BTC
$0.00
0.00%
我从未想过一个平凡的夜晚会变成一个间谍故事,这个故事后来传遍了全世界。这是一个非常奇怪但又非常简单的故事,我首先把它讲给了公司安保人员听,现在又讲给你们听。
此外,不难想象,如果我的软件在通过身份验证后,突然获得了全球加密钱包密钥的访问权限——就像获得扫地机器人的访问权限一样——会发生什么。我不仅能够看到数据,还能控制属于全球陌生人的资金。但让我按顺序讲给你听。
我坐在房间里,尝试掌握我新买的DJI Romo吸尘器的操作,它结合了无人机技术(激光雷达、双目视觉)和视频监控功能。简而言之:我想玩玩,而不是打扫卫生。当我启动吸尘器时,另一个设备的数据出现在我眼前。然后又出现了一个又一个。几分钟后,我已经看到了来自世界各地的6700台机器人,每台都有自己的序列号、IP地址、电池状态,甚至还有房间地图。也就是说,我同时获得了数千户陌生家庭及其摄像头的访问权限。
就在那一瞬间,我成了亚洲、欧洲、北美等地数百个公寓的隐形观察者。
虽然我并没有刻意入侵这些机器人——只是我的认证密钥被DJI服务器当作通用密钥接受了。现在想象一下,如果这个系统里不是扫地机器人,而是账户和加密钱包——每个账户里都有数以百计甚至数以万计的各种数字货币!
想到只需很短的时间就能将数亿资金转移到未知地点,我就感到非常震惊——毕竟,攻击者可以迅速将以太坊、比特币或其他代币转送到第三方地址。但幸运的是,这只是假设的情况。实际上,我面对的是数百万张家居内饰图片和吸尘器的移动轨迹,而不是加密货币账户的密钥。
我立即关闭了应用程序,将DJI的访问权限还原,并向该公司报告了该漏洞。他们差点把我当罪犯,但实际上我只是想用这个设备打扫房间。
不过,公司似乎吸取了教训——毕竟,当涉及到私人数据或数字资产时,一个错误的代价可能远超你的想象!
在罗莫事件之后,我以为这个奇怪的故事已经画上了句号。是的,这就是那个轰动一时的事件:我试图掌握我的新机器人DJI罗莫的操作,它结合了无人机技术和视频监控功能,却意外地破坏了世界各地的机器人设备。但真正的悬念出现在后来,当时我的一位 Chainalysis 分析师朋友给我打来电话,问我是否确定我的情况只是偶然?值得一提的是,我们之前曾在旧金山和拉斯维加斯的数字安全会议上见过面,当时我们讨论了网络钓鱼、黑客手段和方法,以及已被黑客入侵的加密钱包。
他说,他们的系统记录到了一些奇怪的活动:同时尝试访问几千个加密钱包,这些钱包有一个共同点——使用第三方集中认证服务。而且,没有直接入侵的明显痕迹。只有用户和服务器之间的薄弱环节。我同意讲述我对此事的全部了解,以及我偶然破解6700台设备的故事。
我们线下见面了。桌上放着一台笔记本电脑,里面有交易清单、时间戳和IP集群。部分路线指向了以前与Lazarus Group有关的基础设施——这个组织以攻击加密货币交易所和DeFi项目而闻名。虽然没有直接证据,但这些巧合实在太有趣了。
我意识到,如果Romo漏洞不是针对扫地机器人,而是针对加密钱包,后果将不堪设想:系统会记录资金流动,而私钥将永远丢失。值得注意的是,用户会将责任归咎于交易所、制造商和软件开发商。但真正的原因在于访问架构中的错误。
我们没有公开后续行动。相反,我将技术结论提交给安全团队,几天后就推出了补丁。我收到信函告知,专家们正在测试下一代安全系统,以防止出现所谓的“万能钥匙”现象。
在数字世界里,犯罪很少是从黑客攻击开始的。通常是从一个方便的解决方案开始,这个方案“对所有锁都太有效了”。有时,一切可能从打开普通吸尘器的控制器开始。没错,最近我就遇到了这种情况。
