慢霧發布iCloud 用戶的MetaMask錢包遭遇釣魚攻擊簡析_CLO:Neverend Ecentralization Filecoin

慢霧發布iCloud用戶的MetaMask錢包遭遇釣魚攻擊簡析。稱首先用戶遭遇了釣魚攻擊，是由于自身的安全意識不足，泄露了iCloud賬號密碼，用戶應當承擔大部分的責任。但是從錢包產品設計的角度上分析，MetaMaskiOSApp端本身就存在有安全缺陷。

慢霧：Uwerx遭受攻擊因為接收地址會多銷毀掉from地址轉賬金額1%的代幣:金色財經報道，Uwerx遭到攻擊，損失約174.78枚ETH，據慢霧分析，根本原因是當接收地址為 uniswapPoolAddress（0x01）時，將會多burn掉from地址的轉賬金額1%的代幣，因此攻擊者利用uniswapv2池的skim功能消耗大量WERX代幣，然后調用sync函數惡意抬高代幣價格，最后反向兌換手中剩余的WERX為ETH以獲得利潤。據MistTrack分析，黑客初始資金來自Tornadocash轉入的10 BNB，接著將10 BNB換成1.3 ETH，并通過Socket跨鏈到以太坊。目前，被盜資金仍停留在黑客地址0x605...Ce4。[2023/8/2 16:14:10]

MetaMask安卓端在AndroidManifest.xml中有android:allowBackup="false"來禁止應用程序被用戶和系統進行備份，從而避免備份的數據在其他設備上被恢復。

慢霧安全：舊版本的 Clorio Wallet 存在安全漏洞:據慢霧區消息，受 Mina JavaScript client-sdk v1.0.1 之前版本的弱熵問題影響，目前社區已有多人反饋錢包私鑰被竊取，慢霧安全團隊經過調查發現：使用 Clorio Wallet v0.1.1，Clorio Wallet v0.1.0 版本創建的錢包將存在被盜風險。

建議有使用 Clorio Wallet v0.1.1，Clorio Wallet v0.1.0(2021 年 5 月 28 日)創建錢包的用戶確保將錢包更新到最新版本(Clorio Wallet v1.0.0)，并且重新創建新的錢包地址，將資金轉移到新創建的錢包地址上以保證資產安全。

存在漏洞的錢包版本：Clorio Wallet < v0.1.2 存在漏洞的 client-sdk 版本：o1labs/client-sdk < 1.0.1。[2023/1/9 11:02:03]

https://github.com/MetaMask/metamask-mobile/blob/main/android/app/src/main/AndroidManifest.xml#L17

defil智能合約已通過慢霧科技安全審計:據官方消息，Filecoin去中心化借貸平臺defil智能合約已通過慢霧科技SlowMist的安全審計。此次審計的智能合約包括礦工算力質押mFIL合約、以太坊映射eFIL合約、用戶權益質押StakingDFL合約等多項均全部通過，投資者可至慢霧科技官網slowmist輸入編號：NO. 0X002011230001 查詢。

defil是基于Ethereum的Filecoin去中心化借貸協議。截止目前，平臺已存入超過160萬枚FIL，資產存入量約2.4億美元，用戶參與存FIL可獲取利息收益以及平臺治理通證DFL，DFL可繼續進行Staking挖礦.[2021/5/19 22:18:35]

MetaMaskiOS端代碼中沒有發現存在這類禁止錢包數據(如KeyStore文件)被系統備份的機制。默認情況下iCloud會自動備份應用數據，當iCloud賬號密碼等權限信息被惡意攻擊者獲取，攻擊者可以從目標iCloud里恢復MetaMaskiOSApp錢包的相關數據。

慢霧安全團隊經過實測通過iCloud恢復數據后再打開MetaMask錢包，還需要輸入驗證錢包的密碼，如果密碼的復雜度較低就會存在被破解的可能。

iOSApp端在代碼上如何避免iCloud自動備份錢包App中的數據可以參考：

https://developer.apple.com/documentation/foundation/optimizing_your_app_s_data_for_icloud_backup

Tags：CLOFILmetamaskALLCLOUD9幣Neverend Ecentralization Filecoinmetamask官網安卓版itokenwallet停止維護doge停止維護

狗狗幣