慢霧發布iCloud 用戶的MetaMask錢包遭遇釣魚攻擊簡析_MAS

慢霧發布iCloud用戶的MetaMask錢包遭遇釣魚攻擊簡析。稱首先用戶遭遇了釣魚攻擊，是由于自身的安全意識不足，泄露了iCloud賬號密碼，用戶應當承擔大部分的責任。但是從錢包產品設計的角度上分析，MetaMaskiOSApp端本身就存在有安全缺陷。

慢霧：警惕ETH新型假充值，已發現在野ETH假充值攻擊:經慢霧安全團隊監測，已發現存在ETH假充值對交易所攻擊的在野利用，慢霧安全團隊決定公開修復方案，請交易所或錢包及時排查ETH入賬邏輯，必要時聯系慢霧安全團隊進行檢測，防止資金丟失。建議如沒有把握成功修復可先臨時暫停來自合約地址的充值請求。再進行如下修復操作：1、針對合約ETH充值時，需要判斷內聯交易中是否有revert的交易，如果存在revert的交易，則拒絕入賬。2、采用人工入賬的方式處理合約入賬，確認充值地址到賬后才進行人工入賬。同時需要注意，類以太坊的公鏈幣種也可能存在類似的風險。[2020/5/23]

MetaMask安卓端在AndroidManifest.xml中有android:allowBackup="false"來禁止應用程序被用戶和系統進行備份，從而避免備份的數據在其他設備上被恢復。

聲音 | 慢霧余弦：未來加密貨幣是絕對的剛需存在:慢霧余弦今日在微博上表示，未來虛擬世界是絕對的獨立智慧體，加密世界是絕對的大勢，加密貨幣是絕對的剛需存在，雖然這個未來還有不少距離。[2020/1/4]

https://github.com/MetaMask/metamask-mobile/blob/main/android/app/src/main/AndroidManifest.xml#L17

聲音 | 慢霧余弦：以太坊Mist瀏覽器當時選型Electron做瀏覽器是很悲催的決定:慢霧余弦發微博表示，以太坊Mist瀏覽器決定關停的一個重要原因確實是“安全考慮”，他們當時選型Electron（基于Chromium和Node.js的）來做瀏覽器確實是個很悲催的決定，Electron本身對許多0day的修復速度就很慢，JavaScript世界的安全問題又很多，而Mist定位的核心部分是錢包+DApp瀏覽，這導致許多安全風險容易放大甚至失控，導致Mist不得不費很多不必要的精力在Electron本身的安全問題上，還不如放棄、重建。[2019/3/25]

MetaMaskiOS端代碼中沒有發現存在這類禁止錢包數據(如KeyStore文件)被系統備份的機制。默認情況下iCloud會自動備份應用數據，當iCloud賬號密碼等權限信息被惡意攻擊者獲取，攻擊者可以從目標iCloud里恢復MetaMaskiOSApp錢包的相關數據。

慢霧安全團隊經過實測通過iCloud恢復數據后再打開MetaMask錢包，還需要輸入驗證錢包的密碼，如果密碼的復雜度較低就會存在被破解的可能。

iOSApp端在代碼上如何避免iCloud自動備份錢包App中的數據可以參考：

https://developer.apple.com/documentation/foundation/optimizing_your_app_s_data_for_icloud_backup

Tags：MASAMAMETAMmetamaskMASK20幣ELAMA價格metamask官網metamask安卓版

BNB