擼毛工具引發安全事故,“另類基礎設施”更要防

2023-08-31 00:08:20

原創 | Odaily星球日報

作者 | Loopy Lu

上周末,一款看似與加密世界關聯甚遠的產品走入了加密社區的視野。常被用來“多开”、“群控”的比特瀏覽器引發了大規模的錢包被盜,受損金額達到數十萬美元。

而再之前,隨機數生成器、智能合約編程語言、iOS/安卓的系統風險等,均引發過大規模的安全事件。隨着加密世界的成熟與復雜化,安全形勢愈發險峻,在許多人們難以察覺的地方,風險悄然出現……

什么是比特瀏覽器?

對於大多加密用戶,“比特瀏覽器”這款產品的名字或許有些陌生。

其全名為“比特指紋瀏覽器”。通過其官網信息可知, 該產品的主要作用為環境模擬,類似“沙盒”功能,可在每個窗口模擬不同的用戶追蹤信息,包括 IP、設備信息、瀏覽器信息等等。

而這一系列功能主要服務於一個目標:模擬多個用戶,讓每個“用戶“”均可擁有獨立的信息。瀏覽器甚至還提供了群控功能。

比特瀏覽器的市場受衆,更多是外貿電商(如 Amazon、Shopee 等)及社媒運營(Facebook、Tiktok 等)。其官網的廣告語點明——“ 一個比特瀏覽器輕松管理您的跨境大生意 ”。

盡管該產品並不專為加密世界用戶所設計,但其一系列功能,恰好貼合了羊毛黨的訴求。因此,為數不少的“擼毛”者都使用了該產品。

被盜原因衆說紛紜

近日,一批“擼毛”社區的成員發現,自己的擼毛錢包慘遭盜幣。而經過自行排查,受害者均認為被盜或因使用比特指紋瀏覽器所致,直接原因系私鑰泄露。

比特指紋瀏覽器官方在社群中第一時間回應:WPS For Windows 部分版本存在遠程代碼執行漏洞,攻擊者可利用該漏洞在受害者目標主機上執行任意代碼,控制主機等。(WPS 又和比特瀏覽器的用戶有什么關系呢?比特瀏覽器的解釋是,由於這個漏洞比較好觸發,所以在點擊不明鏈接之後可能就會被黑客攻擊。)

而由於該軟件與加密世界距離較遠,一時間更是給出了令人啼笑皆非的回應。

最初的回應被加密社區當做梗廣泛傳播

比特瀏覽器的解釋,無疑沒能讓用戶信服。8 月 26 日,比特瀏覽器對這一事件進行跟進,並 發布公告稱,“服務端緩存數據遭到黑客入侵。开啓了“擴展數據同步”功能的用戶錢包有被盜風險。建議轉移錢包資產。”

安全事故,誰之過?

在事件最初之時,對於被盜的原因衆說紛紜。

在我們經常使用的 MetaMask 插件中,私鑰並不會被明文保存。因此,黑客僅僅依靠用戶本地的緩存數據,並不能獲得用戶資產的控制權。

在錢包轉移中,除了最常見的“導出”功能,“備份”功能是一個更少人使用的功能。

MetaMask 的“備份”功能

需要注意,MetaMask 所提供的“備份”功能,與導出私鑰/助記詞是截然不同的功能。備份後用戶可獲得一個 json 文件,該文件也被稱為 keystore。 (Odaily星球日報注: 更簡單的解釋則是:私鑰=助記詞=錢包控制權=keystore+密碼)

本地緩存數據也是同理,那用戶的錢包又是如何被盜的呢?

在經過兩日的各方分析後,最終案件原因終被查明。黑客系通過入侵服務器獲取到了用戶的擴展緩存。 (Odaily星球日報注:這樣黑客就擁有了錢包的本地數據,但卻無法登陸。) 然後,黑客通過“嘗試常用網址平臺密碼碰撞”暴力破解錢包密碼,進而得到錢包權限。

服務器記錄顯示,存儲着擴展緩存的服務器在 8 月初(日志記錄最晚至 8 月 2 日)有被下載的痕跡,並已鎖定了數個 IP,除一個江蘇地址外均為海外地址。據社群人士稱,目前此案已在北京公安局昌平分局受理。

而當我們復盤這一事件,卻發現這一事件很難釐清各方責任。

首先是第一個風險點:緩存數據泄露。

有用戶質疑,為何不對緩存數據進行加密? 比特瀏覽器指出,在同步“擴展數據”之時,對數據的傳遞進行了加密。但該軟件但主程序 EXE 文件若被黑客破解,黑客是可能得到擴展數據的。

但僅僅依靠緩存數據,並不能獲得用戶資產。“緩存數據+密碼”的組合才可掌握錢包控制權。在用戶的日常使用中,多账戶共用密碼是常態。我們常用的 Web2 網站的密碼也常遭泄露。黑客可能 獲取到其他 Web2 網站的密碼,並在用戶的 Web3 錢包上試着“撞庫”。

此外,暴力破解也是一個可能性。因為解鎖密碼的潛在組合數量遠少於私鑰的組合,因此暴力破解解鎖密碼是完全可行的。 (假設產品不引入最大嘗試失敗次數鎖定等防範措施。)

從用戶角度來說,比特瀏覽器將插件的緩存數據拿走,並最終引發泄露,誠然負有不可推卸的責任。 可是錢包訪問密碼的防護失效,也來自於長久以來網絡安全環境的惡化。

另類基礎設施

對軟件开發方來說,我們不清楚“比特指紋瀏覽器”的“比特”之名因何而來,但有一點是明確的,這一產品並不是為加密世界而創造的,僅是恰好滿足加密用戶的需求。

一個系統越是復雜,潛在的風險點則越多,任何一個單點失誤都有可能帶來被入侵的風險。

回憶加密蠻荒時代,人們只使用最基礎的比特幣錢包,彼時還沒有 DeFi、跨鏈等諸多交互環節。只要保存好自己的私鑰,便足夠安全。

但現在,各種鏈下輔助工具、鏈上資金池,都增加了額外風險。 越來越多像比特瀏覽器一樣的產品,正成為加密世界新的另類“基礎設施”。大量“非加密”的安全隱患危及着加密世界:

  • 8 月 21 日, 黑客竊取 313 萬 USDT。 安全人員認為,本次被盜系安卓系統相冊被攻破,黑客獲取了用戶私鑰截圖。

  • 8 月初, Curve 出現巨額被盜案。而時候的分析發現,Curve 合約安全並沒有問題,被盜原因來自於其編程語言 vyper 的漏洞。因此 aleth、peth、mseth、crveth 池被利用。

  • 5 月, Apple ID 的同步功能也引起了超千萬美金的盜竊案。 很多用戶會購买或使用他人的美區 Apple ID,账號所有者可以將錢包的本地數據同步,僅需攻破錢包訪問密碼,即可獲得錢包控制權。這與比特瀏覽器的被盜事件如出一轍。受害用戶被盜資金累計超過 1000 萬美元。

  • 而在开發者這一側,安全形勢更為復雜。 在去年的 Solana 錢包盜竊案中,風險點則來自於更底層的助記詞生成相關的隨機代碼。

隨着加密世界的復雜化,可能未來將有越來越多的、人們難以察覺到的工具、軟件、服務被納入加密世界,風險也由此擴張。

Odaily星球日報在此提醒,勿將錢包的本地數據交予他人或過度授權。此外,因為風險的隱蔽性,請謹慎使用電子手段保存私鑰/助記詞。經常進行加密操作的電腦, 不要安裝過多的未知軟件。

相關閱讀

《黑客事件頻發,請收下這篇 Crypto 防盜指南》

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

推薦文章

Endless Genesis Cloud:構建Web3的下一代基礎設施

2024 年 11 月 12 日,“W 2140 世界 AI+Web3博覽會”在泰國曼谷隆重舉行,...

星球日報
5 12小時前

彭博社:「寡頭」馬斯克的新事業

原文作者:Max Chafkin、Dana Hull 原文編譯:Luffy,Foresight N...

星球日報
5 12小時前

2秒賺千萬,起底00後「天才交易員」的發家史

原文作者: Jaleel 加六 ,BlockBeats 「現在我說,我是知乎上可以查證的,最富有的...

星球日報
6 12小時前

連上Meme幣,真能讓幣安和社區雙贏嗎?

@OdailyChina @web3_golem 11 月 11 日,幣安宣布上线 Meme 幣...

星球日報
5 12小時前

透視2024:以太坊生態年度回顧

原文作者:Josh Stark,Ethereum Foundation 原文 編譯:Pzai,Fo...

星球日報
5 12小時前

Hack VC:以太坊模塊化之路的得與失

原文作者:Alex Pack & Alex Botte 原文編譯:深潮 TechFlow 執行摘要...

星球日報
5 12小時前