22. märtsil andis Google välja an hädaolukorra turvavärskendus Chrome'i brauseri jaoks, kuna 3.2 miljardit kasutajat ähvardas potentsiaalselt rünnata. See värskendus tõi esile ühe turvaauku, millel võib olla suur mõju kõigile, kuid eriti krüptokasutajatele.
Praeguses etapis pole CVE-2022-1096 kohta avalikult palju teada, välja arvatud see, et see on "tüüpi segadus V8-s". See viitab Chrome'i kasutatavale JavaScripti mootorile. Turvaviga hõlmab avatud lähtekoodiga Chromiumi projekti ja on võimalik, et see värskendus tuleb vastusena kasutajatele, kes teatavad, et nende krüptorahakotid on brauseri kaudu häkitud.
Varem sel nädalal, Arthur Cheong, asutaja DeFiance Capital ja tuntud krüptovaal Twitterist teatas et tema krüptorahakotti häkiti, mille tõttu ta kaotas žetoonides ja NFT-des üle 1.5 miljoni USA dollari.
Selgitati välja ärakasutamise tõenäoline algpõhjus, see on suunatud sotsiaalse manipuleerimise rünnak. Saime andmepüügimeili, mille näib olevat saatnud üks meie portaalidest sisuga, mis näib olevat üldiselt valdkonnaga seotud sisu.
Tõenäoliselt sihivad nad kõiki krüptopilte pic.twitter.com/SegYBcoLX2
— Arthur
(@Arthur_0x) Märtsil 22, 2022
Häkkimine oli suunatud nn kuumale rahakotile. Kuum rahakott on otse ühendatud Internetiga, mitte "külm" rahakott (tuntud ka kui riistvaraline rahakott), kus varasid saab võrguühenduseta salvestada ja hoida võrguühenduseta. Pärast selliste keerukate häkkide nägemist võib kindlalt öelda, et krüptovaluutade hoidmine külmades rahakottides pakub krüptovaluutade hoidmiseks palju turvalisemaid lahendusi.
Nädalapäevad varem oli Ledger hoiatanud kasutajaid, et nad oleksid sellest teadlikud Pimedad allkirjad ja nendega kaasnevad ohud, soovitades samal ajal kasutajatel DAppide (detsentraliseeritud rakenduste) ja muude seotud veebisaitide sirvimisel olla ettevaatlik.
Kahel peamisel kuumal rahakotil, mille sihtmärk oli, oli krüptosaldo, mille väärtus oli üle 1.5 miljoni USD; millest enamik sisaldas Azukise kollektsiooni kuuluvaid NFT-sid. Need populaarsed NFT-d müüdi OpenSeas kohe alla turuhinna, mille tulemusena omandas häkker raha võimalikult kiiresti.
Õnneks kuulis hüüet kogu krüptokogukond ja tegusid tehti kiirustades. Toetajad omandasid musta nimekirja kantud häkkeri käest kiiresti osa varastatud Azuki NFT-sid ja olid armulikult nõus NFT-d Arthurile baashinnaga tagastama, selle asemel et neid praeguse turuväärtusega edasi müüa, võimaldades neil teenida 7–8+ ETH (väärtus umbes 24 dollarit). k USD) vahetust. Mitte kõik kangelased ei kanna keepe.
Ühtekokku suutis häkker hankida 78 erinevat NFT-d viiest laialt tuntud kollektsioonist. Ja see pole veel kõik.
Keskendudes mitte ainult Azuki ja muude NFT-de kogumisobjektidele, suutsid nad varastada ka 68 pakendatud ETH (wETH), 4,349 panustatud DYDX (stkDYDX) ja 1,578 LooksRare (LOOKS) žetoonit, mis moodustab rünnaku ajal 293,281.64 XNUMX dollarit.
Pärast teadet uuris Arthur ise ärakasutamist sügavalt ja avastas, et häkker pidi saama juurdepääsu oma rahakotile, saates talle nn. spear-phishing meilid. Ainuüksi see näitas, et saadud e-kirjad esitasid taotlusi Arthuri Google Docsi sisule täies mahus juurde pääseda. Esmapilgul tundusid, et need taotlused pärinevad tema kahest „õigustatud” allikast. Vahetult pärast jagatud faili avamist sai häkker oma kuuma rahakoti algfraasile volitamata juurdepääsu. Teisisõnu, kuuma rahakoti põhiparool sattus koheselt ohtu, võimaldades vargale juurdepääsu kõigile Google Chrome'iga ühendatud krüptorahakottidele ja sifoonida raskelt teenitud varasid otse tema ees.
Sarnased häkkimised ja ärakasutamised pole krüptotööstuses midagi uut. Kuid on väga kahetsusväärne, et need rünnakud muutuvad äärmiselt keerukaks ja identsed katastroofilised sündmused võivad juhtuda isegi kõige kogenumate kasutajatega. See tragöödia näitamine on tõend selle kohta, et igaüks võib langeda sarnaste küberrünnakute ohvriks ja miski pole kunagi päriselt "100% turvaline", nagu mõned võivad väita.
Toibuva küberrünnaku ohvrina hiljem säutsus "Ma ei oodanud, et see minuga juhtub."
Ei ole kindel, mis juhtus, selle väljaselgitamiseks on vaja aega võtta. Ei oodanud, et see ka minuga juhtub.
Siis ei kasutata enam rahakotti.
— Arthur
Pärast häkkimist soovitas Arthur turvalisust alati esikohale seada. Näideteks on usaldusväärse paroolihalduri kasutamine, kahefaktorilise autentimise lubamine (mitte telefoninumbrite kaudu, et vältida SIM-kaardi katkestusi ja sim-kaardi vahetamist) ning külmhoonete rahakottide, nimelt Ledgeri riistvarataskute kasutuselevõtt, et teie raha oleks igaveseks SAFU-ks.
Postitus Miljarditele soovitati Chrome'i brauserit värskendada – eriti krüptokasutajatele ilmus esmalt Krüptoslaat.
- "
- 2-faktoriline autentimine
- MEIST
- juurdepääs
- omandama
- omandatud
- meetmete
- Materjal: BPA ja flataatide vaba plastik
- Lubades
- Teadaanne
- keegi
- rakendused
- ümber
- vara
- Autentimine
- on
- Miljard
- miljardeid
- brauseri
- Põhjus
- Kroom
- kroomitud brauser
- kroom
- külmhoone
- Kogutav
- kogumine
- Tulema
- kogukond
- segadus
- seotud
- sisu
- võiks
- krüpto
- Krüptotööstus
- Krüptoraha
- krüptorahakotid
- cryptocurrencies
- Praegune
- Küberrünnak
- küberrünnakud
- DApps
- Detsentraliseeritud
- Detsentraliseeritud rakendused
- erinev
- otse
- avastasin
- Ekraan
- didx
- võimaldades
- Mootor
- Inseneriteadus
- eriti
- ETH
- sündmused
- igaüks
- vahetamine
- ootama
- kogenud
- Ekspluateeri
- Joonis
- esimene
- viga
- Forbes
- Asutaja
- täis
- raha
- Üldine
- Pilk
- näksima
- häkkinud
- häkker
- hacks
- juhtuda
- riistvara
- Riistvara rahakott
- Riistvara rahakotid
- kõrgus
- Esiletõstetud
- omamine
- HTTPS
- mõju
- Teistes
- sisaldama
- tööstus
- Internet
- IT
- JavaScript
- Kaspersky
- teatud
- pearaamat
- Tõenäoliselt
- tehtud
- juhitud
- juht
- viis
- Märts
- Turg
- miljon
- rohkem
- kõige
- nimelt
- NFT-d
- numbrid
- pakkuma
- offline
- avamine
- OpenSea
- Muu
- Parool
- populaarne
- võimalik
- hind
- esmane
- Kasum
- projekt
- Taotlusi
- vastus
- Revealed
- Oht
- ohutu
- kindlustama
- turvalisus
- turvaviga
- turvalisuse haavatavus
- seeme
- seemnefraas
- jagatud
- JAH
- SIM-kaardi
- sarnane
- sotsiaalmeedia
- Sotsiaaltehnoloogia
- müüdud
- Lahendused
- mõned
- keeruline
- eriti
- Stage
- varastatud
- ladustamine
- Läbi
- aeg
- märgid
- puperdama
- Värskendused
- USD
- Kasutajad
- väärtus
- haavatavus
- W
- rahakott
- Rahakotid
- veebilehed
- nädal
- M
- Mis on
- kuigi
- sõnad
- väärt
