免责声明：本文旨在传递更多市场信息，不构成任何投资建议。文章仅代表作者观点，不代表火星财经官方立场。 　　

　　

　　边肖：记得要集中注意力。 　　

　　

　　来源：慢雾科技 　　

　　

　　原标题：慢雾：IOTA被盗800万代币。以下是一些分析和安全建议。 　　

　　

　　最近加密界安全事件频发。著名的DAG项目IOTA被盗了800多万代币。慢雾给出一些分析和建议。 　　

　　

　　撰文：慢雾安全团队 　　

　　

　　前几天我们注意到IOTA暂停了主网。虽然我们早就知道IOTA用户受到了盗钱攻击，但没想到IOTA官方会通过暂停主网来制止和调查这种盗钱攻击。看来问题很严重。然后，在2020年2月19日，我们深入分析了status.iota.org当局透露的一些线索，并开始独立调查这起严重安全事故的具体原因。 　　

　　

　　通过对IOTA官方钱包Trinity新版本发布的分析，我们在其GitHub上进行了版本对比，注意到移除了第三方组件MoonPay。我们也注意到Trinity Tiy桌面钱包是基于电子开发的，安全体验告诉我们可能是一个很大的漏洞。于是，我们在2020年2月19日发布了一些推测： 　　

　　

　　慢雾：推测IOTA用户Trinity钱包被盗。 　　

　　

　　IOTA的很多用户的三位一体钱包最近都被盗了。为了防止攻击继续，调查并修复具体原因，主网络协调员已被停职。这是一个被低估的经典攻击。官方没有透露攻击的具体细节，但是通过我们的分析，可以做出一些重要的推测。首先，我们可以明确几点： 　　

　　

　　不是IOTA区块链协议，是IOTA的三位一体桌面钱包(官方说的，先信)。这个桌面钱包是基于Electron(一个以JavaScript为核心构建桌面应用的框架)，也就是说核心代码是用JavaScript写的。在做新旧版本钱包代码的diff分析时，发现移除了之前内置的兑换功能模块MoonPay。这里的关键点是，一个可怕的代码被删除了： 　　

　　

　　如果这个第三方JavaScript链接主动或者被黑作恶，那么可以认为桌面钱包彻底沦陷了。在这一点上，我们有充分的理由相信这是一个巨大的定时炸弹。如果这颗定时炸弹真的被炸了，那就非常符合官方的一些说法和解释，比如：尽快升级新版三一桌面钱包，尽快修改密码，尽快将资产转移到安全种子等等。且看官方后续披露。 　　

　　

　　今天(2020/02/22)我们注意到官方披露了一些细节，基本验证了我们的猜测。 　　

　　

　　https://blog . iota . org/trinity-attack-incident-part-1-summary-and-next-steps-8 c 7 ccc4 d 81 e 8 　　

　　

　　重点看这一段： 　　

　　

　　攻击者于2019年11月27日开始进行DNS拦截概念证明，使用Cloudflare API密钥重写api.moonpay.io端点，捕获所有前往api.moonpay.io的数据以进行潜在分析或渗透。另一个运行时间更长的概念验证在一个月后，即2019年12月22日，由attack er进行了评估。2020年1月25日，对Trinity的主动攻击开始了，攻击者开始通过Moonpay在Cloudflare的DNS提供商运送非法代码。 　　

　　

　　攻击者利用MoonPay的Cloudflare API密钥完成了一系列后续的劫持攻击。估计被盗IOTA达8.55ti (8，550，000 MIOTA，现为交易所默认最小营销单位，现价0.267美元/MIOTA)。根据我们的历史经验，如果Web服务提供商使用Cloudflare，并且其Cloudflare帐户权限受到控制，就可以实现完美的中间人劫持攻击，并注入恶意JavaScript。三一桌面钱包基于电子，一个完善的JavaScript执行环境在这里，没有任何特别的越权。JavaScript可以完成用户或Trinity wallet能做的任何事情，包括窃取密码和种子等等。 　　

　　

　　因为我们不像IOTA和MoonPay那么官方，他们有足够的。 　　

够的日志记录来将攻击过程完整掌握，我们只能通过我们所能接触到的完成以上推测与相关分析工作。剩下的就希望官方公布具体细节并尽快完成主网的重新运行。

　　

在这，我们不得不提的一些安全看法及建议：

　　

第三方是可以邪恶的，默认都不可信，软件安全开发过程一定要警惕第三方依赖，包括第三方组件与第三方 JavaScript 链接
注：IOTA 基金会联合创始人 Dominik Schiener 表示：「此次攻击是由于集成 MoonPay 的漏洞造成，Trinity 钱包所犯的最大错误是没有集成 NPM 软件包，并且没有适当地对集成进行安全审核」。我们站在第三方独立安全审计的角度认为，这种说法是不严谨的，在加密货币发展的历史上，因为 NPM 包中引用的第三方源而导致的加密货币被盗案件不在少数。如知名的 「event-stream」事件Cloudflare 等第三方 CDN/WAF 服务很优秀很强大，但如果使用者没安全管理好自己的账号权限，其 Web 服务将会遭遇完美的中间人攻击公链官方钱包的一个致命缺陷可能搞垮一条公链，链上安全关注的同时，链下安全也不能忽视，他们是一直整体，这也是为什么我们关注的是区块链生态安全，而不是仅仅区块链本身的链上安全作为 IOTA 官方钱包 Trinity 的使用者来说，尽快按官方的指导完成安全加固工作，这个就不多说了 相关链接：

　　

Trinity Attack Incident Part 1: Summary and next steps

　　

https://blog.iota.org/trinity-attack-incident-part-1-summary-and-next-steps-8c7ccc4d81e8

　　

Trinity Attack Incident Part 2: Trinity Seed Migration Plan

　　

https://blog.iota.org/trinity-attack-incident-part-2-trinity-seed-migration-plan-4c52086699b6

　　

Trinity Attack Incident Part 3: Key Learnings & Takeaways

　　

https://blog.iota.org/trinity-attack-incident-part-3-key-learnings-takeaways-c933de22fd0a

　　

IOTA Status Page:

　　

https://status.iota.org/

　　

如何看待 NPM 包 event-stream 被黑客篡改，发现包含恶意代码？https://www.zhihu.com/question/303815270

　　

来源链接：mp.weixin.qq.com