/19，我们深入分析了官方披露在status.iota.org上的一些线索，开始独立调查这次严重安全事故的具体原因。通过对IOTA官方钱包Trinity新版本发布的分析，我们在其GitHub上进行了版本比对，注意到了MoonPay这个第三方组件被移除，且我们注意到Trinitiy桌面钱包是基于Electron开发的，安全经验告诉我们，这可能是个大坑，于是，我们2020/02/19时发布了一些推测：慢雾：IOTA用户Trinity钱包被盗币攻击推测IOTA因为近期不少用户的Trinity钱包被盗币攻击，为了阻止攻击继续、调查与修复具体原因，主网协调器都暂停运行了。这是一个被低估的经典攻击，官方没披露具体攻击细节，但通过我们的分析，可以做出某些重要推测，首先可以明确的几个点：不是IOTA区块链协议的问题，是IOTA的Trinity桌面钱包的问题这款桌面钱包基于Electron(一个使用JavaScript为核心构建桌面应用的框架)，意味着核心代码是JavaScript写的在做该做钱包新旧版本代码的diff分析时，发现去除了之前内置的一个交易所功能模块MoonPay，这其中关键点是去掉了一段可怕的代码：

慢雾：远程命令执行漏洞CVE-2023-37582在互联网上公开，已出现攻击案例:金色财经报道，据慢雾消息，7.12日Apache RocketMQ发布严重安全提醒，披露远程命令执行漏洞（CVE-2023-37582）目前PoC在互联网上公开，已出现攻击案例。Apache RocketMQ是一款开源的分布式消息和流处理平台，提供高效、可靠、可扩展的低延迟消息和流数据处理能力，广泛用于异步通信、应用解耦、系统集等场景。加密货币行业有大量平台采用此产品用来处理消息服务，注意风险。漏洞描述：当RocketMQ的NameServer组件暴露在外网时，并且缺乏有效的身份认证机制时，攻击者可以利用更新配置功能，以RocketMQ运行的系统用户身份执行命令。[2023/7/14 10:54:22]

慢雾：近期出现新的流行恶意盗币软件Mystic Stealer，可针对40款浏览器、70款浏览器扩展进行攻击:6月20日消息，慢雾首席信息安全官@IM_23pds在社交媒体上发文表示，近期已出现新的加密货币盗窃软件Mystic Stealer，该软件可针对40款浏览器、70款浏览器扩展、加密货币钱包进行攻击，如MetaMask、Coinbase Wallet、Binance、Rabby Wallet、OKX Wallet、OneKey等知名钱包，是目前最流行的恶意软件，请用户注意风险。[2023/6/20 21:49:05]

如果这个第三方JavaScript链接主动或被黑作恶，那该桌面版钱包就可以认为是完全沦陷了。到这，我们很有理由相信这是个很大的定时炸弹，如果这个定时炸弹是真的炸了，那很吻合官方的一些说辞与解释，如：尽快升级新版本的Trinity桌面钱包，尽快改密码，尽快转移资产到安全种子里等等。且看官方的后续披露。今天(2020/02/22)，我们注意到了官方披露了一些细节，基本验证了我们的推测。https://blog.iota.org/重点关注下这段：TheattackerstartedonNovember27th,2019withaDNS-interceptionProofofConceptthatusedaCloudflareAPIkeytorewritetheapi.moonpay.ioendpoints,capturingalldatagoingtoapi.moonpay.ioforpotentialanalysisorexfiltration.Anotherlonger-runningProofofConceptwasevaluatedbytheattackeronemonthlater,onDecember22nd,2019.OnJanuary25th,2020,theactiveattackonTrinitybegan,wheretheattackerstartedshippingillicitcodeviaMoonpay’sDNSprovideratCloudflare.攻击者利用MoonPay的CloudflareAPIKey完成了后续一系列劫持攻击，预估被盗的IOTA达8.55Ti(8550000枚MIOTA，MIOTA现在是交易所默认最小交易单元，当前价格0.267美金/MIOTA)。根据我们历史经验，如果Web服务方使用了Cloudflare，而其Cloudflare账号权限被控制，就可以做到非常完美的中间人劫持攻击，注入恶意JavaScript。而Trinity桌面钱包又是基于Electron，一个完美的JavaScript执行环境就摆在这，不需要任何特别的越权，JavaScript可以完成用户或Trinity钱包可以完成的任何事情，其中就包括密码和种子的盗取等等。由于我们不像IOTA和MoonPay官方，他们拥有足够的日志记录来将攻击过程完整掌握，我们只能通过我们所能接触到的完成以上推测与相关分析工作。剩下的就希望官方公布具体细节并尽快完成主网的重新运行。在这，我们不得不提的一些安全看法及建议：第三方是可以邪恶的，默认都不可信，软件安全开发过程一定要警惕第三方依赖，包括第三方组件与第三方JavaScript链接注：IOTA基金会联合创始人DominikSchiener表示：「此次攻击是由于集成MoonPay的漏洞造成，Trinity钱包所犯的最大错误是没有集成NPM软件包，并且没有适当地对集成进行安全审核」。我们站在第三方独立安全审计的角度认为，这种说法是不严谨的，在加密货币发展的历史上，因为NPM包中引用的第三方源而导致的加密货币被盗案件不在少数。如知名的「event-stream」事件Cloudflare等第三方CDN/WAF服务很优秀很强大，但如果使用者没安全管理好自己的账号权限，其Web服务将会遭遇完美的中间人攻击公链官方钱包的一个致命缺陷可能搞垮一条公链，链上安全关注的同时，链下安全也不能忽视，他们是一直整体，这也是为什么我们关注的是区块链生态安全，而不是仅仅区块链本身的链上安全作为IOTA官方钱包Trinity的使用者来说，尽快按官方的指导完成安全加固工作，这个就不多说了相关链接：TrinityAttackIncidentPart1:SummaryandnextstepsTrinityAttackIncidentPart2:TrinitySeedMigrationPlanTrinityAttackIncidentPart3:KeyLearnings&TakeawaysIOTAStatusPage:如何看待NPM包event-stream被黑客篡改，发现包含恶意代码？

慢雾：Rubic协议错将USDC添至Router白名单，导致已授权合约用户USDC遭窃取:12月25日消息，据慢雾安全团队情报，Rubic跨链聚合器项目遭到攻击，导致用户账户中的USDC被窃取。慢雾安全团队分享如下：1. Rubic是一个DEX跨链聚合器，用户可以通过RubicProxy合约中的routerCallNative函数进行Native Token兑换。在进行兑换前，会先检查用户传入的所需调用的目标 Router是否在协议的白名单中。

2. 经过白名单检查后才会对用户传入的目标Router进行调用，调用数据也由用户外部传入。

3. 不幸的是USDC也被添加到Rubic协议的Router白名单中，因此任意用户都可以通过RubicProxy合约任意调用USDC。

4. 恶意用户利用此问题通过routerCallNative函数调用USDC合约将已授权给RubicProxy合约的用户的USDC通过transferFrom接口转移至恶意用户账户中。

此次攻击的根本原因在于Rubic协议错误的将USDC添加进Router白名单中，导致已授权给RubicProxy合约的用户的USDC被窃取。[2022/12/26 22:07:00]

慢雾：Moonbirds的Nesting Contract相关漏洞在特定场景下才能产生危害:据慢雾区情报反馈，Moonbirds 发布安全公告，Nesting Contract 存在安全问题。当用户在 OpenSea 或者 LooksRare等NFT交易市场进行挂单售卖时。卖家不能仅通过执行 nesting(筑巢) 来禁止NFT售卖，而是要在交易市场中下架相关的 NFT 售卖订单。否则在某个特定场景下买家将会绕过 Moonbirds 在nesting(筑巢)时不能交易的限制。慢雾安全团队经过研究发现该漏洞需要在特定场景才能产生危害属于低风险。建议 Moonbirds 用户自行排查已 nesting(筑巢)的 NFT 是否还在 NTF 市场中上架，如果已上架要及时进行下架。更多的漏洞细节请等待 Moonbirds 官方的披露。[2022/5/30 3:50:23]

标签：IOTIOTARINTRIiota币目前的最新消息iota币值得重仓吗print币怎么删除TRISM

fil币价格今日行情热门资讯