Atomic Wallet đã bị tấn công và mất 35 triệu đô la. Nó vô tình hay tự gây ra?

Cuối tuần trước, ví tiền mã hóa Atomic Wallet đã bị hack.

Theo thống kê của thám tử on-chain ZachXBT, tổng số tiền bị đánh cắp trong cuộc tấn công này đã vượt quá 35 triệu đô la Mỹ, liên quan đến BTC, ETH, USDT, Tron, BSC, ADA, Ripple, Polkadot, Cosmos, Algo, Avax, XLM, LTC và Doge, v.v. Tài sản, khoản lỗ cá nhân lớn nhất là 7,95 triệu USDT (phiên bản TRC) và năm nạn nhân hàng đầu có khoản lỗ lũy kế khoảng 17 triệu đô la Mỹ, chiếm gần một nửa.

Vào ngày 3 tháng 6, một số người dùng Ví Atomic đã đăng trên phương tiện truyền thông xã hội rằng tài sản ví của họ đã bị đánh cắp. Sau đó, Atomic Wallet đã đăng: "Chúng tôi đã nhận được báo cáo về hành vi trộm cắp ví và đang làm mọi thứ có thể để điều tra và phân tích nguyên nhân. Nếu có nhiều tin tức liên quan hơn sẽ được phát hành càng sớm càng tốt.

Sau gần hai ngày chờ đợi, Atomic Wallet đã chính thức đưa ra một dòng tweet mơ hồ vào sáng nay, "Hiện tại chưa đến 1% người dùng hoạt động hàng tháng bị ảnh hưởng/báo cáo và cuộc điều tra bảo mật đang diễn ra; Atomic Wallet đã đặt địa chỉ nạn nhân được thông báo cho các sàn giao dịch lớn và các công ty phân tích chuỗi khối để theo dõi và ngăn chặn việc chuyển tiền bị đánh cắp.” Atomic Wallet đã không đáp ứng các mối quan tâm của người dùng như vectơ tấn công của tin tặc, cách tránh rủi ro và bồi thường sau đó.

KOL được mã hóa「Tay」Thông qua phân tích thu thập địa chỉ của nạn nhân, người ta thấy rằng vụ tấn công sớm nhất xảy ra lúc 5:45 ngày 3 tháng 6 (UTC+8) và giao dịch bị đánh cắp gần nhất xảy ra lúc 23:30 UTC ngày 3 tháng 6 (UTC+8); Tài sản bị đánh cắp được thu thập đến một địa chỉ mới, sau đó thông qua uniswap, mm swap, sunswap và các DEX khác, mỗi mã thông báo được đổi lấy mã thông báo cơ bản của chuỗi và được chuyển lại đến địa chỉ mới (chờ các hoạt động tiếp theo).

Sau vụ tấn công, trâu, Giám đốc điều hành của công ty cơ sở hạ tầng mã hóa Jito Labs và Brian, người đứng đầu bộ phận kinh doanh, đã giúp một nạn nhân phục hồi khoản lỗ 1 triệu đô la.

Làm thế nào mà hacker đạt được cuộc tấn công? Người sáng lập Btc 21.de「Joko」Mô tả hình ảnh

(Diễn đàn nạn nhân)

Một số nạn nhân cũng báo cáo rằng khóa riêng của tài khoản Atomic Wallet của họ chưa bao giờ được sao lưu hoặc ủy quyền trên các nền tảng khác, đồng thời họ không sử dụng thẻ SIM và hiếm khi kết nối với WiFi tại nhà, nhưng tất cả tài sản ADA vẫn bị tin tặc đánh cắp. Tuy nhiên, có một chi tiết đáng chú ý là người dùng đang sử dụng Atomic Wallet Android phiên bản 1.13.20 và phiên bản mới nhất là 1.15.1 (cập nhật ngày 23/05/2023) nên không loại trừ khả năng có lỗ hổng bảo mật trong phiên bản cũ của ví.

「Tay」Phân tích tin rằng ứng dụng của Atomic Wallet không được xây dựng theo cách an toàn, hoặc ai đó đẩy phiên bản độc hại của ứng dụng và đánh cắp khóa của người dùng; hoặc họ (Atomic Wallet) vô tình ghi lại khóa riêng của người dùng vào máy chủ của chính họ được truy cập bởi diễn viên độc hại.

Mô tả hình ảnh

(Thông báo cơ quan ít nhất)

Vào tháng 2 năm 2022, Least Authority đã công bố một báo cáo nói rằng công ty, lần đầu tiên được thuê vào đầu năm 2021 để kiểm tra thiết kế hệ thống của Atomic và các triển khai mã hóa lõi, máy tính để bàn và thiết bị di động tương ứng, đã kết luận rằng có các lỗ hổng khiến người dùng gặp "rủi ro đáng kể" và thiếu sót. , báo cáo đã được gửi cho Atomic vào tháng 4 năm 2021. Atomic đã phản hồi những phát hiện vào tháng 11 năm 2021, cho biết các bản cập nhật và cải tiến đã được thực hiện. Tuy nhiên, khi xem xét phiên bản sửa đổi do Atomic Wallet cung cấp, Least Authority nhận thấy rằng một số lượng lớn vấn đề vẫn chưa được giải quyết và gây ra rủi ro bảo mật cho người dùng. Least Authority chính thức đưa ra cảnh báo cho người dùng để cảnh báo rủi ro theo các tiêu chuẩn kiểm toán và chính sách công bố thông tin. Tuy nhiên, lời cảnh báo này vẫn không thu hút được sự chú ý của Atomic Wallet, và ở một mức độ nào đó, nó còn gài mìn ngầm cho cuộc tấn công ngày nay.

Để đối phó với vụ trộm Atomic Wallet, người sáng lập công ty bảo mật SlowMistcô sinBình luận cho biết: "Thật trớ trêu khi những thông tin nhạy cảm như khóa ghi nhớ/khóa cá nhân lại được trao cho một chiếc ví không chịu trách nhiệm về bảo mật hoặc mức độ bảo mật không đủ cao. Thông tin bất đối xứng ở đây quá nghiêm trọng, thậm chí tôi có thể Không trả lời được Ví nào liên tục được bảo mật... ghi nhớ/khóa cá nhân nên được ẩn trong chip mã hóa, môi trường ngoại tuyến hoặc môi trường đáng tin cậy và đa chữ ký/MPC có thể được sử dụng để loại bỏ các điểm lỗi đơn lẻ."

Điều này được hiểu rằng Atomic Wallet tự định vị mình là một ứng dụng phi tập trung, không giam giữ, không sở hữu khóa riêng của người dùng. Nó tuyên bố hiện hỗ trợ hơn 1.000 loại tiền điện tử và có hơn 5 triệu người dùng trên toàn thế giới. "Ví nguyên tử hoạt động như một giao diện cho phép người dùng truy cập vào quỹ blockchain của họ. Ví và các hoạt động của nó được bảo vệ bằng mã hóa và dữ liệu quan trọng như khóa riêng và cụm từ sao lưu được lưu trữ an toàn trên thiết bị cục bộ của người dùng thông qua thuật toán mã hóa đáng tin cậy. "cấp trên."

Điều khoản dịch vụĐiều khoản dịch vụNó được nêu rõ ràng rằng nhà phát triển sẽ không chịu bất kỳ trách nhiệm nào đối với thiệt hại mà người dùng phải gánh chịu trên chuỗi. "Trong mọi trường hợp, Atomic Wallet sẽ không chịu trách nhiệm pháp lý cho các thiệt hại đối với các dịch vụ vượt quá $50."

Cuối cùng, chúng tôi cần nhắc nhở tất cả các nạn nhân rằng các tài khoản giả mạo là Atomic Wallet đã đăng các tweet hoàn tiền trên Twitter và người dùng sẽ được chuyển hướng đến các trang web lừa đảo sau khi nhấp vào, vì vậy họ cần cảnh giác hơn. Khi tìm kiếm tài khoản chính thức trên Twitter, hãy tìm chứng nhận V màu xanh - tài khoản giả sử dụng chứng nhận V vàng để gây nhầm lẫn cho công chúng, tài khoản chính thức là:@AtomicWallet。