數字貨幣:假期安全提醒：捂好錢包，黑客也要回家過年

近期，CertiK發布了《2022年Web3.0行業安全報告》，在報告中我們可以看到2022年對于整個數字資產行業來說是艱難的一年。2022年惡意行為者從Web3.0協議中盜取了價值超過37億美元的資產，這個數字比2021年的13億美元損失增加了189%。這些資產被盜的原因大部分是由于網絡釣魚攻擊中的私鑰泄露或智能合約中的漏洞，但也有相當數量的資金是被盜于數字貨幣錢包。這些錢包事件既影響了個人用戶，如FenbushiCapital的BoShen：4200萬美元的數字貨幣資產被盜；也影響了大批用戶群體，如Slope及Bitkeep錢包事件，影響了超過9000個用戶賬戶。然而這些事件中的一部分原本是可以避免的——因為這些漏洞可以在錢包安全評估中被發現。CertiK在過去幾年中已經保障了數百個錢包應用的安全。在本文中，我們將重新審視2022年發生的與數字貨幣錢包相關的主要安全事件，并探討其技術細節。此外，我們將對我們在為客戶的錢包應用程序進行研究和安全評估時發現的常見安全漏洞進行總結。文末我們將列出一些可供錢包用戶參考的安全建議，以降低被黑風險。~2022年主要的加密貨幣錢包相關事件~

Ark Invest上周五增持1260萬美元的Coinbase股票和1810萬美元的Block股票:3月27日消息，Cathie Wood旗下Ark Invest上周五購買再次價值1260萬美元的Coinbase (COIN) 股票，這是該基金在3月22日收到美國證券交易委員會 (SEC) 的Wells通知后連續第二天購買加密貨幣交易所的股票。該股周五上漲 1.5%，收于每股67.83美元。根據美國時間周五晚上發送的一封電子郵件，155,833股流向了ARK Innovation EFT (ARKK)，26,395股流向了ARK Next Generation Internet EFT (ARKW)。（CoinDesk）[2023/3/27 13:28:34]

Slope錢包

2022年最著名、影響最大的加密貨幣錢包安全事件源于Slope錢包對私鑰的不當處理。Slope錢包是一個非托管的數字貨幣錢包，適用于iOS和Android、Chrome瀏覽器的擴展。它支持多個區塊鏈，但主要活躍于Solana區塊鏈。2022年8月2日晚，價值約410萬美元的資產在大約四個小時的時間里被從9231名用戶的錢包地址中盜取。在事件發生的前幾個小時，當根本原因不明時，用戶就已出現了恐慌，Solana區塊鏈被黑的謠言也開始不脛而走。在攻擊發生的幾小時后，一名推特用戶發布了一張截圖，顯示了來自Slope移動錢包的HTTP流量。CertiK發現在導入錢包賬戶時，用戶的助記詞將被發送到Slope的Sentry日志服務器，任何有權訪問日志的人都可以接管該賬戶并從該地址轉移所有資產。

PeckShield：BNB Chain上一未驗證合約遭到攻擊，黑客獲利超22萬美元:金色財經報道，據 PeckShield 監測，BNB Chain 上一未驗證合約（0x6D8981847Eb3cc2234179d0F0e72F6b6b2421a01），黑客獲利約 22.5 萬美元。目前黑客已將盜取的約 22.5 萬枚 DAI 以及少量以太坊通過 Multichain 跨鏈至以太坊并最終轉入 RAILGUN。[2023/2/27 12:31:56]

該攻擊事件發生兩周后，Slope錢包發布了“取證和事件響應報告”。從報告中我們可以得知，2022年7月28日起，用戶私鑰就已經會被記錄于數據庫中，然而這一漏洞風險在經過安全審計或是內部審查后其實非常容易被發現。發布報告后至今，Slope錢包團隊未于社交媒體上再發表任何回應。Profanity

Profanity是一個基于GPU的Vanity地址生成工具，允許用戶生成自己喜歡的Vanity自定義外部賬戶和智能合約地址。Profanity使用一個隨機的種子數來將其擴展為初始私鑰，并通過GPU根據初始私鑰計算數百萬個帳戶，以此暴力創建滿足用戶要求的地址。從技術上講，Profity并不是一個錢包應用程序，但它確實有一個與幾乎所有數字貨幣錢包通用的功能：生成錢包賬戶。這就是由風險賬戶導致了惡劣后果的完美案例。2022年9月15日，1Inch團隊發表了一篇文章《以太坊vanity地址工具Profanity中披露的一個漏洞》，講述Profanity工具使用不安全的種子，該工具生成賬戶的私鑰可以被輕易破解。此后該漏洞首次引起了人們的注意。五天后，即9月20日，最大數字資產做市商之一的Wintermute的一個錢包賬戶被黑，攻擊者利用該賬戶從一個智能合約中提取了約1.625億美元。10月11日，QanxBridge的部署者賬戶被黑，攻擊者利用該賬戶從Bridge上提取$Qanx并出售。多個攻擊者同時也在區塊鏈上積極尋找有漏洞的賬戶并竊取資金。

俄羅斯央行考慮允許在對外貿易中使用加密貨幣:12月16日消息，俄羅斯央行行長Elvira Nabiullina表示，俄羅斯央行準備考慮允許在國內使用加密貨幣，但這只是作為法律實驗的一部分。

Nabiullina在12月16日的俄羅斯央行新聞發布會上表示，“可以將通過該國授權組織進行的交易視為實驗性法律制度的一部分，但這需要相關法律。”Nabiullina強調說，俄羅斯央行唯一的反對意見一直是加密貨幣不能用作支付工具。她補充說，中央銀行還擔心投資者保護，因為加密市場非常不穩定。

俄羅斯央行副行長Alexey Zabotkin表示，雖然俄羅斯并未正式禁止其人民投資加密貨幣，但俄羅斯央行認為，加密貨幣的大規模采用將不可避免地導致其被用作支付方式。因此，如果采用，俄羅斯的實驗制度將用于支持俄羅斯境內的加密貨幣使用，但僅用于支持對外貿易。（Cointelegraph）[2022/12/17 21:49:39]

這類問題的根本原因在于，種子總數也許只有2^32。不安全的種子和可逆的暴力過程使恢復使用該工具生成賬戶的私鑰成為可能。CertiK成功開發了一個概念驗證程序，并能夠恢復Wintermute和Qanx部署者賬戶的私鑰。這樣的事件并非獨例。2013年，Android系統的隨機數生成器中，一個類似的漏洞被發現，影響了比特幣錢包的創建。密碼學是一個復雜的領域，因此很容易犯下損害安全的錯誤。一條金科玉律就是“don'trollyourowncrypto”。幸運的是，大多數數字貨幣錢包在處理創建錢包賬戶時，都會使用如"bip39"這樣的既定的庫。MetaMask的iCloud備份

Bitpanda在宣布裁員三分之一的三周前曾表示無大規模裁員計劃:7月2日消息，加密貨幣和大宗商品交易平臺Bitpanda此前曾告訴其員工，在經濟低迷時期不會進行大規模裁員，而就在三周后，該公司就宣布了進行大規模裁員的消息。

5月31日的Slack截圖顯示，該公司首席產品官Lukas Enzersdorfer-Konrad曾試圖消除該公司將裁員和停止招聘的“傳言”。

Enzersdorfer-Konrad稱：“Bitpanda內部不會有任何形式的大規模裁員。我們還沒有達到極限，并將繼續招聘，直到我們需要的職位都招滿為止。”

他當時表示，該公司“資金非常充足”，沒有流動性問題。同時也指出該公司2022年的財務業績“低于預算”，但他表示，這是由宏觀經濟條件造成的，包括供應危機和俄烏沖突。這位高管敦促員工專注于產品和技術基礎設施的改善，為“下一輪牛市”做準備。

一位Bitpanda發言人日前對此發表評論稱：“在公司宣布重組的三周前，我們還沒有這個計劃，而且我們一直在向員工透明地傳達這些信息。”他補充說：“由于法律限制，我們無法公開溝通，在官方宣布前幾天，我們才做出了這個艱難的決定。”Bitpanda表示，它正在盡最大努力支持那些受到重組影響的員工。

此前6月25日消息，Bitpanda宣布裁員，員工人數將削減至大約730人。雖然具體裁員人數暫未公布，但據LinkedIn數據，解雇的全職和兼職員工共計約277人。（The Block）[2022/7/2 1:46:13]

4月17日，被3000多萬人用來存儲和管理數字資產的主流加數字幣錢包MetaMask警告其iOS用戶，在AppleiCloud中存儲錢包秘密存在潛在風險。如助記詞這樣的錢包敏感信息在上傳到iCloud時是加密的，但如果其所有者的Apple賬戶被泄露，且使用了低強度的密碼，那他們的數字資產很可能會面臨風險。這一警告是由一次代價高昂的釣魚攻擊換來的。在這次攻擊中，推特賬號為@revive_dom的用戶DomenicIacovone損失了大量的數字貨幣和非同質化token，總計價值約65萬美金。騙子假裝是Apple公司的支持人員，借此獲得了Iacovone的iCloud賬戶的訪問權，并使用存儲的MetaMask憑證耗盡了他的錢包，讓他成為了這場社會工程攻擊的受害者。錢包應將包含助記詞的保管庫存儲于不會被iCloud備份的位置，如果這一點無法實現，應用程序也應警告用戶：在創建賬戶時禁用iCloud備份以確保錢包安全。SeaFlower

智度股份：公司將結合自身區塊鏈技術優勢在應用內探索元宇宙經濟系統:金色財經報道，智度股份(000676)董秘在回答投資者問時表示，社交游戲“美麗新世界”—基于VR環境的沉浸式社交游戲項目目前進展順利，同時還將結合公司自身區塊鏈技術優勢在應用內探索元宇宙經濟系統和開放式UGC功能建設，發揮個體創造力，滿足玩家參與感，營造超越空間和時間限制的元域“美麗新世界”。此外，公司與王者榮耀、和平精英、英雄聯盟LOL手游在游戲聯運方面有業務合作。公司將根據元宇宙業務發展情況，探討更多元宇宙游戲場景的落地。[2022/6/13 4:21:19]

一個安全研究小組發現，有一個組織SeaFlower正在傳播合法數字貨幣錢包的惡意版本，會導致用戶的助記詞被通過后門竊取。這些修改過的錢包會按照預期運行，但允許攻擊者通過使用竊取的助記詞來獲取用戶的數字貨幣。SeaFlower向盡可能多的用戶傳播數字貨幣錢包應用程序的木馬版本是通過包括創建山寨網站和攻擊搜索引擎優化等各類方式實現的，或是通過社交媒體渠道、論壇和通過惡意廣告推廣這些應用程序，但其主要傳播渠道是通過搜索服務。研究人員發現，百度引擎的搜索結果尤其會受到SeaFlower的影響，將大量流量引向惡意網站。在iOS設備上，攻擊者可以通過濫用配置文件繞過安全保護以對惡意應用進行side-load——這些配置文件可將開發人員和設備鏈接到授權的開發團隊，并允許設備用于測試應用程序代碼，因此攻擊者可以利用它們向設備添加惡意應用程序。數字貨幣錢包應用的常見安全問題錢包敏感信息被上傳到服務器，或在服務器端生成錢包最關鍵的風險之一是將錢包敏感信息上傳到服務器或在服務器端生成錢包。對于非托管錢包，錢包敏感信息應存儲于用戶的設備中——即使它們是以加密的形式存在，這種高度敏感的數據仍可能會在傳輸過程中被截獲，或者被泄露給能夠訪問服務器的數據庫或日志的人。不安全的存儲當敏感信息以純文本或在設備上的不安全位置存儲時，就會出現安全風險。這種情況包括Android上的外部存儲或iOS上的“UserDefaults”。當使用不安全的密鑰派生函數來生成加密密鑰時，或者當使用不安全的加密算法來保護數據時，也可能發生這種情況。缺少對操作和運行環境的安全檢查除了安全地存儲數據外，錢包應用程序還應該確保其運行的安全和底層運行環境的安全。這一類的一些常見問題包括缺乏root和越獄檢測，無法阻止用戶對錢包敏感信息進行截圖、應用程序在后臺運行時未能隱藏敏感信息，以及允許在敏感輸入字段使用自定義鍵盤。擴展錢包中缺乏對惡意網站的防范大多數DApp都是Web應用程序，使用瀏覽器擴展錢包是最常見的交互方式。然而，擴展錢包的一個共同問題是缺乏對惡意網站的防范。例如，一個不安全的錢包可能允許惡意網站獲取用戶的錢包賬戶信息，或在用戶同意將其錢包連接到該網站之前接受交易簽名請求；當從惡意網站接收惡意數據時，錢包可能會出現故障。對錢包用戶的建議

采取預防措施以保護你的數字資產并確保錢包使用安全非常重要。數字貨幣領域充滿了黑客及欺詐者帶來的風險。下文是一份用戶可以參考或遵循的建議清單，以減少被黑客攻擊的可能性。①選擇符合安全標準的錢包。一些錢包可能存在漏洞，容易受到黑客攻擊或其他安全漏洞的影響。請只使用經過安全公司安全測試、徹底檢查潛在的漏洞且認為符合安全標準的錢包。②從官方的iOS商店和GooglePlay商店下載應用程序有助于確保你獲取該應用程序的合法版本。③保持設備更新十分重要，因為軟件更新通常包括對已發現的漏洞的安全修復。④使用專門的手機或個人電腦來安裝錢包應用程序，請勿使用日常工作的設備，這有助于降低被意外安裝的惡意應用程序破壞的風險。⑤如果你持有大量的數字貨幣，并希望確保其盡可能安全，可以考慮使用硬件錢包。寫在最后

新Layer1和Layer2區塊鏈正在持續發展，鑒于許多現有的錢包與這些新的區塊鏈并不兼容，市場上將會推出更多的數字貨幣錢包。盡可能地降低錢包的安全風險需要用戶和錢包開發者共同的努力：用戶需要遵循最佳實踐并保持警惕以防止被黑客入侵；開發團隊則需要編寫安全的代碼，并對其錢包應用進行安全審計。

Tags：數字貨幣加密貨幣ANDSLOPE數字貨幣交易app加密貨幣市場還有未來嗎現在wandtchainSLOPE價格

中幣