🔥 Gate 動態大使專屬發帖福利任務第三期報名正式開啓!🏆 第二期獲獎名單將於6月3日公布!
👉️ 6月3日 — 6月8日期間每日發帖,根據帖子內容評級瓜分 $300獎池
報名即可參與:https://www.gate.com/zh/questionnaire/6761
報名時間:6月3日10:00 - 6月8日 24:00 UTC+8
🎁 獎勵詳情:
一、S級周度排名獎
S級:每週7日均完成發帖且整體帖子內容質量分數>90分可獲S級,挑選2名優質內容大使每人$50手續費返現券。
二、A/B 等級瓜分獎
根據各位動態大使發帖數量及帖子內容質量獲評等級,按評定等級獲獎:
A級:每週至少5日完成發帖且整體帖子內容質量90>分數>80可獲A級,從A級用戶中選出5名大使每人$20手續費返現券
B級:每週至少3日完成發帖且整體帖子內容質量80>分數>60可獲B級,從B級用戶中選出10名大使每人$10手續費返現券
📍 活動規則:
1.每週至少3日完成發帖才有機會獲獎。
2.根據發帖天數和整體發帖內容質量分數給予等級判定,分爲S/A/B等級,在各等級下選擇幸運大使獲獎。
💡 帖子評分標準:
1.每帖不少於30字。
2.內容需原創、有獨立見解,具備深度和邏輯性。
3.鼓勵發布市場行情、交易知識、幣種研究等主題,使用圖例或視頻可提高評分。
4.禁止發布FUD、抄襲或詆毀內容,違規將取
Atomic Wallet 遭黑客攻擊損失3500 萬美元,無心之失還是咎由自取?
撰文:秦曉峰
上週末,加密錢包Atomic Wallet 遭遇黑客攻擊。
根據鏈上偵探ZachXBT 統計,本次攻擊被盜總額已超3500 萬美元,涉及BTC、ETH、USDT、Tron、BSC、ADA、Ripple、Polkadot、Cosmos、Algo、Avax、XLM、LTC 和Doge 等多個資產;最大個人損失為795 萬枚USDT(TRC 版),排名前五的受害者累計損失約1700 萬美元,佔比近一半。
6 月3 日,多名Atomic Wallet 用戶在社交媒體發文稱自己的錢包資產被盜,Atomic Wallet 隨後發文稱:「我們收到了錢包被盜的報告,正在盡一切努力調查和分析原因。如果有更多相關消息,會第一時間發布。」
在等待了近兩天后,今天上午Atomic Wallet 官方只發布了一份語焉不詳的推文,「目前不到1% 的月活用戶受到影響/ 已上報,安全調查正在進行中;Atomic Wallet 已將受害者地址告知主要交易所和區塊鏈分析公司,以追踪並阻止被盜資金轉移」。對於黑客攻擊媒介、如何避險以及後續補償等用戶關心的問題,Atomic Wallet 並未給出回應。
加密KOL「Tay」通過收集受害者地址分析發現,最早的攻擊發生在6 月3 日5: 45 (UTC+ 8 ),最新一筆被盜交易發生在6 月3 日23: 30 UTC(UTC+ 8 );黑客首先將被盜資產歸集到一個新地址,而後通過uniswap、mm swap、sunswap 等DEX 將各個代幣兌換為該鏈的基礎代幣並再次轉移至新地址(等待後續操作)。
攻擊發生後,加密基礎設施公司Jito Labs 首席執行官buffalu 和業務負責人Brian 出手,幫助一名受害者成功挽回100 萬美元損失。
黑客是如何實現攻擊的? Btc 21.de 創始人「Joko」懷疑Atomic Wallet 存在一個「惡意補丁」,一旦用戶打開應用程序,它就會將私鑰發送給攻擊者。該推斷來自社區討論,有受害者表示,自己在登陸Atomic Wallet 後一分鐘內,資產就被黑客盜竊。
(受害者論壇)
也有受害者反映,自己的Atomic Wallet 賬戶私鑰從未在其他平台進行備份或授權,並且也沒有使用SIM 卡,很少連接家庭WiFi,但依然被黑客盜走了所有的ADA 資產。不過有一個細節值得注意,該用戶使用的是Atomic Wallet 安卓版本1.13.20 ,最新版本為1.15.1 (2023 年5 月23 日更新),因此不排除是舊版本錢包存在安全漏洞的可能。
「Tay」分析認為,Atomic Wallet 的應用程序沒有以安全的方式構建,要么是有人推送了惡意版本的應用程序,竊取了用戶的密鑰;或者他們(Atomic Wallet)無意中將用戶的私鑰記錄到自己的服務器上,而這些服務器被惡意行為者訪問。
需要注意的是,早在一年前,安全公司Least Authority 就曾披露Atomic Wallet 存在安全漏洞,並警告用戶注意風險。
(Least Authority 公告)
2022 年2 月,Least Authority 發布報告稱,該公司於2021 年初首次受聘檢查Atomic 的系統設計及其相應的核心、桌面和移動編碼實現,得出的結論是存在使用戶面臨「重大風險」的漏洞和不足,該報告於2021 年4 月提交給Atomic。 Atomic 在2021 年11 月對調查結果做出了回應,表明已進行更新和改進。然而,Least Authority 在審查Atomic Wallet 提供的修改後版本中,發現大量問題仍未解決,並對用戶構成安全風險。根據審計準則和披露政策,Least Authority 正式向用戶發布警告,以警示風險。但這一警示依然沒有引起Atomic Wallet 的重視,某種程度上也為今天的攻擊埋下了暗雷。
針對Atomic Wallet 被盜事件,安全公司慢霧創始人餘弦評論稱:「助記詞/ 私鑰如此敏感的信息交給對安全不夠負責任或安全等級不足夠高的錢包來守護,簡直就是諷刺。這裡的信息不對稱太嚴重了,連我都難以回答哪些錢包是持續安全的……助記詞/ 私鑰就應該躲在加密芯片、離線環境或可信環境裡,用多簽/MPC 去單點故障也行。」
據了解,Atomic Wallet 將自己定位為不擁有用戶私鑰的去中心化、非託管應用程序,號稱目前支持超過1000 種加密貨幣,在全球擁有超過500 萬用戶。 「Atomic Wallet 作為一個接口,使用戶能夠訪問他們的區塊鏈資金。錢包及其操作是受加密保護的,私鑰和備份短語等關鍵數據,通過可靠的加密算法安全地存儲在用戶的本地設備上。」
由於非託管的屬性,Atomic Wallet 也在服務條款中明確說明,開發者對用戶遭受的鏈上損害不承擔任何責任。 「在任何情況下,Atomic Wallet 都不會對超過50 美元的服務造成的損害承擔責任。」
最後,需要提醒廣大受害者,目前推特上已經出現虛假賬戶冒充Atomic Wallet 發布退款推文,用戶點擊後會跳轉至釣魚網站,需要提高警惕。在推特蒐索官方賬戶時,認准藍V 認證——虛假賬戶使用金V 認證混淆視聽,官方賬戶為:@AtomicWallet。