共有 41 条记录
事件描述:9 月 20 日消息,慢雾发文表示,近期,Coinbase Wallet 全面集成了 Web3 消息网络协议(xmtp.org)。只要用户的钱包地址开启了消息网络就可能会收到任何支持该消息协议发来的信息。发现许多钓鱼者利用此功能对钱包用户发带有钓鱼链接的信息。慢雾提醒相关钱包用户保持警惕,请勿点击不明链接。
损失金额:-攻击手法:钓鱼攻击
事件描述:Ordinals Wallet 遭遇 SIM Swap 攻击,推特账号被黑并发布钓鱼链接,攻击者为 PinkDrainer。
损失金额:-攻击手法:Twitter 被黑
事件描述:据 CoinDesk 报道,加密基础设施公司 Fireblocks 披露了一系列漏洞(统称为“BitForge”),影响各种使用多方计算 (MPC) 技术的流行加密钱包。该公司将 BitForge 归类为“零日”漏洞,Coinbase、ZenGo 和 Binance(受 BitForge 影响最大的三家公司)已经与 Fireblocks 合作,以修复潜在漏洞。Fireblocks 表示:“如果不加以补救,这些漏洞将使攻击者和恶意内部人员在几秒钟内从数百万零售和机构客户的钱包中抽走资金,而用户或供应商对此一无所知。”
损失金额:-攻击手法:BitForge 漏洞
事件描述:Klever 发布了有关 7 月 12 日 外部安全事件报告。据报告,7 月 12 日受可疑活动影响的所有钱包均受到由低熵助记词引起的已知漏洞的影响。需要强调的是,这个问题并不是 Klever 独有的,报告表明多个钱包提供商的用户受到影响。所有涉及的钱包均导入到 Klever Wallet K5 中。这些钱包最初并不是使用 Klever Wallet K5 创建的,而是使用旧的、弱的伪随机数生成器 (PRNG) 算法作为熵源创建的。该算法常用于各种加密货币钱包提供商的早期版本,这些钱包依赖于 Javascript 平台。使用如此弱的 PRNG 算法可能会严重损害生成密钥的安全性和不可预测性,从而可能使它们更容易受到攻击或未经授权的访问。Klever 强烈建议将旧钱包立即迁移到在 Klever Wallet K5 或 Klever Safe 上创建的新钱包。
损失金额:-攻击手法:低熵助记词漏洞
事件描述:Ordinals 生态钱包 Xverse 发推表示:Xverse 修复了一个错误,该错误导致钱包助记词未加密地存储在本地设备上,所有用户都应将 Chrome 扩展程序更新到最新版本。如果确认没有助记词离开用户的本地设备,此错误的风险很小。但如果用户担忧受到威胁,可将资产迁移到新生成的钱包。此错误不会影响 Xverse iOS 和 Android 应用程序。
损失金额:-攻击手法:助记词泄露
事件描述:6 月 3 日,多名 Atomic Wallet 用户在社交媒体发文称自己的钱包资产被盗。Atomic 表示目前不到 1% 的月活用户受到影响/已上报。据慢雾,Atomic 钱包官方紧急下线 cloudflare 的下载站点与 sha256sum 验证站点,由此猜测可能是在历史版本下载这个环节上出现了安全问题。
损失金额:$ 100,000,000攻击手法:未知
事件描述:据 The Block 报道,网络安全公司 Unciphered 声称它能够侵入由 Trezor T 型硬件加密钱包。在 YouTube 演示中,Unciphered 展示了利用钱包漏洞从钱包中提取助记词私钥的过程,并称这种攻击只有在攻击者可以物理访问硬件钱包时才可行。Trezor 首席技术官 Tomáš Sušánka 对此回应称:“这似乎是一个名为 RDP 降级攻击的漏洞,实施该攻击需要具备极其精熟的技术知识和先进的设备。即使有以上条件,Trezor 也可以通过强大的密码短语进行保护,使 RDP 降级攻击无效。”Trezor 补充称,他们已经采取了重要步骤,即与其姊妹公司 Tropic Square 一起开发用于硬件钱包的新安全元件来解决未来的问题。
损失金额:-攻击手法:RDP 降级攻击
事件描述:Algorand 生态钱包 MyAlgo 在推特上发布提醒称,黑客攻击发生在一个多星期以前,此后没有发生其他行动。受攻击的用户在他们的账户上都拥有大量资金,并使用助记词钱包,密钥存储在浏览器中。链上数据分析师 ZachXBT 发推称:“由于 2 月 19 日至 21 日 Algorand 生态钱包 MyAlgo 遭受攻击,Algorand 上可能有超过 920 万美元资产(1950 万枚 ALGO、350 万枚 USDC 等)被盗。ChangeNow 分享说他们能够冻结 150 万美元。”
损失金额:$ 9,200,000攻击手法:助记词泄露
事件描述:网络安全初创公司 Unciphered 对 OneKey 制造的加密硬件钱包实施了攻击。在 YouTube 上的一个视频中,Unciphered 展示了一种所谓的“中间人”钱包攻击方法,它能够利用一个漏洞从 OneKey Mini 硬件钱包中提取助记种子短语,也就是私钥。OneKey 在一份声明中承认了该漏洞,并表示已经更新了安全补丁,没有人受到影响。OneKey 表示已向 Unciphered 公司支付了一笔赏金。
损失金额:-攻击手法:“中间人”攻击
事件描述:多名用户在 Web3 多链钱包 BitKeep 官方 Telegarm 群中称其资金被盗,BitKeep 发布公告称,经过团队初步排查,疑似部分 APK 包下载被黑客劫持,安装了被黑客植入代码的包。目前多条链上资金受损,仅 BNB Chain 损失金额已超 300 万美金。
损失金额:$ 9,000,000攻击手法:未知
事件描述:Trust Wallet 发布分析报告称:“2022 年 11 月,位于开源存储库钱包核心的后端模块 WebAssembly(WASM)中发现了一个漏洞。该漏洞影响了浏览器扩展版本 0.0.172 和 0.0.182 生成的新钱包,只有在这些版本中创建的有限新钱包的私钥受到影响。尽管我们尽了最大努力,但还是发生了两次漏洞,导致攻击时总共损失约 170,000 美元。”
损失金额:$ 170,000攻击手法:钱包漏洞
事件描述:Aptos 生态钱包 Petra 发推称,Aptos Labs 团队在 10 月 20 日发现 Petra 上的一个漏洞,该助记词与现有钱包内的帐户创建有关,页面上显示的助记词可能会不准确。访问准确的 12 个助记词短语的过程为,设置、管理帐户、输入密码,然后单击显示密钥恢复短语。当前,Petra 已修复该漏洞。
损失金额:-攻击手法:助记词漏洞
事件描述:据钱包 BitKeep 官方消息,BitKeep Swap 遭黑客攻击,开发团队已进行紧急处理,黑客的攻击行为已被阻止,攻击集中于 BNB Chain,造成约 100 万美元的损失。据慢雾 MistTrack 监测,Bitkeep Swap 攻击者已将 4300 枚 BNB(约合 118 万美元)被盗资金以每笔 100 BNB 的形式转移至 Tornado Cash。
损失金额:$ 1,180,000攻击手法:合约漏洞
事件描述:据 TokenPocket 官方公告,目前官网 tokenpocket.pro 受到异常流量攻击,技术团队正在进行紧急维护。技术维护期间,TokenPocket 网站将不能正常访问,用户资产安全不会受到影响。
损失金额:-攻击手法:异常流量攻击
事件描述:DeBank 插件钱包 Rabby 发推称,其 Rabby Swap 智能合约存在漏洞,请使用过它的用户尽快撤销所有链上的 Rabby Swap 批准。据慢雾安全团队分析, Rabby Swap 合约被攻击, 其合约中代币兑换函数直接通过 OpenZeppelin Address library 中的 functionCallWithValue 函数进行外部调用,而调用的目标合约以及调用数据都可由用户传入,但合约中并未对用户传入的参数进行检查,导致了任意外部调用问题。攻击者利用此问题窃取对此合约授权过的用户的资金。
损失金额:$ 190,000攻击手法:合约漏洞
事件描述:@alxlpsc 在 medium 上披露称 MetaMask 存在严重的隐私泄露问题。漏洞主要是利用了 MetaMask 自动加载 NFT 图片 URL。基本的攻击思路:攻击者在可以将 NFT 的 URI 设置成自己可控的服务器网址,并将 NFT transfer 给目标账户;当用户登录 MetaMask 时,MetaMask 会自动扫描账户上所拥有的 NFT,并发起指向攻击者服务器的 HTTP 请求;攻击者则可以从访问日志中得到受害者的 IP 信息。
损失金额:-攻击手法:信息泄露
事件描述:Dharma 钱包官方发推称,出现宕机情况。后 Dharma 更新推特称,已经恢复正常,所有资金都是安全的。
损失金额:-攻击手法:宕机
事件描述:Chivo 钱包是萨尔瓦多政府为推行比特币法案而在 9 月 7 日发布的国家级数字钱包,为此,萨尔瓦多承诺,下载并认证的 Chivo 钱包用户将获得 30 美元的比特币奖励。此举使这个萨尔瓦多官方钱包在 1 个月内的用户量超过 200 万人。在 10 月 9 日至 10 月 14 日期间,萨尔瓦多的人权组织 Cristosal 收到了 755 份关于萨尔瓦多人报告 Chivo 钱包身份被盗的通知。
损失金额:$ 22,650攻击手法:钱包被盗
事件描述:DeFi 保险协议 Nexus Mutual 在推特上表示,其创始人 Hugh Karp 的个人地址被一位平台用户攻击,被盗 37 万 NXM,损失超过 800 万美元。官方表示这是一次具有针对性的攻击,只有 Karp 的地址收到影响,Nexus Mutual 或其他成员没有后续风险。 官方称,Karp 使用的是硬件钱包,攻击者获得了对他电脑的远程访问权限,并修改了钱包插件 MetaMask,欺骗他签署了交易,将资金转移到攻击者自己的地址。这位攻击者在 11 天前完成了 KYC,然后在 12 月 3 日换了一个新地址。
损失金额:370,000 NXM攻击手法:权限被盗
事件描述:11 月 9 日消息,名为 “aaron67” 的用户发文讲述其 BSV 被盗经历称,请立即停止使用 ElectrumSV 实现的 multisig accumulator 多签方案。该方案的锁定脚本有严重 bug,以至于其于 11 月 6 号被盗了 600 BSV。事件发生后,该用户已第一时间联系了 ElectrumSV 的作者 Roger Taylor,随后这个严重的 bug 被确认。与此同时,Note.SV 开发者表示,已第一时间做了分析找到了 bug 源头,并且通知了钱包作者和社区用户。
损失金额:600 BSV攻击手法:安全漏洞