企业培训资讯_企业培训干货

当前位置:首页 > 新闻中心

火博体育-慢雾:IOTA 重大被盗币事件的分析与安全建议

发布时间:2021-04-25    来源:火博体育官网登录12773

本文摘要:一些天前我们注意到 IOTA 停止了主网,虽然早前我们也告诉 IOTA 用户遭遇了盗币反击,但没想到 IOTA 官方不会通过停止主网方式来展开这次盗币反击的拦阻与调查,显然问题很相当严重。

一些天前我们注意到 IOTA 停止了主网,虽然早前我们也告诉 IOTA 用户遭遇了盗币反击,但没想到 IOTA 官方不会通过停止主网方式来展开这次盗币反击的拦阻与调查,显然问题很相当严重。随后,2020/02/19,我们深入分析了官方透露在 status.iota.org 上的一些线索,开始独立国家调查这次相当严重安全事故的明确原因。通过对 IOTA 官方钱包 Trinity 新版本公布的分析,我们在其 GitHub 上展开了版本核对,注意到了 MoonPay 这个第三方组件被去除,且我们注意到 Trinitiy 桌面钱包是基于 Electron 研发的,安全性经验告诉他我们,这有可能是个大坑,于是,我们 2020/02/19 时公布了一些推断:快雾:IOTA 用户 Trinity 钱包被盗币反击推断IOTA 因为近期不少用户的 Trinity 钱包被盗币反击,为了制止反击之后、调查与修缮明确原因,主网协商器都停止运营了。

火博体育

这是一个被高估的经典反击,官方没有透露明确反击细节,但通过我们的分析,可以作出某些最重要推断,首先可以具体的几个点:不是 IOTA 区块链协议的问题,是 IOTA 的 Trinity 桌面钱包的问题(官方说道的,且先坚信)这款桌面钱包基于 Electron(一个用于 JavaScript 为核心建构桌面应用于的框架),网卓新闻网,意味著核心代码是 JavaScript 写出的在做到该做到钱包新旧版本代码的 diff 分析时,找到去除了之前内置的一个交易所功能模块 MoonPay,这其中关键点是去除了一段可怕的代码:const script = document.createElement('script');script.src = 'https://cdn.moonpay.io/moonpay-sdk.js';document.write(script.outerHTML);如果这个第三方 JavaScript 链接主动或被黑害人,那该桌面版钱包就可以指出是几乎失守了。到这,我们很有理由坚信这是个相当大的定时炸弹,如果这个定时炸弹是知道炸伤了,那很相符官方的一些说词与说明,如:尽早升级新版本的 Trinity 桌面钱包,尽早改为密码,尽早移往资产到安全性种子里等等。且看官方的先前透露。

今天(2020/02/22),我们注意到了官方透露了一些细节,基本检验了我们的推断。https://blog.iota.org/trinity-attack-incident-part-1-summary-and-next-steps-8c7ccc4d81e8重点注目下这段:The attacker started on November 27th, 2019 with a DNS-interception Proof of Concept that used a Cloudflare API key to rewrite the api.moonpay.io endpoints, capturing all data going to api.moonpay.io for potential analysis or exfiltration. Another longer-running Proof of Concept was evaluated by the attacker one month later, on December 22nd, 2019. On January 25th, 2020, the active attack on Trinity began, where the attacker started shipping illicit code via Moonpay’s DNS provider at Cloudflare.攻击者利用 MoonPay 的 Cloudflare API Key 已完成了先前一系列挟持反击,预估被盗的 IOTA 约 8.55 Ti(8550000 枚 MIOTA,MIOTA 现在是交易所配置文件大于交易单元,当前价格 0.267 美金/MIOTA)。根据我们历史经验,如果 Web 服务方用于了 Cloudflare,而其 Cloudflare 账号权限被掌控,就可以做十分极致的中间人挟持反击,流经蓄意 JavaScript。而 Trinity 桌面钱包又是基于 Electron,一个极致的 JavaScript 继续执行环境就放在这,不必须任何尤其的越权,JavaScript 可以已完成用户或 Trinity 钱包可以已完成的任何事情,其中就还包括密码和种子的窃取等等。

由于我们不像 IOTA 和 MoonPay 官方,他们享有充足的日志记录来将反击过程原始掌控,我们不能通过我们所能认识到的已完成以上推断与涉及分析工作。只剩的就期望官方发布明确细节并尽早已完成主网的新的运营。在这,我们被迫托的一些安全性观点及建议:1. 第三方是可以恶魔的,配置文件都不能信,软件安全性研发过程一定要警觉第三方倚赖,还包括第三方组件与第三方 JavaScript 链接录:IOTA 基金会牵头创始人 Dominik Schiener 回应:“此次反击是由于构建 MoonPay 的漏洞导致,「Trinity 钱包所犯的仅次于错误是没构建 NPM 软件包,并且没必要地对构建展开安全性审查」”我们车站在第三方独立国家安全性审核的角度指出,这种众说纷纭是不缜密的,在加密货币发展的历史上,因为 NPM 包中提到的第三方源而造成的加密货币被盗案件不在少数。如著名的 "event-stream" 事件2. Cloudflare 等第三方 CDN/WAF 服务很杰出很强劲,但如果使用者没有安全性管理好自己的账号权限,其 Web 服务将不会遭遇极致的中间人反击3. 公链官方钱包的一个可怕缺失有可能搞垮一条公链,链上安全性注目的同时,链下安全性也无法忽略,他们是仍然整体,这也是为什么我们注目的是区块链生态安全性,而不是意味着区块链本身的链上安全性4. 作为 IOTA 官方钱包 Trinity 的使用者来说,尽早按官方的指导已完成安全性修整工作,这个就不多说道了涉及链接:Trinity Attack Incident Part 1: Summary and next steps https://blog.iota.org/trinity-attack-incident-part-1-summary-and-next-steps-8c7ccc4d81e8Trinity Attack Incident Part 2: Trinity Seed Migration Plan https://blog.iota.org/trinity-attack-incident-part-2-trinity-seed-migration-plan-4c52086699b6Trinity Attack Incident Part 3: Key LearningsTakeaways https://blog.iota.org/trinity-attack-incident-part-3-key-learnings-takeaways-c933de22fd0aIOTA Status Page: https://status.iota.org/如何看来 NPM 包在 event-stream 被黑客伪造,找到包括恶意代码?https://www.zhihu.。


本文关键词:火博体育,火博体育官网登录

本文来源:火博体育-www.2012blogs.com

分享到:
日本主帅:带年轻球员因世界杯踢太久 要夺东亚杯|火博体育官网登录 火博体育_朝主帅:胜日本不是最终目的 会继续赢得剩下比赛
热门文章
龙凤禧毛肚火锅,给客户带去绿色、健康的美食体验
外卖补贴取消,餐饮boss打算哭晕在厕所?-火博体育
缅甸推进酒店业私有化进程【火博体育官网登录】
仙游辉煌仙艺国礼红木屏风亮相厦门金砖会议
数字电视让观众变成“玩家”|火博体育官网登录
冬天豆浆要这样喝
女人应给乳房放个假_火博体育
【火博体育官网登录】几毫升唾液就能“剧透”孩子人生?专家:“基因算命”并不靠谱!
火博体育|Resources为区块链上的所有权编程
内容消费的膨胀时代,虚拟化身的进化与机遇_火博体育官网登录
餐饮O2O真拼了:美团与饿了么员工为抢市场互殴|火博体育官网登录
火博体育官网登录-麦当劳称受到俄罗斯监管检查影响已暂时关门9家
【火博体育官网登录】厨师在餐馆内持刀斗殴只因言语不和
【火博体育】继获蒲公英大奖后,汇志海南公司再次斩获品牌传播界“奥斯卡”大奖
火博体育-3款甜品食疗护发更健康
客户案例
×