网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　2.3.2 0day攻击

　　通常是尚未披露的应用类漏洞，攻击者利用这类漏洞通常能够实现远程溢出，并执行任意命令实现控制用户电脑。在控制用户电脑后查询本地安装钱包的信息，并尝试进行资产转移。

　　0day攻击分析及安全建议

　　部分开发者在开发代码时，由于缺乏安全意识，直接将其持有的钱包私钥以明文形式存储至所开发的应用代码中，攻击者可直接利用Github等开源平台的API编写自动扫描脚本，在匹配并获取私钥后快速检测目标账户中持有的数字资产并转移。

　　针对该攻击，主要有以下安全建议：

　　区块链中的供应链攻击主要包括以下几类：

　　2.5.1 开发环境供应链攻击

　　随着前端开发框架应用场景逐步扩张，越来越多的前端框架安全漏洞被披露，在2022年7月份，知名的NFT白名单领取平台premint就遭遇了黑客攻击，黑客在premint平台的前端代码中注入恶意JS脚本以实施钓鱼攻击：通过欺骗用户签署将NFT使用权授予攻击者钱包地址的交易而实施。这一攻击所造成的后果是严重的，为补偿用户损失，premint共向受害者赔付了超过340ETH。

　　部分灰色产业利用开源代码配合供应链的攻击方法，利用包管理分发存在恶意行为的区块链开发框架，利用恶意框架黑客可直接盗取DAPP开发者的账户私钥，严重影响用户和开发者的数字资产安全。下图给出了被供应链共计污染的区块链开发框架，黑客可直接提取开发者所使用的钱包助记词并发送至黑客控制的亚马逊云服务器，对DAPP程序开发者和用户持有的数字资产安全带来严重的威胁。

　　开发环境供应链攻击分析及安全建议

　　开发者在选用区块链SDK开发套件时，需要对开发框架的合规性及安全性进行分析，避免使用被供应链攻击污染的SDK开发套件。通过对开发框架所包含组件的数据完整性，软件包内容分发网络安全性进行查验，能够避免因供应链攻击或前端框架漏洞导致存在恶意行为的JS脚本注入到DAPP运行网站的实际业务逻辑中所引发代码污染风险，切实有效的保障DAPP用户持有的数字资产安全。

　　2.5.2 软硬件钱包供应链攻击

　　2022年8月4日，知名公链Solana发生大规模用户丢币事件，大量用户声称其持有的SOL及SPL标准代币被转移至特定的四个Solana钱包，随后Solana官方安全研究人员发现，盗币事件与支持Solana的区块链钱包Slope相关：Slope钱包违规使用了sentry监控服务，将用户的任何行为及操作数据都会被上传至Slope官方的服务器并被记录：在用户创建Solana钱包时，钱包对应的助记词及私钥都以明文形式上传至服务器。安全研究人员通过抓包检测到Slope钱包存在明文传输用户隐私信息行为如下：