เมื่อเร็ว ๆ นี้ CertiK เผยแพร่ "รายงานความปลอดภัยของอุตสาหกรรม Web3.0 ประจำปี 2022"ในรายงาน เราจะเห็นว่าปี 2022 จะเป็นปีที่ยากลำบากสำหรับอุตสาหกรรมสินทรัพย์ดิจิทัลทั้งหมด

ผู้ประสงค์ร้ายขโมยทรัพย์สินมูลค่ากว่า 3.7 พันล้านดอลลาร์จากโปรโตคอล Web 3.0 ในปี 2565 เพิ่มขึ้น 189% จาก 1.3 พันล้านดอลลาร์ที่เสียไปในปี 2564

สินทรัพย์เหล่านี้ส่วนใหญ่ถูกขโมยเนื่องจากการรั่วไหลของคีย์ส่วนตัวในการโจมตีแบบฟิชชิ่งหรือช่องโหว่ในสัญญาอัจฉริยะ แต่เงินจำนวนมากก็ถูกขโมยจากกระเป๋าเงินดิจิทัลเช่นกัน

เหตุการณ์กระเป๋าเงินเหล่านี้ไม่เพียงแต่ส่งผลกระทบต่อผู้ใช้รายบุคคล เช่น Bo Shen แห่ง Fenbushi Capital: สินทรัพย์สกุลเงินดิจิทัลมูลค่า 42 ล้านดอลลาร์ถูกขโมย แต่ยังส่งผลกระทบต่อกลุ่มผู้ใช้จำนวนมาก เช่น เหตุการณ์กระเป๋าเงิน Slope และ Bitkeep ซึ่งส่งผลกระทบมากกว่า 9,000 ราย บัญชีผู้ใช้.

อย่างไรก็ตาม เหตุการณ์เหล่านี้สามารถหลีกเลี่ยงได้ เนื่องจากช่องโหว่เหล่านี้สามารถพบได้ในการประเมินความปลอดภัยของกระเป๋าเงิน

CertiK มีแอปพลิเคชันกระเป๋าเงินหลายร้อยรายการในช่วงไม่กี่ปีที่ผ่านมา

ในบทความนี้ เราจะทบทวนเหตุการณ์ด้านความปลอดภัยที่สำคัญที่เกี่ยวข้องกับกระเป๋าเงินสกุลเงินดิจิทัลในปี 2022 และสำรวจรายละเอียดทางเทคนิค

ชื่อระดับแรก

ชื่อเรื่องรอง

กระเป๋าสตางค์ลาด

เหตุการณ์ด้านความปลอดภัยกระเป๋าเงิน cryptocurrency ที่มีชื่อเสียงและมีอิทธิพลมากที่สุดในปี 2022 เกิดจากกระเป๋าสตางค์ลาดการจัดการคีย์ส่วนตัวที่ไม่เหมาะสม

Slope Wallet เป็นกระเป๋าเงินดิจิทัลที่ไม่ต้องดูแลสำหรับ iOS และ Android ซึ่งเป็นส่วนขยายของเบราว์เซอร์ Chrome

รองรับบล็อกเชนหลายตัว แต่ใช้งานบนโซลานาบล็อกเชนเป็นหลัก

ในคืนวันที่ 2 สิงหาคม 2022 ทรัพย์สินมูลค่าประมาณ 4.1 ล้านดอลลาร์ถูกขโมยจากที่อยู่กระเป๋าเงินของผู้ใช้ 9,231 รายในช่วงเวลาประมาณสี่ชั่วโมง

ในชั่วโมงแรกของเหตุการณ์ เมื่อไม่ทราบสาเหตุต้นตอ ผู้ใช้ตื่นตระหนกและข่าวลือเกี่ยวกับการแฮกบล็อกเชนของ Solana เริ่มแพร่กระจายอย่างรวดเร็ว

หลายชั่วโมงหลังการโจมตี ผู้ใช้ Twitter โพสต์ภาพหน้าจอที่แสดงทราฟฟิก HTTP จากกระเป๋าเงินมือถือของ Slope (ซึ่งรวมถึงวลีเริ่มต้นของผู้ใช้) CertiK ค้นพบว่าเมื่อนำเข้าบัญชีกระเป๋าเงิน วลีเริ่มต้นของผู้ใช้จะถูกส่งไปยังเซิร์ฟเวอร์บันทึก Sentry ของ Slope และใครก็ตามที่สามารถเข้าถึงบันทึกสามารถเข้าควบคุมบัญชีและโอนทรัพย์สินทั้งหมดจากที่อยู่นั้นได้

สองสัปดาห์หลังจากการโจมตี Slope Wallet ได้เผยแพร่ “รายงานนิติวิทยาศาสตร์และการตอบสนองเหตุการณ์”

จากรายงาน เราสามารถทราบได้ว่าตั้งแต่วันที่ 28 กรกฎาคม 2022 คีย์ส่วนตัวของผู้ใช้จะถูกบันทึกไว้ในฐานข้อมูล อย่างไรก็ตาม ความเสี่ยงจากช่องโหว่นี้ถูกค้นพบได้ง่ายมากหลังจากการตรวจสอบความปลอดภัยหรือการตรวจสอบภายใน

ชื่อเรื่องรอง

Profanity

Profanity เป็นเครื่องมือสร้างที่อยู่ Vanity (ที่อยู่ชื่อสวย) ที่ใช้ GPU ที่ช่วยให้ผู้ใช้สร้างบัญชีภายนอกที่กำหนดเอง Vanity (EOA) และที่อยู่สัญญาอัจฉริยะที่พวกเขาชื่นชอบ

ความหยาบคายใช้หมายเลขเมล็ดแบบสุ่มเพื่อขยายไปยังคีย์ส่วนตัวเริ่มต้น และคำนวณบัญชีหลายล้านบัญชีตามคีย์ส่วนตัวเริ่มต้นผ่าน GPU เพื่อสร้างที่อยู่ให้ตรงตามความต้องการของผู้ใช้

Profity ไม่ใช่แอพกระเป๋าเงินในทางเทคนิค แต่มันมีฟีเจอร์ที่เหมือนกันกับกระเป๋าเงินดิจิตอลเกือบทั้งหมด: การสร้างบัญชีกระเป๋าเงิน

นี่เป็นตัวอย่างที่สมบูรณ์แบบของบัญชีที่มีความเสี่ยงซึ่งนำไปสู่ผลลัพธ์ที่ไม่ดี

15 กันยายน 2565ทีมงาน 1Inch ได้เผยแพร่บทความ "ช่องโหว่ที่เปิดเผยใน Ethereum vanity address tool Profanity"ซึ่งบอกเกี่ยวกับการใช้เมล็ดที่ไม่ปลอดภัยโดยเครื่องมือ Profanity ซึ่งสร้างคีย์ส่วนตัวของบัญชีที่สามารถถอดรหัสได้ง่าย ช่องโหว่ดังกล่าวได้รับความสนใจเป็นครั้งแรก

ห้าวันต่อมา ในวันที่ 20 กันยายน หนึ่งในผู้ผลิตตลาดสินทรัพย์ดิจิทัลรายใหญ่ที่สุดWintermuteบัญชีกระเป๋าเงินใน ที่ถูกแฮ็ก ถูกใช้โดยผู้โจมตีเพื่อถอนเงินประมาณ 162.5 ล้านดอลลาร์จากสัญญาอัจฉริยะ

เมื่อวันที่ 11 ตุลาคม บัญชีของผู้ปรับใช้ Qanx Bridge ถูกแฮ็ก และผู้โจมตีใช้บัญชีดังกล่าวเพื่อถอน $Qanx ออกจาก Bridge และขาย ผู้โจมตีหลายคนกำลังตามล่าหาบัญชีที่มีช่องโหว่บนบล็อกเชนและขโมยเงิน

สาเหตุของปัญหาประเภทนี้คือจำนวนเมล็ดทั้งหมดอาจมีเพียง 2 ^ 32 (4 พันล้าน) เมล็ดพันธุ์ที่ไม่ปลอดภัยและกระบวนการเดรัจฉานบังคับที่ย้อนกลับได้ทำให้สามารถกู้คืนคีย์ส่วนตัวของบัญชีที่สร้างโดยใช้เครื่องมือได้ CertiK ประสบความสำเร็จในการพัฒนาการพิสูจน์แนวคิดและสามารถกู้คืนคีย์ส่วนตัวของบัญชีผู้ใช้งาน Wintermute และ Qanx ได้

เหตุการณ์ดังกล่าวไม่ซ้ำ

ในปี 2013 มีการค้นพบช่องโหว่ที่คล้ายกันในโปรแกรมสร้างตัวเลขสุ่มของ Android ซึ่งส่งผลกระทบต่อการสร้างกระเป๋าเงิน Bitcoin

การเข้ารหัสเป็นฟิลด์ที่ซับซ้อน ดังนั้นจึงเป็นเรื่องง่ายที่จะเกิดข้อผิดพลาดที่ส่งผลต่อความปลอดภัย กฎทองคือ "อย่าม้วน crypto ของคุณเอง" (อย่าสร้างฟังก์ชันการเข้ารหัสตั้งแต่เริ่มต้น เนื่องจากฟังก์ชันใหม่ไม่ได้รับการทดสอบนานพอ อาจมีช่องโหว่มากมาย)

โชคดีที่กระเป๋าเงินสกุลดิจิทัลส่วนใหญ่จะใช้เช่น"bip 39"ชื่อเรื่องรอง

การสำรองข้อมูล iCloud สำหรับ MetaMask

เมื่อวันที่ 17 เมษายน MetaMask กระเป๋าเงินดิจิทัลกระแสหลักที่ใช้โดยผู้คนมากกว่า 30 ล้านคนในการจัดเก็บและจัดการสินทรัพย์ดิจิทัล เตือนผู้ใช้ iOS ถึงความเสี่ยงที่อาจเกิดขึ้นในการเก็บความลับกระเป๋าเงินไว้ใน Apple iCloud

ข้อมูลที่ละเอียดอ่อนของ Wallet เช่น วลีเริ่มต้นจะถูกเข้ารหัสเมื่ออัปโหลดไปยัง iCloud แต่หากบัญชี Apple ของเจ้าของถูกบุกรุกและใช้รหัสผ่านที่มีความรัดกุมต่ำ สินทรัพย์ดิจิทัลของกระเป๋าสตางค์อาจตกอยู่ในความเสี่ยง

คำเตือนนี้แลกกับการโจมตีแบบฟิชชิงที่มีค่าใช้จ่ายสูง

ในการโจมตีครั้งนี้ Domenic Iacovone ผู้ใช้ที่มีบัญชี Twitter ชื่อ @revive_dom ได้สูญเสียสกุลเงินดิจิทัลและโทเค็นที่ไม่เป็นเนื้อเดียวกันจำนวนมาก โดยมีมูลค่ารวมประมาณ 650,000 ดอลลาร์สหรัฐ

อาชญากรแอบอ้างเป็นตัวแทนฝ่ายสนับสนุนของ Apple เข้าถึงบัญชี iCloud ของ Iacovone และใช้ข้อมูลรับรอง MetaMask ที่เก็บไว้เพื่อระบายกระเป๋าสตางค์ของเขา ทำให้เขาตกเป็นเหยื่อของการโจมตีทางวิศวกรรมสังคมนี้
ชื่อเรื่องรอง

SeaFlower

ทีมวิจัยด้านความปลอดภัยได้ค้นพบว่าองค์กร SeaFlower กำลังแจกจ่ายกระเป๋าเงินดิจิทัลที่ถูกต้องตามกฎหมายเวอร์ชันที่เป็นอันตราย (รวมถึง Coinbase Wallet, MetaMask, TokenPocket และ imToken) ซึ่งจะทำให้วลีช่วยจำของผู้ใช้ถูกขโมยผ่านประตูหลัง กระเป๋าเงินที่ดัดแปลงเหล่านี้ทำงานตามที่ตั้งใจไว้ แต่อนุญาตให้ผู้โจมตีรับสกุลเงินดิจิทัลของผู้ใช้โดยใช้วลีเริ่มต้นที่ถูกขโมย

SeaFlower แพร่กระจายแอปพลิเคชันกระเป๋าเงินสกุลดิจิทัลเวอร์ชัน Trojanized ให้กับผู้ใช้จำนวนมากที่สุดเท่าที่จะเป็นไปได้ด้วยวิธีการที่หลากหลาย รวมถึงการสร้างเว็บไซต์ปลอมและการโจมตีการปรับแต่งโปรแกรมค้นหา (SEO) หรือการโปรโมตผ่านช่องทางโซเชียลมีเดีย ฟอรัม และผ่านมัลแวร์โฆษณาแอปพลิเคชันเหล่านี้ อย่างไรก็ตาม มีการเผยแพร่ผ่านบริการค้นหาเป็นหลัก

นักวิจัยพบว่าผลการค้นหาบน Baidu engine โดยเฉพาะได้รับผลกระทบจาก SeaFlower ซึ่งนำทราฟฟิกจำนวนมากไปยังเว็บไซต์ที่เป็นอันตราย

บนอุปกรณ์ iOS ผู้โจมตีสามารถข้ามการป้องกันความปลอดภัยเพื่อโหลดแอปที่เป็นอันตรายด้านข้างได้โดยใช้ไฟล์การกำหนดค่าในทางที่ผิดซึ่งเชื่อมโยงนักพัฒนาและอุปกรณ์กับทีมพัฒนาที่ได้รับอนุญาต และอนุญาตให้ใช้อุปกรณ์สำหรับทดสอบโค้ดของแอป ดังนั้นผู้โจมตีจึงสามารถใช้เพื่อเพิ่มแอปพลิเคชันที่เป็นอันตรายไปยัง อุปกรณ์.

ปัญหาด้านความปลอดภัยทั่วไปของแอพ Digital Currency Wallet

• ข้อมูลที่ละเอียดอ่อนของกระเป๋าเงินถูกอัปโหลดไปยังเซิร์ฟเวอร์ หรือกระเป๋าเงินถูกสร้างขึ้นที่ฝั่งเซิร์ฟเวอร์

หนึ่งในความเสี่ยงที่สำคัญที่สุดคือการอัปโหลดข้อมูลที่ละเอียดอ่อนของกระเป๋าเงินไปยังเซิร์ฟเวอร์หรือสร้างกระเป๋าเงินที่ฝั่งเซิร์ฟเวอร์ สำหรับกระเป๋าเงินที่ไม่ใช่การดูแล ข้อมูลที่ละเอียดอ่อนของกระเป๋าเงินควรเก็บไว้ในอุปกรณ์ของผู้ใช้ แม้ว่าข้อมูลนั้นจะอยู่ในรูปแบบที่เข้ารหัส ข้อมูลที่มีความละเอียดอ่อนสูงนี้อาจยังคงถูกดักจับในระหว่างการส่งต่อหรือรั่วไหลไปยังบุคคลที่สามารถเข้าถึงฐานข้อมูลหรือบันทึกของเซิร์ฟเวอร์ได้

• การจัดเก็บที่ไม่ปลอดภัย

ความเสี่ยงด้านความปลอดภัยเกิดขึ้นเมื่อข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่านกระเป๋าเงินและความลับอื่นๆ ถูกจัดเก็บไว้ในข้อความล้วนหรือในตำแหน่งที่ไม่ปลอดภัยบนอุปกรณ์

กรณีนี้รวมถึงพื้นที่จัดเก็บข้อมูลภายนอกบน Android หรือ "UserDefaults" บน iOS

นอกจากนี้ยังอาจเกิดขึ้นเมื่อใช้ฟังก์ชันการสืบทอดคีย์ที่ไม่ปลอดภัยเพื่อสร้างคีย์เข้ารหัส หรือเมื่อใช้อัลกอริทึมการเข้ารหัสที่ไม่ปลอดภัยเพื่อปกป้องข้อมูล

• ขาดการตรวจสอบความปลอดภัยในการทำงานและสภาพแวดล้อมการทำงาน

นอกเหนือจากการจัดเก็บข้อมูลอย่างปลอดภัยแล้ว แอปพลิเคชันกระเป๋าเงินควรรับประกันความปลอดภัยของการดำเนินการและความปลอดภัยของสภาพแวดล้อมการทำงานพื้นฐาน ปัญหาทั่วไปบางอย่างในหมวดหมู่นี้ ได้แก่ การไม่มีรูทและการตรวจจับเจลเบรค การไม่สามารถป้องกันไม่ให้ผู้ใช้จับภาพหน้าจอของข้อมูลกระเป๋าเงินที่ละเอียดอ่อน ความล้มเหลวในการซ่อนข้อมูลที่ละเอียดอ่อนในขณะที่แอปทำงานในพื้นหลัง และการอนุญาตให้ใช้แป้นพิมพ์ที่กำหนดเองสำหรับช่องป้อนข้อมูลที่ละเอียดอ่อน

• ขาดการป้องกันเว็บไซต์ที่เป็นอันตรายในกระเป๋าสตางค์ส่วนขยาย

DApps ส่วนใหญ่เป็นเว็บแอปพลิเคชัน และการใช้กระเป๋าเงินส่วนขยายของเบราว์เซอร์เป็นวิธีที่ใช้กันมากที่สุดในการโต้ตอบ

ชื่อระดับแรก

คำแนะนำสำหรับผู้ใช้กระเป๋าเงิน

สิ่งสำคัญคือต้องใช้ความระมัดระวังในการปกป้องทรัพย์สินดิจิทัลของคุณและรักษากระเป๋าเงินของคุณให้ปลอดภัย ฟิลด์สกุลเงินดิจิทัลเต็มไปด้วยความเสี่ยงที่เกิดจากแฮ็กเกอร์และมิจฉาชีพ

ด้านล่างนี้คือรายการคำแนะนำที่ผู้ใช้สามารถอ้างอิงหรือปฏิบัติตามเพื่อลดโอกาสในการถูกแฮ็ก

① เลือกกระเป๋าเงินที่ตรงตามมาตรฐานความปลอดภัย กระเป๋าเงินบางใบอาจมีปัญหาและเสี่ยงต่อการถูกแฮ็กหรือการละเมิดความปลอดภัยอื่นๆ โปรดใช้กระเป๋าเงินที่ได้รับการทดสอบโดยบริษัทรักษาความปลอดภัย ตรวจสอบอย่างละเอียดเพื่อหาช่องโหว่ที่อาจเกิดขึ้น และถือว่าตรงตามมาตรฐานความปลอดภัย

② การดาวน์โหลดแอปจาก iOS Store อย่างเป็นทางการและ Google Play Store ช่วยให้มั่นใจได้ว่าคุณจะได้รับแอปเวอร์ชันที่ถูกต้อง

③ การอัปเดตอุปกรณ์เป็นสิ่งสำคัญ เนื่องจากการอัปเดตซอฟต์แวร์มักจะมีการแก้ไขด้านความปลอดภัยสำหรับช่องโหว่ที่ค้นพบ
④ ใช้โทรศัพท์มือถือหรือคอมพิวเตอร์ส่วนบุคคลเฉพาะเพื่อติดตั้งแอปพลิเคชันกระเป๋าเงิน และอย่าใช้อุปกรณ์การทำงานประจำวัน ซึ่งช่วยลดความเสี่ยงที่จะได้รับความเสียหายจากแอปพลิเคชันที่เป็นอันตรายซึ่งติดตั้งโดยไม่ได้ตั้งใจ
เขียนในตอนท้าย

เขียนในตอนท้าย

บล็อกเชนเลเยอร์ 1 และเลเยอร์ 2 ใหม่ได้รับการพัฒนาอย่างต่อเนื่อง และเนื่องจากกระเป๋าเงินที่มีอยู่จำนวนมากเข้ากันไม่ได้กับบล็อกเชนใหม่เหล่านี้ กระเป๋าเงินสกุลเงินดิจิทัลจะเปิดตัวในตลาดมากขึ้น

การลดความเสี่ยงด้านความปลอดภัยของกระเป๋าเงินให้ได้มากที่สุดต้องอาศัยความพยายามร่วมกันของผู้ใช้และนักพัฒนากระเป๋าเงิน: ผู้ใช้ต้องปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดและระมัดระวังเพื่อป้องกันการแฮ็ก ทีมพัฒนาจำเป็นต้องเขียนโค้ดที่ปลอดภัยและดำเนินการตรวจสอบความปลอดภัยในแอปพลิเคชันกระเป๋าเงินของตน