擼毛工具引發安全事故,“另類基礎設施”更要防
原創 | Odaily星球日報
作者 | Loopy Lu
上周末,一款看似與加密世界關聯甚遠的產品走入了加密社區的視野。常被用來“多开”、“群控”的比特瀏覽器引發了大規模的錢包被盜,受損金額達到數十萬美元。
而再之前,隨機數生成器、智能合約編程語言、iOS/安卓的系統風險等,均引發過大規模的安全事件。隨着加密世界的成熟與復雜化,安全形勢愈發險峻,在許多人們難以察覺的地方,風險悄然出現……
什么是比特瀏覽器?
對於大多加密用戶,“比特瀏覽器”這款產品的名字或許有些陌生。
其全名為“比特指紋瀏覽器”。通過其官網信息可知, 該產品的主要作用為環境模擬,類似“沙盒”功能,可在每個窗口模擬不同的用戶追蹤信息,包括 IP、設備信息、瀏覽器信息等等。
而這一系列功能主要服務於一個目標:模擬多個用戶,讓每個“用戶“”均可擁有獨立的信息。瀏覽器甚至還提供了群控功能。
比特瀏覽器的市場受衆,更多是外貿電商(如 Amazon、Shopee 等)及社媒運營(Facebook、Tiktok 等)。其官網的廣告語點明——“ 一個比特瀏覽器輕松管理您的跨境大生意 ”。
盡管該產品並不專為加密世界用戶所設計,但其一系列功能,恰好貼合了羊毛黨的訴求。因此,為數不少的“擼毛”者都使用了該產品。
被盜原因衆說紛紜
近日,一批“擼毛”社區的成員發現,自己的擼毛錢包慘遭盜幣。而經過自行排查,受害者均認為被盜或因使用比特指紋瀏覽器所致,直接原因系私鑰泄露。
比特指紋瀏覽器官方在社群中第一時間回應:WPS For Windows 部分版本存在遠程代碼執行漏洞,攻擊者可利用該漏洞在受害者目標主機上執行任意代碼,控制主機等。(WPS 又和比特瀏覽器的用戶有什么關系呢?比特瀏覽器的解釋是,由於這個漏洞比較好觸發,所以在點擊不明鏈接之後可能就會被黑客攻擊。)
而由於該軟件與加密世界距離較遠,一時間更是給出了令人啼笑皆非的回應。
最初的回應被加密社區當做梗廣泛傳播
比特瀏覽器的解釋,無疑沒能讓用戶信服。8 月 26 日,比特瀏覽器對這一事件進行跟進,並 發布公告稱,“服務端緩存數據遭到黑客入侵。开啓了“擴展數據同步”功能的用戶錢包有被盜風險。建議轉移錢包資產。”
安全事故,誰之過?
在事件最初之時,對於被盜的原因衆說紛紜。
在我們經常使用的 MetaMask 插件中,私鑰並不會被明文保存。因此,黑客僅僅依靠用戶本地的緩存數據,並不能獲得用戶資產的控制權。
在錢包轉移中,除了最常見的“導出”功能,“備份”功能是一個更少人使用的功能。
MetaMask 的“備份”功能
需要注意,MetaMask 所提供的“備份”功能,與導出私鑰/助記詞是截然不同的功能。備份後用戶可獲得一個 json 文件,該文件也被稱為 keystore。 (Odaily星球日報注: 更簡單的解釋則是:私鑰=助記詞=錢包控制權=keystore+密碼)
本地緩存數據也是同理,那用戶的錢包又是如何被盜的呢?
在經過兩日的各方分析後,最終案件原因終被查明。黑客系通過入侵服務器獲取到了用戶的擴展緩存。 (Odaily星球日報注:這樣黑客就擁有了錢包的本地數據,但卻無法登陸。) 然後,黑客通過“嘗試常用網址平臺密碼碰撞”暴力破解錢包密碼,進而得到錢包權限。
服務器記錄顯示,存儲着擴展緩存的服務器在 8 月初(日志記錄最晚至 8 月 2 日)有被下載的痕跡,並已鎖定了數個 IP,除一個江蘇地址外均為海外地址。據社群人士稱,目前此案已在北京公安局昌平分局受理。
而當我們復盤這一事件,卻發現這一事件很難釐清各方責任。
首先是第一個風險點:緩存數據泄露。
有用戶質疑,為何不對緩存數據進行加密? 比特瀏覽器指出,在同步“擴展數據”之時,對數據的傳遞進行了加密。但該軟件但主程序 EXE 文件若被黑客破解,黑客是可能得到擴展數據的。
但僅僅依靠緩存數據,並不能獲得用戶資產。“緩存數據+密碼”的組合才可掌握錢包控制權。在用戶的日常使用中,多账戶共用密碼是常態。我們常用的 Web2 網站的密碼也常遭泄露。黑客可能 獲取到其他 Web2 網站的密碼,並在用戶的 Web3 錢包上試着“撞庫”。
此外,暴力破解也是一個可能性。因為解鎖密碼的潛在組合數量遠少於私鑰的組合,因此暴力破解解鎖密碼是完全可行的。 (假設產品不引入最大嘗試失敗次數鎖定等防範措施。)
從用戶角度來說,比特瀏覽器將插件的緩存數據拿走,並最終引發泄露,誠然負有不可推卸的責任。 可是錢包訪問密碼的防護失效,也來自於長久以來網絡安全環境的惡化。
另類基礎設施
對軟件开發方來說,我們不清楚“比特指紋瀏覽器”的“比特”之名因何而來,但有一點是明確的,這一產品並不是為加密世界而創造的,僅是恰好滿足加密用戶的需求。
一個系統越是復雜,潛在的風險點則越多,任何一個單點失誤都有可能帶來被入侵的風險。
回憶加密蠻荒時代,人們只使用最基礎的比特幣錢包,彼時還沒有 DeFi、跨鏈等諸多交互環節。只要保存好自己的私鑰,便足夠安全。
但現在,各種鏈下輔助工具、鏈上資金池,都增加了額外風險。 越來越多像比特瀏覽器一樣的產品,正成為加密世界新的另類“基礎設施”。大量“非加密”的安全隱患危及着加密世界:
-
8 月 21 日, 黑客竊取 313 萬 USDT。 安全人員認為,本次被盜系安卓系統相冊被攻破,黑客獲取了用戶私鑰截圖。
-
8 月初, Curve 出現巨額被盜案。而時候的分析發現,Curve 合約安全並沒有問題,被盜原因來自於其編程語言 vyper 的漏洞。因此 aleth、peth、mseth、crveth 池被利用。
-
5 月, Apple ID 的同步功能也引起了超千萬美金的盜竊案。 很多用戶會購买或使用他人的美區 Apple ID,账號所有者可以將錢包的本地數據同步,僅需攻破錢包訪問密碼,即可獲得錢包控制權。這與比特瀏覽器的被盜事件如出一轍。受害用戶被盜資金累計超過 1000 萬美元。
-
而在开發者這一側,安全形勢更為復雜。 在去年的 Solana 錢包盜竊案中,風險點則來自於更底層的助記詞生成相關的隨機代碼。
隨着加密世界的復雜化,可能未來將有越來越多的、人們難以察覺到的工具、軟件、服務被納入加密世界,風險也由此擴張。
Odaily星球日報在此提醒,勿將錢包的本地數據交予他人或過度授權。此外,因為風險的隱蔽性,請謹慎使用電子手段保存私鑰/助記詞。經常進行加密操作的電腦, 不要安裝過多的未知軟件。
相關閱讀
《黑客事件頻發,請收下這篇 Crypto 防盜指南》
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。
星球日報
文章數量
7068粉絲數
0