Web3 開發平台 ThirdWeb 旗下的開發人員,近日發現一個廣泛用於多個 Web3 服務的開源程式庫,含有一個漏洞,可能影響到多個 NFT 平台、智慧合約與收藏集的安全性。
ThirdWeb 指出,該公司在 2023 年 11 月 20 日時發現了該漏洞,並在 2 天後推送修正版本;但該公司並未對外公開是哪個開源程式庫內存有漏洞,也沒有透露該漏洞的嚴重性。在通報中僅揭露極少量的訊息,以免有駭侵者利用通報資訊來發動攻擊。
ThirdWeb 表示,該公司除了與含有此漏洞的開源程式庫維護人員聯絡外,也與可能受此漏洞影響的平台或服務業者分享所發現的漏洞。
受到該漏洞影響的智慧合約如下:twcert 發表在 痞客邦 留言(0) 人氣(3)
資安廠商 Scam Sniffer 近期發現有駭侵者濫用以太坊的「Create2」功能,成功略過加密錢包的資安功能並入侵加密貨幣位址,在六個月內竊得高達 6,000 萬美元加密資金,受害者近 10 萬人。
Scam Sniffer 近來發現多起利用相同手法的加密資產竊案,都是利用以太坊提供的「Create2」功能來加以濫用。該功能是於以太坊的「Constantinople」改版時推出,可在區塊鏈上新增智慧合約。這個功能非常強大,可以在布署智慧合約前用來計算錢包位址,讓區塊鏈開發者可用以設計出複雜的智慧合約功能,且可以進行鏈下交易之用。
Scam Sniffer 指出,駭侵者利用 Create2 功能憑空創造出全新的智約合約位址,因其不含任何過往的惡意交易記錄,因此當駭侵者將竊取的資金轉入這些全新的錢包位址時,就不易觸發危險位址交易警示。
最近的一次竊取記錄顯示,某位受害者不慎簽署了駭侵者提供的惡意智慧合約,其相當於 927,000 美元的 GMX 代幣就遭到駭侵者轉入這類預先計算的合約位址內,因而遭到竊取。
也有駭侵者利用 Create2 功能,製作出和受害者個人擁有的位址相當接近的錢包位址,用來混淆受害者視聽,讓受害者以為轉帳目標位址是自己所擁有的錢包,從而竊取資金。
Scam Sniffer 指出,自 2023 年 8 月起,已記錄到 11 起駭侵者利用位址混淆手法進行的加密貨幣詐騙,共計損失 300 萬美元;最大的一筆竊案,損失金額高達 160 萬美元。
建議加密貨幣持有者在進行轉帳時,務必仔細檢查並確認轉帳目標的錢包位址是否完全正確,否則資金一旦轉出就無法逆轉,恐將蒙受重大損失。twcert 發表在 痞客邦 留言(0) 人氣(0)
區塊鏈專家 ZachXBT 與區塊鏈錢包 MetaMask 的開發者 Taylor Monahan,近期發現日前密碼儲存工具服務 LastPass 於 2022 年發生駭侵事件中外洩的資訊,疑已遭駭侵者用以竊取受害者的加密貨幣資產,損失達 440 萬美元。
該起加密貨幣竊案發生於 2023 年 10 月 25 日,共有 25 名受害者,其加密貨幣錢包中合計約 440 萬美元的各種加密貨幣資產,同時遭駭侵者盜領一空。
ZachXBT 指近期頻繁接獲用戶回報,表示自己的加密資產遭到竊取;在深入追蹤多個案例後,發現這些受害者的共同點,就是都使用了 LastPass 服務。
ZachXBT 表示,如果使用者將自己加密貨幣錢包的復原短語或密碼存在 LastPass 中,而又未曾於 LastPass 遭駭後更改復原短語與密碼,錢包內的數位資產就極可能在一瞬間遭到駭侵者盜領一空。
LastPass 是一個使用者眾多的密碼儲存管理服務,在 2022 年曾兩度發生駭侵事件,當時該服務的程式原始碼、顧客資料、經過加密的使用者儲存密碼、正式版網站備份等資訊都遭到駭侵者竊取。
LastPass 當時指出,雖然使用者儲存在該服務的密碼資訊經過加密儲存,且只有使用者本人擁有可解密的密碼,但如果使用者密碼本身強度不足,或使用與其他服務相同的密碼,就還是有被駭侵者破解的高度風險。
ZachXBT 指出,現在既然已經發生 LastPass 使用者加密資產遭竊的案例,即表示駭侵者已有能力破解經加密的使用者密碼。加密貨幣投資人應立即把資金撤回冷錢包,並且立即修改熱錢包的密碼或復原短語。
建議加密貨幣投資人應避免將錢包復原短語或密碼存於線上密碼管理平台,資金最好存在離線的冷錢包內,如需存於線上熱錢包,應經常修改熱錢包的密碼或復原短語。twcert 發表在 痞客邦 留言(0) 人氣(0)
近日在以巴戰爭造成眾多死傷與破壞時,資安專業媒體 BleepingComputer 的資安專家,發現有多組詐騙者利用各種社群管道發起詐騙募捐,誑騙網友以加密貨幣轉帳並侵吞愛心捐款。
BleepingCoumpter 報導指出,該社的資安專家發現在 X(舊名 Twitter)、Telegram 與 Instagram 上出現許多疑似詐騙募捐活動;駭侵者假冒各種公益慈善團體,要求網友以加密貨幣進行捐款轉帳,以做為戰爭受害者的人道救援之用;但其中有許多錢包位址都並非所宣稱的公益團體所擁有,明顯屬於詐騙。
其中一個假冒為「Gaza Relief Aid」(加薩救援協助)的所謂公益團體,在 Telegram 和 Instagram 上都開設了捐款帳號,並且列出其捐款錢包位址;但其使用的網域名稱「aidgaza[.]xyz」是在 2023 年 10 月 15 日才註冊完成,且不屬於任何已知的正牌公益團體所擁有。該網站的版型和內容直接盜用自真正的 Islamic Relief 救援團體官網,而其「最新消息」中的內容也盜自其他新聞網站,網站中放置了許多來自新聞媒體的戰地照片,且網站中也沒有附上該組織的地址、聯絡資訊等訊息。
據 BleepingComputer 追蹤其接受捐款的三個錢包位址,目前都沒有任何轉帳記錄。
另外,也有詐騙分子假冒為以色列方的人道救援組織,以類似手法企圖騙取愛心捐款;所幸到目前為止均無任何人捐款。
資安廠商 Kaspersky 也指出,該公司的資安研究人員截獲 500 封以上的詐騙電子郵件,同樣以搧動性的文字和圖片,企圖騙取收信人的愛心捐款;且有多個詐騙活動都使用同樣的錢包位址,顯見是同一詐騙集團所為。
建議在網路上進行愛心捐款時,捐款人務必多方查證,確認募款者為真,且募款方提供可查證的資訊,捐款才不致落入詐騙分子手中。twcert 發表在 痞客邦 留言(0) 人氣(0)
資安廠商 Guardio 旗下的資安專家,近期發現有駭侵者使用一種全新的手法來散布惡意程式碼;即利用區塊鏈來藏匿惡意程式碼,藉其去中心化的特性,使其駭侵手法更不容易偵測防範。
Guardio 在兩個多月前發現有駭侵者利用這種稱為「ClearFake」的手法來進行攻擊。原本該駭侵者係使用遭到入侵成功的 WordPress 網站來放置惡意程式碼,並利用 CloudFlare 的 Worker 功能進行重新導向;但因該 ClouldFlare Worker 遭發現而下架,之後駭侵者便改用 Binance Smart Chain 區塊鏈來存放其惡意程式碼。
Guardio 指出,駭侵者首先利用已知漏洞駭入多個 WordPress 網站,或是竊得該網站的 admin 登入權限,然後在其網站頁面中植入兩段指令碼,該指令碼會自 Binance Smart Chain 中載入惡意程式碼,再將這段惡意程式碼嵌入到 WordPress 的頁面中。這段程式碼會連線到一台控制伺服器,並載入第三段惡意軟體酬載;受害者如果不慎進入該受駭的 WordPress 網站,會看到假冒的 Chrome、Firefox、Edge 瀏覽器更新畫面,誘騙使用者按下更新按鈕並下載另一段惡意軟體。
Guardio 說,這種利用區塊鏈來放置惡意程式碼的手法十分新穎。由於區塊鏈具備去中心化與不可篡改的特性,因此置入到區塊鏈中的惡意軟體程式碼是無法下架的。而 ClearFake 也利用區塊鏈來記錄控制伺服器的位置資訊,因此要是有某台控制伺服器遭到破獲下線,駭侵者也可在區塊鏈上輕鬆新增新伺服器的位址資訊。
這種利用區塊鏈來存放惡意程式碼的新手法,目前難以防治;以此案為例,僅能由加強 WordPress 網站本身的資安防護功能來入手。twcert 發表在 痞客邦 留言(0) 人氣(2)
開放源碼的點對點數位資產交易網路 Mixin Network 日前透過官方 Twitter 帳號宣布,因為一起近日發生的 2 億美元駭侵事件,該平台即日起暫停一切入金與出金相關交易。
該起駭侵事件發生於 2023 年 9 月 23 日香港時間清晨,Mixin Network 平台使用的的雲端服務廠商遭到駭侵者發動攻擊,導致主網上的部分數位資產遭到竊取。
Mixin 在事件發生後,已通報 Google 和區塊鏈資安廠商 SlowMist,共同調查整起事件;初步調查結果指出遭竊的資金約合 2 億美元。Mixin 也在推文中公告,在事件調查與漏洞修補完成前,暫停該網路的入金與出金業務,但轉帳業務不受影響。待調查與資安修補完成後,再行恢復正常運作。
而根據區塊鏈追蹤業者 PeckShield 與 Lookonchain 的監控報告指出,目前可確定的 1.41 億美元遭竊數位資產中,有 935 萬美元等值的以太幣、235 萬美元等值的 DAI、另外也有 233 萬美元等值的比特幣。
資安專家懷疑,Mixin Network 這次的竊案,可能又與專門攻擊區塊鏈與加密貨幣機構的 APT 駭侵團體 Lazarus 有關。光是在 2023 年度,Lazarus 針對加密貨幣已經高達 2.4 億美元,受害的加密貨幣相關服務包括 Atomic Wallet、Alphapo、Stake.com 和 CoinsPaid。
目前 Mixin Network 尚未提供具體的攻擊相關分析報告,整個駭侵事件的來龍去脈,目前仍不明朗。
建議加密貨幣投資人,務必將資金保管在離線的冷錢包中,並妥善保管存取短語,也應選擇具有資金保險的加密貨幣平台。twcert 發表在 痞客邦 留言(0) 人氣(0)
專業資安媒體 BleepingComupter 近日發表報導,指出近期有駭侵者以假冒不良債權追討業者 Stretto 的名目,接觸先前因加密貨幣貸款業者 Celsius 破產而導致權益受損的投資人,試圖竊取其加密貨幣錢包中的數位資產。
Celsius 是於 2022 年 7 月宣布破產倒閉的加密貨幣貸款業者,當時直接凍結使用者帳號的提款權限,造成許多人投入的資金無法領回,而 Stretto 是當時負責接受債權人處理 Celsius 破產後債權問題的業者。
據 BleepingComputer 的報導指出,近來許多債權人反應收到假冒 Stretto 發出的釣魚電子郵件,信中宣稱受害者只要填寫必須的資料欄位,將可在 7 日內收回被 Celsius 凍結的資金;而信中的連結會把使用者導向到疑似由駭侵者設立的釣魚網站,該釣魚網站的網域則註冊在塞席爾。
當債權人進入該釣魚網頁並輸入個人 email 地址後,會出現一個 WalletConnect 提示視窗,要求連結並存取債權人擁有的加密貨幣錢包;一旦同意,該釣魚網站即可取得加密貨幣錢包的各種資訊,包括錢包位址、餘額、資金進出記錄,並可建議進行交易。
BleepingComputer 進一步指出,一旦駭侵者用這種方法連線債權人的加密貨幣錢包,就可以偽造交易,假裝即將存入資金,事實上是將錢包中的加密貨幣與 NFT 提領一空。
BleepingComputer 的分析也指出,這波攻擊活動之所以能夠進行,是因為駭侵者找到方法,讓其發送的釣魚信件通過 Sender Policy Framework (SPF) 的郵件來源檢驗機制,因此不會被中間的郵件中繼伺服器阻擋下來。
建議加密貨幣投資人對於不明來源的錢包連線要求一定要特別提高警覺,勿輕易授權存取,以免資金遭到盜領。twcert 發表在 痞客邦 留言(0) 人氣(3)
全球大型加密貨幣交易所 CoinEx 日前對外公開駭侵事件,該交易所的熱錢包遭駭侵攻擊,大量加密貨幣資金遭竊。
據 CoinEx 交易所在 X (原 Twitter)上發表的官方推文指出,該交易所的風險控制團隊在 2023 年 9 月 12 日發現數個該交易所擁有的熱錢包發生不正常提領狀況;該交易所目前正在調查事件發生原因與經過。
CoinEx 在推文中也指出,發生不正常提領的加密貨幣幣種,包括 Ethereum ($ETH)、Tron ($TRON) 和 Polygon ($MATIC),但 CoinEx 也強調,所有客戶的數位資產都安全無虞且並未遭到攻擊;如有任何損失,都會得到 100% 的補償。
CoinEx 也表示,為加強安全防護並進行調查,暫時停止該所的加密貨幣入金與出金業務;待調查告一段落後就會儘快恢復服務。
雖然 CoinEx 並未在公開的訊息中提及此次駭侵事件造成的數位資產財務損失金額,但區塊鏈資安公司 PeckShield 指出,據該公司的監測資料,CoinEx 的損失包括 1,900 萬美元等值的 ETH、1,100 萬美元等值的 TRON(以 BSC 形式存於幣安的 Binance Smart Chain 上)、600 萬美元等值的 BTC、約 29.5 萬美元等值的 Polygon。
PeckShield 也表示,攻擊造成的數位資產損失約為 4,300 萬美元,而保存在受攻擊錢包中的,另有 7,200 萬美元,已轉移到較為安全的冷錢包中;而另一家區塊鏈資安公司 CertiK Alert 估計的受害金額較高,達 5,300 萬美元。
建議加密貨幣相關業者與投資人,應對持有的數位資金安全性進行強化,資金勿長期存放於可連線存取的熱錢包中,以免因駭侵攻擊而造成鉅額損失。twcert 發表在 痞客邦 留言(0) 人氣(1)
義大利卡塔尼亞大學(Universita di Catania)與英國倫敦大學的資安研究人員,日前聯合發表研究報告;報告指出銷售量相當大的 TP-Link 智慧燈泡 Tapo L530E 與其控制用行動軟體 Tapo App,內含 4 個嚴重漏洞,駭侵者可藉以竊取使用者設定的 Wi-Fi 連線密碼。
兩所大學的資安研究人員,在進行市售 IoT 智慧聯網裝置的資安研究時,發現了這批漏洞;這些漏洞的問題分列如下:twcert 發表在 痞客邦 留言(0) 人氣(14)
資安廠商 Fireblocks 旗下的加密演算法研究團隊,在多個知名加密貨幣錢包使用的多種加密協定如 GG-18、GG-29、Lindell 17 中,發現一批稱為「BitForge」的多個 0-day 資安漏洞;駭侵者可利用這批漏洞,無需與用戶與錢包發行商互動,即可竊走錢包中的加密貨幣資產。
受到這批 BitForge 0-day 漏洞影響的加密貨幣錢包供應商,包括多家知名交易所如 Coinbase、ZenGo、Binance 等。
這批 BitForge 0-day 漏洞群中,第一個漏洞 CVE-2023-33241 存於 GG-18 和 GG-20 的「門檻式簽章協定」(Threshold signature schemes);研究人員發現駭侵者可利用特製的訊息,在 16 位元的 Chunk 中取出金鑰分片;重覆操作 16 次後即可取得完整私鑰。
另一個存於 Lindell 17 2PC 加密協定中的 0-day 漏洞 CVE-2023-33242 也是類似的錯誤,攻擊者只要重覆 200 次操作就可以取得完整的私鑰。
Fireblocks 在報告中指出,該公司的團隊於 2023 年 5 月時發現這批 0-day 漏洞,並在第一時間通報多家加密貨幣交易所,並於近日在 BlackHat 駭侵防護研討會上公開這項研究報告。值得注意的是,在報告公開的現在,Coinbase 與 ZenGo 已修復其加密貨幣錢包中的相關漏洞,但 Binance 和其他多家加密貨幣錢包供應商,仍未能及時修復這批問題。
建議加密貨幣交易者如有利用受影響的錢包,可透過 Fireblocks 提供的網頁,檢視受影響錢包是否已經提供更新版本,並立即加以更新。twcert 發表在 痞客邦 留言(0) 人氣(32)
資安宣導 (2)