Den 22. marts udstedte Google en nødsikkerhedsopdatering for sin Chrome-browser, da 3.2 milliarder brugere potentielt var i fare for at blive angrebet. Denne opdatering fremhævede en enkelt sikkerhedssårbarhed, som kunne have stor indflydelse på alle, men specifikt kryptobrugere.
Ikke meget er offentligt kendt på nuværende tidspunkt om CVE-2022-1096, andet end det er en "Typeforvirring i V8." Dette refererer til JavaScript-motoren, der anvendes af Chrome. Sikkerhedsfejlen inkluderer open source Chromium Project, og det er muligt, at denne opdatering kommer som et svar på, at brugere rapporterer, at deres krypto-"hot wallets" bliver hacket gennem en browser.
Tidligere i denne uge, Arthur Cheong, Grundlæggeren af Defiance Capital og en kendt kryptohval annonceret via Twitter at hans kryptopung var blevet hacket, hvilket fik ham til at miste over $1.5 millioner USD i tokens og NFT'er.
Fandt ud af den sandsynlige årsag til udnyttelsen, det er et målrettet socialt ingeniørangreb. Modtog en spear-phishing-e-mail, der virkelig ser ud til at være sendt af en af vores portco med indhold, der virker som generelt brancherelevant indhold.
De er sandsynligvis rettet mod alle krypto-peep pic.twitter.com/SegYBcoLX2
- Arthur
(@Arthur_0x) Marts 22, 2022
Hacket var rettet mod det, der kaldes en 'hot' pung. En hot wallet er direkte forbundet til internettet i stedet for en 'kold' wallet, også kendt som en hardware wallet, hvor aktiver kan opbevares offline og forblive offline af hensyn til opbevaring og sikkerhed. Efter at have set sofistikerede hacks som dette, er det sikkert at sige, at opbevaring af kryptovalutaer i kolde tegnebøger tilbyder langt mere sikre løsninger til at opbevare kryptovalutaer.
Uger tidligere havde Ledger advaret brugere om at være opmærksomme på Blinde signaturer og de farer, der følger med dem, mens de fortsætter med at råde brugerne til at fortsætte med forsigtighed, når de gennemser DApps (decentraliserede applikationer) og andre relaterede websteder.
To primære hot wallets, der blev målrettet, havde en kryptosaldo til en værdi af over $1.5 millioner USD; hvoraf de fleste indeholdt NFT'er under 'Azukis'-samlingen. Disse populære NFT'er blev straks solgt på OpenSea under markedsprisen, hvilket resulterede i, at hackeren skaffede midler på den hurtigst mulige måde.
Heldigvis blev råbet hørt af hele kryptosamfundet, og handlinger blev foretaget med hast. Supportere erhvervede hurtigt nogle af de stjålne Azuki NFT'er fra den sortlistede hacker og var barmhjertigt villige til at returnere NFT'erne til Arthur til en basispris i stedet for at videresælge dem til deres nuværende markedsværdi, hvilket giver dem mulighed for at profitere på 7-8+ ETH (værd omkring $24) k USD) i bytte. Ikke alle helte bærer kapper.
I alt var hackeren i stand til at erhverve 78 forskellige NFT'er fra fem kendte samlinger. Og det er ikke alt.
Ikke kun med at fokusere på Azuki's og andre NFT's samleobjekter, de formåede også at stjæle 68 indpakket ETH (wETH), 4,349 satsede DYDX (stkDYDX) og 1,578 LooksRare (LOOKS) tokens, hvilket svarer til hele $293,281.64 på tidspunktet for angrebet.
Efter meddelelsen undersøgte Arthur selv dybt ind i udnyttelsen og opdagede, at hackeren måtte have fået adgang til sin pung ved at sende ham, hvad der er kendt som spyd-phishing-e-mails. Dette alene afslørede, at de modtagne e-mails udstedte anmodninger om at få adgang til Arthurs Google Docs-indhold i sin helhed. Ved første øjekast så disse anmodninger ud til at komme fra hans to 'legitime' kilder. Umiddelbart efter at have åbnet den delte fil, fik hackeren en uautoriseret passage til frøsætningen af sin hotte pung. Med andre ord blev hovedadgangskoden til hot wallet kompromitteret med det samme, hvilket gav tyven adgang til alle krypto-punge, der var forbundet til Google Chrome, og sugede de hårdt tjente aktiver lige foran ham.
Lignende hacks og udnyttelser er ikke noget nyt for kryptoindustrien. Men, og det er meget uheldigt at sige, er disse angreb ved at blive ekstremt indviklede, og identiske katastrofale begivenheder kan ske for selv de mest erfarne brugere. Denne visning af tragedie er bevis på, at enhver kan blive ofre for lignende cyberangreb, og intet er nogensinde rigtig "100% sikkert", som nogle måske hævder.
Som det helbredende offer for cyberangreb senere tweetede "forventede ikke, at dette ville ske for mig."
Jeg er ikke sikker på hvad der skete, det skal tage tid at finde ud af. Forventede ikke, at det også ville ske for mig.
Gæt ikke mere hot wallet brug så.
- Arthur
Efter hacket var Arthurs anbefalinger altid at sætte sikkerhed først. Eksempler inkluderer brug af en betroet adgangskodeadministrator, aktivering af 2-faktor-godkendelse (ikke via telefonnumre for at undgå sim-kort-jailbreaks og sim-swapping) og at anvende kølerums-punge, nemlig Ledger-hardware-punge for at sikre, at dine penge er SAFU for evigt.
Stillingen Milliarder rådes til at opdatere Chrome-browseren - især kryptobrugere dukkede først på CryptoSlate.
- "
- 2-faktor godkendelse
- Om
- adgang
- erhverve
- erhvervede
- aktioner
- Alle
- tillade
- Fondsbørsmeddelelse
- nogen
- applikationer
- omkring
- Aktiver
- Godkendelse
- være
- Billion
- milliarder
- browser
- Årsag
- Chrome
- Chrome-browser
- krom
- Kølig opbevaring
- samleobjekter
- samling
- Kom
- samfund
- forvirring
- tilsluttet
- indhold
- kunne
- krypto
- Kryptoindustri
- Crypto tegnebog
- krypto tegnebøger
- cryptocurrencies
- Nuværende
- Cyber angreb
- cyberangreb
- DApps
- decentral
- Decentraliserede applikationer
- forskellige
- direkte
- opdaget
- Skærm
- dydx
- muliggør
- Engine (Motor)
- Engineering
- især
- ETH
- begivenheder
- alle
- udveksling
- forvente
- erfarne
- Exploit
- Figur
- Fornavn
- fejl
- Forbes
- grundlægger
- fuld
- fonde
- Generelt
- Blik
- hack
- hacket
- hacker
- hacks
- ske
- Hardware
- Hardware tegnebog
- Hardware lommebøger
- højde
- Fremhævet
- bedrift
- HTTPS
- KIMOs Succeshistorier
- I andre
- omfatter
- industrien
- Internet
- IT
- JavaScript
- Kaspersky
- kendt
- Ledger
- Sandsynlig
- lavet
- lykkedes
- leder
- måde
- Marts
- Marked
- million
- mere
- mest
- nemlig
- NFT'er
- numre
- tilbyde
- offline
- åbning
- OpenSea
- Andet
- Adgangskode
- Populær
- mulig
- pris
- primære
- Profit
- projekt
- anmodninger
- svar
- Revealed
- Risiko
- sikker
- sikker
- sikkerhed
- sikkerhedsfejl
- sikkerhedssårbarhed
- frø
- frø sætning
- delt
- JA
- SIM-kort
- lignende
- Social
- Samfundsteknologi
- solgt
- Løsninger
- nogle
- sofistikeret
- specifikt
- Stage
- stjålet
- opbevaring
- Gennem
- tid
- Tokens
- Opdatering
- USD
- brugere
- værdi
- sårbarhed
- W
- tegnebog
- Punge
- websites
- uge
- Hvad
- Hvad er
- mens
- ord
- værd
