據官方消息,慢霧發布iCloud 用戶的MetaMask錢包遭遇釣魚攻擊簡析,首先用戶遭遇了釣魚攻擊,是由於自身的安全意識不足,泄露了iCloud賬號密碼,用戶應當承擔大部分的責任。但是從錢包產品設計的角度上分析,MetaMask iOS App 端本身就存在有安全缺陷。
MetaMask安卓端在AndroidManifest.xml中有android:allowBackup="false" 來禁止應用程序被用戶和系統進行備份,從而避免備份的數據在其他設備上被恢復。
MetaMask iOS端代碼中沒有發現存在這類禁止錢包數據(如 KeyStore 文件)被系統備份的機制。默認情況下iCloud會自動備份應用數據,當iCloud賬號密碼等權限資訊被惡意攻擊者獲取,攻擊者可以從目標 iCloud 里恢復 MetaMask iOS App 錢包的相關數據。
慢霧安全團隊經過實測通過 iCloud 恢複數據後再打開 MetaMask 錢包,還需要輸入驗證錢包的密碼,如果密碼的複雜度較低就會存在被破解的可能。
投資本金$10,000收益
AI優化後報酬率
+25.38%
$12,538
原投組報酬率
+18.62%
$11,862
投組標的成分
40%
東科-KY5225
20%
材料-KY4763
20%
美食-KY2723
10%
jpp-KY5284
10%
富蘭克林公用事業基金美元A1股