韩国最大通讯软体 KakaoTalk 大力发展区块链技术,推出自己的公链丶钱包甚至 DeFi 协议。不过旗下加密钱包 Klip 曾于 2022 年 3 月被盗,也让用户对其安全性打上一个问号。近期当地媒体披露,Kakao 旗下子公司的高管正在对该公司的区块链部门 GroundX 提吿,要求公司赔偿其资产被盗的损失。
90 亿韩元资产被盗,Kakao 高管杠上自家公司
Klip 是 Kakao 于旗下公链 Klaytn 的加密钱包,由 Kakao 的区块链部门 GroundX 开发。据报导,受害人 A 先生为 Kakao 旗下一间子公司的高管。2022 年 3 月有人以 A 先生的资料开通了电话号码,并且顺利登入 A 先生的 KakaoTalk 等通讯软体。
当 A 先生发现自己的 KakaoTalk 被盗后,他才发现自己的资产已经被分为数十笔交易出金至境外交易所。损失的金额包含 Klip 中的 40 亿韩元等值数位资产及 KLAWswap 中约 50 亿韩元的数位资产。
尽管 Kakao 在韩国社会中扮演举足轻重的角色,但其区块链布局却没那么顺利。据 DefiLlama 数据,其 TVL 已从高点的 12 亿 7000 万美元下跌至 3239 万美元。先前其创办人遭通缉时,更是重创 Klaytn 的币价。
帐户抽象凸显资安问题,Kakao 正逐步缩减区块链部门
A 先生表示 GroundX 的身份认证机制过于简单,只需登入 KakaoTalk 帐户即可登入 Klip 钱包。转帐数位资产时,只要取得 PIN码,无需二次认证就可以转帐。讲好听是不需要复杂的手续,但也导致安全性不足,异常交易侦测系统也未能阻止异常汇款。
A 先生认为 Klip 的用户资料管理存在漏洞,因此他的钱包地址和资讯可能已经提前曝光。他甚至表示骇客早在事前就已经知道他的钱包里存放著大量加密资产,也因此提前锁定他下手。
在当时的版本,Klip 有一个放在网银很便民的功能,输入电话号码即可转帐。虽然这有点帐户抽象的概念,但这也让用户的地址变相公开了。A 先生表示在帐户被盗前,他就收到未知的资产。目前 Klip 已经移除电话号码转帐的功能。
据了解 Klip 的用户数接近 200 万,可以理解其关系类似于 Telegram 与 TON Wallet。不过 Kakao 正逐步缩减其区块链部门,去年 7 月将 Klip 与 KakaoTalk 分离,并逐步出售旗下 NFT Klaybay 与 NFT 交易市场 Klip Drops。Kakao 的发言人也坦承目前正在整合 GroundX 部门。
这篇文章 韩国通讯巨头曝资安漏洞!Kakao 高管杠上自家加密钱包 最早出现于 链新闻 ABMedia。
