资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
对于相信iPhone(iOS)是“相对安全的环境”并在移动设备上进行加密货币交易和存储的用户而言,警报已经拉响。关键在于,谷歌威胁分析小组(TAG)发现正在实际传播一种名为“Coruna漏洞利用工具包”的攻击,它集成了23个iOS漏洞进行利用。其核心危害并非仅仅是广告干扰或应用崩溃,而是旨在窃取加密货币钱包的“助记词”(BIP39)和私钥,从而盗取资产。
攻击方式与危害
根据报告,Coruna会在不引起用户察觉的情况下,利用浏览器漏洞深入探查设备内部。其攻击场景包括:查找记事本中记录的助记词,提取相册中的二维码,并在未打补丁的设备上通过“清空器”方式窃取私钥、掏空钱包。其架构使用户在意识到浏览器已被攻破之前,资金便已流失。
这一威胁之所以被评估为更加严重,是因为攻击的“级别”发生了变化。过去,多阶段漏洞利用链通常被视为国家支持的黑客组织或针对高价目标监控所使用的领域。然而,Coruna展示了将此类技术包装成“大众化犯罪工具”并加以传播的趋势。这意味着,原本针对高价目标的间谍工具,正转变为针对普通用户的“零售盗窃”,这种“攻击政权更迭”已成为现实。
市场背景与风险
市场背景亦不容乐观。有链上分析公司曾估算,2025年加密货币盗窃市场规模将超过750亿美元。考虑到其中钱包清空器占有相当比重,针对iOS生态的自动化窃取工具包的扩散,可能对移动用户基数庞大的市场造成直接冲击。
Coruna被描述为一种“单次点击”攻击,在用户访问“受感染的网站”时即刻启动。伪装网站可能看似赌博平台或新闻页面,诱使用户点击,从而尝试通过WebKit系列漏洞侵入设备。随后,它会连环使用本地权限提升漏洞,以突破浏览器沙箱限制。
谷歌TAG在分析从iOS 13.0到17.2.1的多个版本过程中,确认其并非利用单一漏洞,而是采用“多入口点”方式投递恶意负载。最终目标是加密货币钱包清空器,其自动化的收集行为包括:在设备文件系统中搜索加密货币相关字符串、检查相册中的二维码、从记事本应用中提取助记词等。
此类攻击一旦成功,损害将“即时”发生且难以逆转。由于区块链资产交易实际上无法撤销,私钥和助记词一旦泄露,资产控制权便立即易主。对于使用iPhone进行交易或存储钱包的移动用户而言,操作系统更新和安全补丁安装与否,实质上构成了“资产防线”。
攻击模式的演变
过去,如此复杂度的漏洞利用链几乎被NSO集团这类公司或国家级的攻击者所“垄断”,其首要目标是用于监视异见人士、记者、外交官等高价值目标,因其成本和操作难度较高,难以用于大规模零售盗窃。
但Coruna扭转了这一趋势。它展示了诸如“三角测量行动”这类疑似国家支持的攻击活动中武器化的漏洞利用方式,如何流向以金钱为目的的犯罪组织,并被转用于大规模盗窃。其结果是,针对MetaMask或Trust Wallet等非托管钱包的攻击“门槛”正在降低,即使是技术熟练度不高的攻击者,也可能购买并运行此类工具包。
目标与途径
攻击目标相对明确:使用移动设备交易、以及使用非交易所托管(自托管)钱包的用户。攻击向量往往潜伏在加密货币用户经常访问的灰色地带网站,例如不受监管的赌博界面、可疑的代币申领(空投)页面、第三方应用商店等。
据悉,Coruna会针对主要非托管钱包的数据目录进行搜索,寻找与MetaMask、Bitget Wallet(原BitKeep)、Trust Wallet等相关联的存储位置。如果保险库加密强度不足,或者用户在设备本身被攻破时已将密码存储在钥匙串或备忘录中,钱包就可能被清空。
这种风险也与用户习惯相关。移动端交易者经常在移动中访问去中心化应用并快速处理交易签名,容易优先考虑速度而非安全习惯。Coruna的可怕之处在于,它无需“诱导签署恶意交易”这类传统钓鱼手段,只需在用户进行网页浏览时窃取其“信任的钥匙”——私钥即可。
防御建议
短期内,首要任务是检查iOS是否已更新至最新版本,并重新确认备忘录、相册等处是否残留有助记词或钱包相关信息。市场很可能再次强调将长期持有的资产转移至冷钱包(如Ledger、Trezor)的方式。随着移动环境便利性的增加,攻击者觊觎的攻击面也在扩大,有观点指出,现在是时候更新“iPhone很安全”这一固有认知了。
