谷歌TAG:iPhone漏洞工具包“Coruna”窃取BIP39助记词
谷歌威胁分析小组(TAG)和威胁情报小组(GTIG)发现了名为“Coruna”的复杂 iOS 漏洞工具包,正被用于从 iPhone 窃取 BIP39 助记词及其他钱包数据。Coruna 利用 iOS 13.0–17.2.1 的 23 个漏洞(包括零日漏洞),首次出现于 2025 年 2 月。该框架在被攻陷的赌博和伪造交易所网站上指纹访客设备,并通过定制的 JavaScript 攻链(WebKit 远程代码执行)绕过防护获得系统权限。部署后,工具包会扫描钱包应用及相关痕迹(MetaMask、BitKeep、Uniswap/去中心化交易所相关应用、缓存二维码、备忘录、截图),并将 12–24 词助记词传到加密的指挥控制服务器。谷歌将当前以牟利为目的的攻击归因于 UNC6691,该组织似乎在工具包此前被疑似国家级组织(UNC6353)使用后获取了该套件。Apple 已在 iOS 17.3 及更高版本修补相关漏洞;TAG 建议立即升级或在无法升级时启用锁定模式。对交易者而言,此攻击对移动热钱包和散户构成严重风险:建议措施包括升级到 iOS 17.3+、无法升级则启用锁定模式、不要将助记词保存在备忘录或截图中,并将重要资金转移至需物理确认的硬件钱包。报告强调一个趋势:曾用于间谍活动的高端零日漏洞正在被商品化,用于大规模加密货币盗窃,增加了网络钓鱼与设备被攻陷的风险,并可能在大规模爆发时引发短期抛售压力。
看跌
Coruna 通过对被攻陷网站的即点即攻(watering‑hole)手法,直接威胁使用移动热钱包的加密资产持有者,使助记词被窃取成为可能。短期内,这将增加受影响散户的抛售或撤资行为,从而对常见于移动钱包中的流动代币(如 ERC‑20 代币和主流山寨币)产生局部向下压力。即时市场影响可能是集中且短暂的:被侵害的用户会出售或尝试转移资产,但大型机构持有者受影响较小。从中长期看,若大规模利用发生,可能削弱散户对移动托管方案的信心,提升对硬件钱包和托管服务的需求,并可能减少对小市值代币的投机流入。不过,iOS 17.3+ 的补丁与明确的缓解措施(升级、启用锁定模式、使用硬件钱包)能降低持续性市场下行风险。总体而言,该事件对短期价格走势偏看跌,长期影响取决于更安全托管实践的普及程度。