Atomic Wallet遭黑客攻擊損失3500萬美元，無心之失還是咎由自取？

上週末，加密錢包Atomic Wallet 遭遇黑客攻擊。

根據鏈上偵探ZachXBT 統計，本次攻擊被盜總額已超3500 萬美元，涉及BTC、ETH、USDT、Tron、BSC、ADA、Ripple、Polkadot、Cosmos、Algo、Avax、XLM、LTC 和Doge 等多個資產；最大個人損失為795 萬枚USDT（TRC 版），排名前五的受害者累計損失約1700 萬美元，佔比近一半。

加密KOL

加密KOL

加密KOL「Tay」通過收集受害者地址分析發現，最早的攻擊發生在6 月3 日5: 45 （UTC+ 8 ），最新一筆被盜交易發生在6 月3 日23: 30 UTC（UTC+ 8 ）；黑客首先將被盜資產歸集到一個新地址，而後通過uniswap、mm swap、sunswap 等DEX 將各個代幣兌換為該鏈的基礎代幣並再次轉移至新地址（等待後續操作）。

攻擊發生後，加密基礎設施公司Jito Labs 首席執行官buffalu 和業務負責人Brian 出手，幫助一名受害者成功挽回100 萬美元損失。

圖片描述「Joko」圖片描述

（受害者論壇）

也有受害者反映，自己的Atomic Wallet 賬戶私鑰從未在其他平台進行備份或授權，並且也沒有使用SIM 卡，很少連接家庭WiFi，但依然被黑客盜走了所有的ADA 資產。不過有一個細節值得注意，該用戶使用的是Atomic Wallet 安卓版本1.13.20 ，最新版本為1.15.1 （2023 年5 月23 日更新），因此不排除是舊版本錢包存在安全漏洞的可能。

「Tay」圖片描述

圖片描述

（Least Authority 公告）

2022 年2 月，Least Authority 發布報告稱，該公司於2021 年初首次受聘檢查Atomic 的系統設計及其相應的核心、桌面和移動編碼實現，得出的結論是存在使用戶面臨“重大風險”的漏洞和不足，該報告於2021 年4 月提交給Atomic。 Atomic 在2021 年11 月對調查結果做出了回應，表明已進行更新和改進。然而，Least Authority 在審查Atomic Wallet 提供的修改後版本中，發現大量問題仍未解決，並對用戶構成安全風險。根據審計準則和披露政策，Least Authority 正式向用戶發布警告，以警示風險。但這一警示依然沒有引起Atomic Wallet 的重視，某種程度上也為今天的攻擊埋下了暗雷。

針對Atomic Wallet 被盜事件，安全公司慢霧創始人餘弦評論稱：“助記詞/私鑰如此敏感的信息交給對安全不夠負責任或安全等級不足夠高的錢包來守護，簡直就是諷刺。這裡的信息不對稱太嚴重了，連我都難以回答哪些錢包是持續安全的……助記詞/私鑰就應該躲在加密芯片、離線環境或可信環境裡，用多簽/MPC 去單點故障也行。”

據了解，Atomic Wallet 將自己定位為不擁有用戶私鑰的去中心化、非託管應用程序，號稱目前支持超過1000 種加密貨幣，在全球擁有超過500 萬用戶。 “Atomic Wallet 作為一個接口，使用戶能夠訪問他們的區塊鏈資金。錢包及其操作是受加密保護的，私鑰和備份短語等關鍵數據，通過可靠的加密算法安全地存儲在用戶的本地設備上。”

服務條款服務條款中明確說明，開發者對用戶遭受的鏈上損害不承擔任何責任。 “在任何情況下，Atomic Wallet 都不會對超過50 美元的服務造成的損害承擔責任。”

最後，需要提醒廣大受害者，目前推特上已經出現虛假賬戶冒充Atomic Wallet 發布退款推文，用戶點擊後會跳轉至釣魚網站，需要提高警惕。在推特蒐索官方賬戶時，認準藍V 認證——虛假賬戶使用金V 認證混淆視聽，官方賬戶為：@AtomicWallet。