USD:慢雾发布iCloud 用戶的MetaMask钱包遭遇钓鱼攻击简析

慢雾发布iCloud用戶的MetaMask钱包遭遇钓鱼攻击简析。称首先用户遭遇了钓鱼攻击，是由于自身的安全意识不足，泄露了iCloud账号密码，用户应当承担大部分的责任。但是从钱包产品设计的角度上分析，MetaMaskiOSApp端本身就存在有安全缺陷。

慢雾：Rubic协议错将USDC添至Router白名单，导致已授权合约用户USDC遭窃取:12月25日消息，据慢雾安全团队情报，Rubic跨链聚合器项目遭到攻击，导致用户账户中的USDC被窃取。慢雾安全团队分享如下：1. Rubic是一个DEX跨链聚合器，用户可以通过RubicProxy合约中的routerCallNative函数进行Native Token兑换。在进行兑换前，会先检查用户传入的所需调用的目标 Router是否在协议的白名单中。

2. 经过白名单检查后才会对用户传入的目标Router进行调用，调用数据也由用户外部传入。

3. 不幸的是USDC也被添加到Rubic协议的Router白名单中，因此任意用户都可以通过RubicProxy合约任意调用USDC。

4. 恶意用户利用此问题通过routerCallNative函数调用USDC合约将已授权给RubicProxy合约的用户的USDC通过transferFrom接口转移至恶意用户账户中。

此次攻击的根本原因在于Rubic协议错误的将USDC添加进Router白名单中，导致已授权给RubicProxy合约的用户的USDC被窃取。[2022/12/26 22:07:00]

MetaMask安卓端在AndroidManifest.xml中有android:allowBackup="false"来禁止应用程序被用户和系统进行备份，从而避免备份的数据在其他设备上被恢复。

现场 | 慢雾科技余弦：面对资产安全，解决思路是看清威胁后针对性防御:金色财经现场报道，2019年10月17日在北京举办的金融技术创新应用研讨会上，慢雾科技创始人余弦演讲表示，热钱包一般都部署在云服务器中，会比较中心化。很多冷钱包出现问题，一般是有“内鬼”。面对资产安全，解决思路，是看清威胁要针对性防御，交易所则一定要建立安全体系。针对地下黑客最好可以建立威胁情报体系，甚至于在攻击时可以定位到攻击人。[2019/10/17]

https://github.com/MetaMask/metamask-mobile/blob/main/android/app/src/main/AndroidManifest.xml#L17

动态 | 慢雾区表示Augur重大漏洞是一个典型的前端黑攻击:据慢雾区消息，此前报道的去中心化预测市场平台 Augur 被曝发现重大漏洞问题是一个典型的前端黑攻击。这种攻击依赖一些条件，比如攻击者需要准备好一个页面链接（不是 Augur 链接），并无论通过什么手法能让安装了 Augur 的用户访问到，然后用户需要重启 Augur 应用，这样才能形成后续的攻击。由于此时 Augur 应用里配置的 Augur 节点地址被替换了，后续的攻击本质就是一种 MITM（中间人）攻击，理论上确实可以做很多恶事。慢雾安全团队特此提醒：这是前端黑攻击里的跨私有域攻击的一种常见手法，其他项目方也应该注意。[2018/8/8]

MetaMaskiOS端代码中没有发现存在这类禁止钱包数据(如KeyStore文件)被系统备份的机制。默认情况下iCloud会自动备份应用数据，当iCloud账号密码等权限信息被恶意攻击者获取，攻击者可以从目标iCloud里恢复MetaMaskiOSApp钱包的相关数据。

慢雾安全团队经过实测通过iCloud恢复数据后再打开MetaMask钱包，还需要输入验证钱包的密码，如果密码的复杂度较低就会存在被破解的可能。

iOSApp端在代码上如何避免iCloud自动备份钱包App中的数据可以参考：

https://developer.apple.com/documentation/foundation/optimizing_your_app_s_data_for_icloud_backup

标签：USDBICSDCRubicusdt币交易违法吗能投入吗SHIBIC价格usdc币圈最新消

Polygon热门资讯