top of page

Coinbase 錢包存在重大安全漏洞

免責聲明:本文中表達的觀點是作者的觀點,不反映 GASO 及其關聯公司的觀點或觀點。


最近,我為 GASO 撰寫了一篇文章,其中描述了一種利用 dApp 或去中心化應用程序在我們的雷達上進行的新型殺豬盤/豬屠宰騙局/加密浪漫騙局。從本質上講,騙子試圖將自己定位為受害者的愛人,通過一個欺詐平台引入“加密挖掘”的概念,據稱他們將在投資上取得令人難以置信的成功。該平台初始化所謂的“智能合約”,當被利用時,它可以是無限長的訂閱,只有當用戶的錢包為空,或者用戶注意到並在其他地方取消合約時才結束。通過我們自己的情報,我們了解到詐騙團體會引導受害者下載應用程序“Coinbase 錢包”以執行此騙局。


在與其中一位“加密挖掘”詐騙者交談時,我下載了 Coinbase 錢包並訪問了詐騙網站,該網站作為去中心化應用程序必須在錢包應用程序中打開才能初始化交易。我的錢包裡沒有錢,我在 Coinbase 錢包瀏覽器中按下一個按鈕加入礦池,就像騙局網站試圖初始化智能合約一樣。由於我的錢包裡沒有錢,我被告知我沒有足夠的錢加入游泳池。但是,如果我確實有所需的資金,Coinbase Wallet 將在未經我知情同意的情況下授權一份智能合約,從而使我進入這些永無止境的訂閱之一,這可能會在一年、一個月甚至一年內耗盡我的錢包日。這顯然是引起警覺的正當理由。


嚇壞了,我立即寫下了嚴厲的譴責,譴責該應用程序缺乏預警是“安全漏洞”。漏洞是自動化系統中的任何缺陷,惡意行為者可以利用該缺陷對其他人造成風險。 Coinbase 必須將身份驗證密鑰交給欺詐 dApp 才能啟動合同,但並未向用戶提及這一點,也未要求用戶確認他們同意移交此身份驗證密鑰。 TrustWallet 和 MetaMask 是另外兩個加密錢包應用程序,它們會在用戶進入被標記的站點時發出警告,並要求用戶確認他們是否要發起交易。這伴隨著警告,即不良行為者可以發起不良交易,例如無限長的智能合約,它們會耗盡用戶的錢包(就像這個騙局一樣)。 Coinbase 錢包沒有實現這些,使用戶面臨在不知不覺中進行交易或智能合約的風險。這對所有沒有經驗的加密錢包所有者來說都是一個安全風險,由於他們的疏忽,Coinbase 成為犯罪的隱性幫兇。


不要求用戶對購買進行身份驗證是一個深不可測的巨大疏忽,尤其是在第三方應用程序上。通過一些研究,我發現 MetaMask 已經報導了這種智能合約騙局早在 2018 年,所以這些騙局可能比 Coinbase 錢包本身還要古老。我不知道 Coinbase 錢包是否在一個非常小的開發團隊下工作,或者他們是否缺乏 UX 設計師或單元測試工程師來確保應用程序是安全的並為現實世界做好準備。 Coinbase 錢包尚未準備好部署,在考慮並實施此類安全措施之前,不應下載或什至出現在 App 商店中。此漏洞不僅使用戶處於危險之中,還會危及 Coinbase 在用戶群中的聲譽和信任。這些措施很容易實施,但根本不存在。


經過一番考慮,我使用的將 Coinbase 錢包的缺陷標記為“安全漏洞”的原始語言被 GASO 團隊取消,因為擔心我會引起不必要的警報。但是,我認為在這種情況下警報是必不可少的,因為在缺陷修復之前,Coinbase 會讓客戶容易受到攻擊,尤其是那些剛接觸加密貨幣投資的客戶。


如果沒有安全措施來保護用戶,使用該應用程序的 dApp 功能的動機是什麼?從應用程序內的瀏覽器欄中訪問的任何 dApp 都可能是騙局。 Coinbase 讓用戶只需點擊一下按鈕,就可以遠離欺詐性 dApp 的礦場。



其他資源:

569 次查看

Comments


bottom of page