アトミック ウォレットがハッキングされ、3,500 万ドルが失われました。事故は偶然でしょうか、それとも自業自得でしょうか?

先週末、暗号化ウォレットAtomic Walletがハッキングされました。

オンチェーン探偵 ZachXBT の統計によると、この攻撃で盗まれた総額は 3,500 万米ドルを超えており、BTC、ETH、USDT、Tron、BSC、ADA、Ripple、Polkadot、Cosmos、Algo、Avax、XLM、 LTC や Doge などの資産；最大の個人損失は 795 万 USDT (TRC バージョン) で、上位 5 人の被害者の累積損失は約 1,700 万米ドルで、ほぼ半分を占めました。

6月3日、多数のアトミックウォレットユーザーがウォレット資産が盗まれたとソーシャルメディアに投稿し、アトミックウォレットは「ウォレット盗難の報告を受けており、原因の調査と分析に全力を尽くしている。もしあれば」と投稿した。もっと関連性の高いニュースができるだけ早くリリースされる予定です。」

2日近く待った後、アトミックウォレットは今朝、​​曖昧なツイートを正式に発表した、「現在、月間アクティブユーザーの1％未満が影響を受けている/報告されており、セキュリティ調査が進行中です。アトミックウォレットは被害者を配置し、アドレスは通知されています」主要な取引所やブロックチェーン分析会社に、盗まれた資金の移動を追跡し阻止するよう要請する。」アトミックウォレットは、ハッカーの攻撃ベクトル、リスクの回避方法、その後の補償などのユーザーの懸念に応えていませんでした。

暗号化されたKOL「Tay」被害者のアドレスを収集した分析により、最初の攻撃は 6 月 3 日の 5:45 (UTC+8) に発生し、最後に盗まれたトランザクションは 6 月 3 日の 23:30 UTC (UTC+8) に発生したことがわかります。盗まれた資産は新しいアドレスに収集され、uniswap、mm swap、sunswap、その他の DEX を通じて、各トークンがチェーンの基本トークンに変換され、再び新しいアドレスに転送されます (後続の操作を待ちます)。

攻撃後、暗号化インフラストラクチャ会社 Jito Labs の CEO buffalu とビジネス責任者の Brian は、被害者が 100 万ドルの損失を取り戻せるよう支援しました。

ハッカーはどのようにして攻撃を達成したのでしょうか? Btc 21.de の創設者「Joko」画像の説明

(被害者フォーラム)

一部の被害者は、Atomic Wallet アカウントの秘密キーが他のプラットフォームでバックアップも認証もされておらず、SIM カードも使用せず、自宅の WiFi にもめったに接続していなかったが、依然としてすべての ADA 資産がハッカーによって盗まれたと報告しました。 。ただし、注意すべき点が 1 つあり、ユーザーは Atomic Wallet Android バージョン 1.13.20 を使用しており、最新バージョンは 1.15.1 (2023 年 5 月 23 日に更新) であるため、セキュリティ上の脆弱性が存在する可能性が排除されません。古いバージョンのウォレットでは。

「Tay」分析では、Atomic Wallet のアプリケーションは安全な方法で構築されておらず、誰かが悪意のあるバージョンのアプリケーションをプッシュしてユーザーのキーを盗んだか、または彼ら (Atomic Wallet) がアクセスする独自のサーバーにユーザーの秘密キーを誤って記録したかのいずれかであると考えられています。悪意のある俳優。

画像の説明

(最小権限のアナウンス)

2022年2月、最小権限機関は、アトミックのシステム設計とそれに対応するコア、デスクトップ、モバイルのコーディング実装を調査するために2021年初めに初めて雇用された同社が、ユーザーを「重大なリスク」にさらす脆弱性と欠陥が存在すると結論付けたと報告書を発表した。 、レポートは2021年4月にアトミックに提出されました。アトミックは2021年11月に調査結果に返答し、更新と改善が行われたことを示した。しかし、Atomic Wallet が提供する修正バージョンをレビューしたところ、Least Authority は多数の問題が未解決のままであり、ユーザーにセキュリティ上のリスクをもたらしていることを発見しました。 Least Authorityは、監査基準と開示ポリシーに従ってリスクを警告するようユーザーに正式に警告を発した。しかし、この警告は依然として Atomic Wallet の注意を引くことはなく、ある程度、今日の攻撃に対する隠れた地雷を敷設することにもなりました。

アトミックウォレット盗難事件を受け、セキュリティ会社スローミストの創業者が余弦コメントには、「ニーモニック/秘密鍵のような機密情報が、セキュリティを担当していない、またはセキュリティレベルが十分に高くないウォレットに渡されるのは皮肉なことです。ここでの情報の非対称性は深刻すぎて、私でも理解できません」と書かれています。答えはありません どのウォレットが継続的に安全であるか...ニーモニック/秘密鍵は暗号化チップ、オフライン環境、または信頼できる環境に隠される必要があり、単一障害点を排除するためにマルチ署名/MPCを使用できます。」

Atomic Wallet は、ユーザーの秘密鍵を所有しない分散型の非保管アプリケーションとして自らを位置づけており、現在 1,000 以上の暗号通貨をサポートしており、世界中で 500 万人以上のユーザーがいると主張しています。 「アトミック ウォレットは、ユーザーがブロックチェーン ファンドにアクセスできるようにするインターフェイスとして機能します。ウォレットとその操作は暗号化によって保護されており、秘密キーやバックアップ フレーズなどの重要なデータは、信頼できる暗号化アルゴリズムを通じてユーザーのローカル デバイスに安全に保存されます。 「優れている。」

利用規約利用規約チェーン上でユーザーが被った損害について開発者は一切の責任を負わないと明記されています。 「いかなる状況においても、Atomic Wallet は 50 ドルを超えるサービスに対する損害賠償の責任を負いません。」

最後に、被害者全員に注意していただきたいのは、Atomic Wallet を騙る偽アカウントが Twitter 上に返金ツイートを投稿しており、ユーザーがクリックするとフィッシング Web サイトにリダイレクトされるため、より警戒する必要があるということです。 Twitter で公式アカウントを検索するときは、青い V 認証を探してください。偽のアカウントは一般の人々を混乱させるために金の V 認証を使用しています。公式アカウントは次のとおりです。@AtomicWallet。