木星链 木星链
Ctrl+D收藏木星链
首页 > Polygon > 正文

USD:慢雾发布iCloud 用戶的MetaMask钱包遭遇钓鱼攻击简析

作者:

时间:1900/1/1 0:00:00

慢雾发布iCloud用戶的MetaMask钱包遭遇钓鱼攻击简析。称首先用户遭遇了钓鱼攻击,是由于自身的安全意识不足,泄露了iCloud账号密码,用户应当承担大部分的责任。但是从钱包产品设计的角度上分析,MetaMaskiOSApp端本身就存在有安全缺陷。

慢雾:Rubic协议错将USDC添至Router白名单,导致已授权合约用户USDC遭窃取:12月25日消息,据慢雾安全团队情报,Rubic跨链聚合器项目遭到攻击,导致用户账户中的USDC被窃取。慢雾安全团队分享如下:1. Rubic是一个DEX跨链聚合器,用户可以通过RubicProxy合约中的routerCallNative函数进行Native Token兑换。在进行兑换前,会先检查用户传入的所需调用的目标 Router是否在协议的白名单中。

2. 经过白名单检查后才会对用户传入的目标Router进行调用,调用数据也由用户外部传入。

3. 不幸的是USDC也被添加到Rubic协议的Router白名单中,因此任意用户都可以通过RubicProxy合约任意调用USDC。

4. 恶意用户利用此问题通过routerCallNative函数调用USDC合约将已授权给RubicProxy合约的用户的USDC通过transferFrom接口转移至恶意用户账户中。

此次攻击的根本原因在于Rubic协议错误的将USDC添加进Router白名单中,导致已授权给RubicProxy合约的用户的USDC被窃取。[2022/12/26 22:07:00]

MetaMask安卓端在AndroidManifest.xml中有android:allowBackup="false"来禁止应用程序被用户和系统进行备份,从而避免备份的数据在其他设备上被恢复。

现场 | 慢雾科技余弦:面对资产安全,解决思路是看清威胁后针对性防御:金色财经现场报道,2019年10月17日在北京举办的金融技术创新应用研讨会上,慢雾科技创始人余弦演讲表示,热钱包一般都部署在云服务器中,会比较中心化。很多冷钱包出现问题,一般是有“内鬼”。面对资产安全,解决思路,是看清威胁要针对性防御,交易所则一定要建立安全体系。针对地下黑客最好可以建立威胁情报体系,甚至于在攻击时可以定位到攻击人。[2019/10/17]

https://github.com/MetaMask/metamask-mobile/blob/main/android/app/src/main/AndroidManifest.xml#L17

动态 | 慢雾区表示Augur重大漏洞是一个典型的前端黑攻击:据慢雾区消息,此前报道的去中心化预测市场平台 Augur 被曝发现重大漏洞问题是一个典型的前端黑攻击。这种攻击依赖一些条件,比如攻击者需要准备好一个页面链接(不是 Augur 链接),并无论通过什么手法能让安装了 Augur 的用户访问到,然后用户需要重启 Augur 应用,这样才能形成后续的攻击。由于此时 Augur 应用里配置的 Augur 节点地址被替换了,后续的攻击本质就是一种 MITM(中间人)攻击,理论上确实可以做很多恶事。慢雾安全团队特此提醒:这是前端黑攻击里的跨私有域攻击的一种常见手法,其他项目方也应该注意。[2018/8/8]

MetaMaskiOS端代码中没有发现存在这类禁止钱包数据(如KeyStore文件)被系统备份的机制。默认情况下iCloud会自动备份应用数据,当iCloud账号密码等权限信息被恶意攻击者获取,攻击者可以从目标iCloud里恢复MetaMaskiOSApp钱包的相关数据。

慢雾安全团队经过实测通过iCloud恢复数据后再打开MetaMask钱包,还需要输入验证钱包的密码,如果密码的复杂度较低就会存在被破解的可能。

iOSApp端在代码上如何避免iCloud自动备份钱包App中的数据可以参考:

https://developer.apple.com/documentation/foundation/optimizing_your_app_s_data_for_icloud_backup

标签:USDBICSDCRubicusdt币交易违法吗能投入吗SHIBIC价格usdc币圈最新消

Polygon热门资讯
NFT:路易威登推进NFT实验,在其NFT游戏中引入PFP NFT奖励

据TheBlock报道,奢侈时尚品牌路易威登正在推进其NFT实验,在其基于NFT的游戏应用程序《Louis:TheGame》中引入了以PFP为灵感的NFT奖励.

1900/1/1 0:00:00
APE:ApeCoin发起三个提案投票,包括设置质押上限、质押期和质押规模等

ApeCoin官方披露已启动AIP-21、22和AIP-7三个提案投票,旨在进一步指导DAO的发展方向。本次投票将于北京时间5月4日早上9点结束。此外,明天还将有两个AIP向特别委员会提交.

1900/1/1 0:00:00
WEB:Web3基础设施公司Mysten Labs推出PoS区块链网络Sui

据TheBlock报道,由四位前Meta工程师创立的Web3基础设施初创公司MystenLabs宣布推出首个产品,即名为Sui的PoS区块链网络.

1900/1/1 0:00:00
TRU:加密衍生品协议ApeX Protocol已开启空投,将发放20万美元APEX代币

Arbitrum上去中心化衍生品协议ApeXProtocol宣布启动第一轮空投,该活动已于北京时间2022年4月12日21:00开始,将于4月30日23:59结束.

1900/1/1 0:00:00
加密货币:美国政府认为朝鲜黑客组织将攻击目标瞄准了加密和区块链公司

美国联邦调查局(FBI)、网络安全和基础设施安全局(CISA)和财政部(Treasury)周一发布了一份联合网络安全咨询(CSA).

1900/1/1 0:00:00
MAD:MADworld与大力水手、UNDONE合作推出独家系列NFT,将于5月18日出售

NFT市场MADworld宣布与美国知名漫画大力水手、知名定制手表品牌UNDONE独家合作推出POPEYEMETAVERSEMADNESSNFT系列,将于5月18日根据钱包持仓量分为两批出售.

1900/1/1 0:00:00