捂住你的钱包！ 黑客也要回家过年！钱包大事记

近日，CertiK发布了《》，从中可以看出，2022年对于整个数字资产行业来说，将是艰难的一年。

2022 年，恶意行为者从 Web 3.0 协议窃取了价值超过 37 亿美元的资产，这一数字比 2021 年损失的 13 亿美元增加了 189%。

这些资产大部分因钓鱼攻击中的私钥泄露或智能合约漏洞而被盗，但数字货币钱包中也有相当数量的资金被盗。

这些钱包事件不仅波及个人用户，如分布式资本的沉博：4200万美元的数字货币资产被盗； 它们还影响了大量的用户群体，例如 Slope 和 Bitkeep 钱包事件，影响了 9000 多个用户帐户。

然而，其中一些事件本可以避免——因为这些漏洞可以在钱包安全评估中找到。

在过去的几年里，CertiK 已经保护了数百个钱包应用程序。

在本文中，我们将重温 2022 年与数字货币钱包相关的重大安全事件，并探究其技术细节。

此外，我们将提供我们在对客户的钱包应用程序进行研究和安全评估时发现的常见安全漏洞的摘要。 在文章的最后，我们会为钱包用户列出一些安全建议，以降低被黑客攻击的风险。

~2022年主要加密货币钱包相关事件~

斜坡钱包

2022年最著名和影响最大的加密货币钱包安全事件，源于对私钥的不当处理。

Slope Wallet 是一款适用于 iOS 和 Android、Chrome 扩展的非托管数字货币钱包。

它支持多个区块链，但主要活跃在 Solana 区块链上。

2022 年 8 月 2 日晚，大约 410 万美元的资产在大约 4 小时内从 9,231 名用户的钱包地址中被盗。

在事件发生前的几个小时里，当根本原因不明时，用户惊慌失措，关于 Solana 区块链黑客攻击的谣言开始像野火一样蔓延开来。

攻击发生数小时后，一名 Twitter 用户发布了一张截图，显示来自 Slope 手机钱包的 HTTP 流量（其中包括用户的助记词）。 CertiK 发现，在导入钱包账户时，用户的助记词将被发送到 Slope 的 Sentry 日志服务器，任何有权访问该日志的人都可以接管该账户并从该地址转移所有资产。

袭击发生两周后，Slope Wallet 发布了一份“取证和事件响应报告”。

从报告中我们可以知道，从2022年7月28日起，用户的私钥将被记录在数据库中。 但是，这种漏洞风险其实很容易在安全审计或者内部审查之后被发现。

自该报告发布以来，Slope Wallet 团队未在社交媒体上发表任何回应。

比特币钱包

一些 BitKeep 数字钱包用户报告说，在黑客触发不需要验证的交易后，他们的钱包在圣诞节被清空。

BitKeep 是一个去中心化的多链 web3.0 DeFi 钱包，用于资产管理和交易处理。 在 168 个国家/地区拥有超过 800 万用户。

根据 BitKeep Telegram 频道的官方公告，该事件似乎主要影响了下载非官方版本 BitKeep 应用程序的用户。 Trojanized APK 包含恶意软件，允许黑客从毫无戒心的用户的钱包中窃取资产。

然而，社区中的一些用户声称他们的被黑钱包是从官方渠道下载的。 经过调查，CertiK 发现 BitKeep Android 应用程序具有应用程序内更新功能，可以从被劫持的 BitKeep 网站下载最新版本的 APK。 因此，从 Google Playstore 下载的钱包也会受到影响。

该平台尚未确定此次黑客攻击损失了多少，但据报道，到目前为止，价值约 800 万美元的资产已被盗。 可疑交易包括 4,373 BNB、540 万美元 USDT、196,000 DAI 和 1,233.21 ETH。

需要说明的是，这并不是BitKeep第一次因为黑客攻击而遭受重大损失。

2022 年 10 月，黑客利用 BitKeep 数字货币钱包兑换功能漏洞，导致平台损失约 100 万美元的 BNB。

当时BitKeep承诺对受事件影响的用户提供全额赔偿。

不过这次攻击是因为用户被木马APK恶意利用怎么创建usdt钱包，所以不知道会不会退款。

亵渎

Profanity 是一个基于 GPU 的 Vanity 地址（美名地址）生成工具，允许用户生成自己喜欢的 Vanity 自定义外部账户（EOA）和智能合约地址。

Profanity使用随机种子数将其展开为初始私钥，通过GPU根据初始私钥计算百万账户，从而暴力创建满足用户要求的地址。

从技术上讲，Profity 不是钱包应用程序，但它确实具有几乎所有加密货币钱包共有的功能：生成钱包帐户。

这是风险账户导致不良结果的完美示例。

2022 年 9 月 15 日，有报道称 Profanity 工具使用了不安全的种子怎么创建usdt钱包，该工具生成的账户私钥很容易被破解。 该漏洞自此首次引起关注。

五天后，即 9 月 20 日，最大的数字资产做市商之一的钱包账户遭到黑客攻击，攻击者得以从智能合约中提取约 1.625 亿美元。

10 月 11 日，QanxBridge 的部署者账户被黑，攻击者利用该账户从 Bridge 中提取 $Qanx 并出售。 多名攻击者还积极寻找区块链上的易受攻击账户并窃取资金。

这类问题的根本原因是种子总数可能只有2^32（40亿）。 不安全的种子和可逆的蛮力过程使得恢复使用该工具生成的帐户的私钥成为可能。 CertiK 成功开发了概念验证，并能够恢复 Wintermute 和 Qanx 部署者帐户的私钥。

此类事件并非个例。

2013 年，Android 的随机数生成器中发现了类似的漏洞，影响了比特币钱包的创建。

密码学是一个复杂的领域，因此很容易犯下危及安全的错误。 一条黄金法则是“不要推出自己的加密货币”（不要从头开始构建加密功能。因为新功能没有经过足够长的测试，它可能有很多漏洞）。

幸运的是，大多数数字货币钱包在处理创建钱包账户时都使用已建立的库，如“bip39”。

MetaMask 的 iCloud 备份

4 月 17 日，被超过 3000 万人用来存储和管理数字资产的主流加密货币钱包 MetaMask 警告其 iOS 用户将钱包机密存储在 Apple iCloud 中的潜在风险。

种子短语等钱包敏感信息在上传到 iCloud 时会被加密，但如果其所有者的 Apple 账户被盗用并使用低强度密码，他们的数字资产很可能会面临风险。

该警告换来了代价高昂的网络钓鱼攻击。

在此次攻击中，推特账号@revive_dom的用户Domenic Iacovone丢失了大量数字货币和非同质代币，总价值约65万美元。

假装是 Apple 支持代理，骗子获得了 Iacovone 的 iCloud 帐户的访问权限，并使用存储的 MetaMask 凭据耗尽了他的钱包，使他成为这次社会工程攻击的受害者。

钱包应将包含种子短语的保险库存储在 iCloud 不会备份的位置，如果不可能，应用程序还应警告用户在创建帐户时禁用 iCloud 备份以确保钱包安全。

海花

安全研究团队发现，一个名为SeaFlower的组织正在传播恶意版本的合法数字货币钱包（包括Coinbase Wallet、MetaMask、TokenPocket、imToken），这将导致用户的助记词通过后门被窃取。 这些修改后的钱包功能正常，但允许攻击者使用窃取的种子短语获取用户的数字货币。

SeaFlower 通过各种方式向尽可能多的用户传播数字货币钱包应用程序的特洛伊木马版本，包括创建虚假网站和对搜索引擎优化 (SEO) 的攻击，或通过社交媒体渠道、论坛以及通过恶意广告发布这些应用程序，但是，主要通过搜索服务分发。

研究人员发现，百度引擎的搜索结果尤其受到 SeaFlower 的影响，将大量流量引导至恶意网站。

在 iOS 设备上，攻击者可以通过滥用将开发人员和设备链接到授权开发团队的配置文件来绕过安全保护来旁加载恶意应用程序，并允许使用设备来测试应用程序代码，因此攻击者可以使用它们将恶意应用程序添加到设备。

数字货币钱包应用的常见安全问题

最关键的风险之一是将钱包敏感信息上传到服务器或在服务器端生成钱包。 对于非托管钱包，钱包敏感信息应存储在用户的设备上——即使它以加密形式存在，这种高度敏感的数据仍可能在传输过程中被拦截或泄露给有权访问服务器数据库或日志的人。

当敏感信息（例如钱包密码和其他秘密）以纯文本形式存储或存储在设备上不安全的位置时，就会出现安全风险。

这种情况包括 Android 上的外部存储或 iOS 上的“UserDefaults”。

当使用不安全的密钥派生函数生成加密密钥，或使用不安全的加密算法保护数据时，也会发生这种情况。

钱包应用除了要安全地存储数据外，还应该保证自身运行的安全和底层运行环境的安全。 此类别中的一些常见问题包括缺乏 root 和越狱检测、无法阻止用户截取敏感钱包信息的屏幕截图、无法在应用程序在后台运行时隐藏敏感信息以及允许在敏感输入字段中使用自定义键盘。

大多数 DApp 都是 Web 应用程序，使用浏览器扩展钱包是最常见的交互方式。

然而，扩展钱包的一个常见问题是缺乏针对恶意网站的保护。 例如，不安全的钱包可能允许恶意网站获取用户的钱包账户信息，或者在用户同意将其钱包连接到网站之前接受交易签名请求； 当从恶意网站接收恶意数据时，钱包可能会发生故障。

给钱包用户的建议

采取预防措施保护您的数字资产并确保钱包安全非常重要。 数字货币领域充满了黑客和欺诈者带来的风险。

以下是用户可以参考或遵循的建议列表，以减少被黑客攻击的机会。

① 选择符合安全标准的钱包。 一些钱包可能存在漏洞，容易受到黑客攻击或其他安全漏洞的攻击。 请仅使用经过安全公司测试、彻底检查潜在漏洞并被认为符合安全标准的钱包。

② 从官方 iOS 商店和 Google Play 商店下载应用程序有助于确保您获得正版应用程序。

③ 保持设备更新很重要，因为软件更新通常包括针对已发现漏洞的安全修复程序。

④ 使用专用手机或个人电脑安装钱包应用，不使用日常工作设备，有助于降低因误安装恶意应用而受损的风险。

⑤ 如果您持有大量数字货币，并希望尽可能保证安全，可以考虑使用硬件钱包。

写在最后

新的 Layer 1 和 Layer 2 区块链不断被开发，由于许多现有的钱包不兼容这些新的区块链，市场上将推出更多的数字货币钱包。

尽可能降低钱包的安全风险需要用户和钱包开发者的共同努力：用户需要遵循最佳实践并保持警惕以防止被黑客攻击； 开发团队需要编写安全代码并对他们的钱包应用程序进行安全审计。

CertiK 为移动、网络、桌面和浏览器扩展钱包提供安全评估审计。 如果您有相关需求，欢迎点击公众号对话框留言咨询！

往期长文回顾