در 22 مارس، گوگل یک پیام را منتشر کرد به روز رسانی امنیتی اضطراری برای مرورگر کروم خود، 3.2 میلیارد کاربر به طور بالقوه در معرض خطر حمله قرار داشتند. این بهروزرسانی یک آسیبپذیری امنیتی واحد را برجسته میکند که میتواند تأثیر زیادی بر همه، بهویژه کاربران ارزهای دیجیتال داشته باشد.
در این مرحله اطلاعات زیادی در مورد CVE-2022-1096 وجود ندارد، به غیر از اینکه "گیج شدن نوع در V8" است. این به موتور جاوا اسکریپت استفاده شده توسط کروم اشاره دارد. نقص امنیتی شامل پروژه منبع باز Chromium می شود و ممکن است این به روز رسانی پاسخی به کاربرانی باشد که از هک شدن «کیف پول داغ» رمزنگاری خود از طریق یک مرورگر گزارش می دهند.
اوایل این هفته، آرتور چئونگ، بنیانگذار سرمایه DeFiance و نهنگ کریپتو شناخته شده اعلام شده از طریق توییتر که کیف پول کریپتو وی هک شده و باعث از دست دادن بیش از 1.5 میلیون دلار توکن و NFT شده است.
علت اصلی احتمالی این اکسپلویت را فهمیدیم، این یک حمله مهندسی اجتماعی هدفمند است. یک ایمیل فیشینگ دریافت کردم که واقعاً به نظر میرسد توسط یکی از پورتوهای ما ارسال شده است و محتوایی که به نظر میرسد محتوای کلی مرتبط با صنعت است.
آنها احتمالاً تمام ارزهای دیجیتال را هدف قرار میدهند pic.twitter.com/SegYBcoLX2
- آرتور (@Arthur_0x) مارس 22، 2022
این هک چیزی را هدف قرار داده است که کیف پول داغ نامیده می شود. کیف پول داغ مستقیماً به اینترنت متصل است نه کیف پول سرد که به عنوان کیف پول سختافزاری نیز شناخته میشود، جایی که داراییها را میتوان به صورت آفلاین ذخیره کرد و برای حفظ و امنیت آفلاین باقی ماند. پس از مشاهده هکهای پیچیدهای مانند این، میتوان گفت که ذخیره ارزهای دیجیتال در کیف پولهای سرد راهحلهای بسیار امنتری برای نگهداری ارزهای دیجیتال ارائه میدهد.
هفتهها قبل، لجر به کاربران هشدار داده بود که از این موضوع آگاه باشند امضاهای کور و خطرات ناشی از آنها، در حالی که همچنان به کاربران توصیه می شود هنگام مرور DApps (برنامه های غیرمتمرکز) و سایر وب سایت های مرتبط با احتیاط عمل کنند.
دو کیف پول داغ اصلی که مورد هدف قرار گرفتند، موجودی ارزهای دیجیتال به ارزش بیش از 1.5 میلیون دلار داشتند. که اکثر آنها حاوی NFT های تحت مجموعه "آزوکی ها" بودند. این NFT های محبوب بلافاصله در OpenSea زیر قیمت بازار فروخته شدند و در نتیجه هکرها به سریع ترین شکل ممکن وجوه دریافت کردند.
خوشبختانه، این فریاد توسط کل جامعه کریپتو شنیده شد و اقدامات با عجله انجام شد. حامیان به سرعت برخی از NFT های دزدیده شده Azuki را از هکر لیست سیاه خریداری کردند و با مهربانی مایل بودند NFT ها را به قیمت پایه به آرتور برگردانند نه اینکه آنها را به ارزش فعلی بازارشان بفروشند، و به آنها اجازه می دادند 7 تا 8+ ETH (به ارزش حدود 24 دلار) سود ببرند. k USD) در مبادله. همه قهرمانان شنل نمی پوشند.
در مجموع، هکر توانست 78 NFT مختلف را از پنج مجموعه شناخته شده به دست آورد. و این تمام نیست.
آنها نه تنها بر روی مجموعههای کلکسیونی آزوکی و سایر NFTها تمرکز کردند، بلکه موفق شدند 68 توکن ETH (wETH)، 4,349 نشانه DYDX (stkDYDX) و 1,578 توکن LooksRare (LOOKS) را به سرقت ببرند که در زمان حمله به 293,281.64،XNUMX دلار رسید.
پس از اعلام این خبر، خود آرتور عمیقاً در مورد این سوء استفاده تحقیق کرد و متوجه شد که هکر باید با ارسال چیزی که به عنوان معروف است به کیف پول خود دسترسی داشته باشد. ایمیل های فیشینگ نیزه ای. این به تنهایی نشان داد که ایمیلهای دریافتی درخواستهایی برای دسترسی کامل به محتوای Google Docs آرتور صادر میکنند. در نگاه اول، به نظر می رسید که این درخواست ها از دو منبع «مشروع» او باشد. بلافاصله پس از باز کردن فایل به اشتراک گذاشته شده، هکر یک مسیر غیرمجاز به عبارت seed کیف پول داغ خود به دست آورد. به عبارت دیگر، رمز عبور اصلی کیف پول داغ فوراً به خطر افتاد و به سارق امکان دسترسی به همه کیف پولهای رمزنگاری متصل به Google Chrome را داد و داراییهایی را که به سختی به دست آورده بود، درست در مقابل او سیفون کرد.
هک ها و اکسپلویت های مشابه برای صنعت کریپتو چیز جدیدی نیست. با این حال، و بسیار مایه تاسف است که بگوییم، این حملات به شدت پیچیده می شوند و رویدادهای فاجعه بار یکسانی ممکن است حتی برای با تجربه ترین کاربران رخ دهد. این نمایش تراژدی شواهدی است که نشان میدهد هر کسی میتواند قربانی حملات سایبری مشابه شود و هیچ چیز آنطور که برخی ادعا میکنند هرگز واقعاً «100% ایمن» نیست.
به عنوان قربانی حمله سایبری در حال بهبودی بعدا توییت کرد "انتظار نداشتم این اتفاق برای من بیفتد."
خوب مطمئن نیستم چه اتفاقی افتاده است، باید زمان بگذاریم تا آن را بفهمیم. انتظار نداشتم این اتفاق برای من هم بیفتد.
حدس بزنید دیگر از کیف پول داغ استفاده نکنید.
- آرتور (@Arthur_0x) مارس 22، 2022
پس از هک، توصیه های آرتور این بود که همیشه امنیت را در اولویت قرار دهد. مثالها شامل استفاده از یک مدیر رمز عبور قابل اعتماد، فعال کردن احراز هویت دو مرحلهای (نه از طریق شماره تلفن برای جلوگیری از جیلبریک سیمکارت و تعویض سیمکارت) و استفاده از کیفپولهای ذخیرهسازی سرد، یعنی کیفپولهای سختافزاری Ledger برای اطمینان از اینکه وجوه شما همیشه SAFU است.
پست به میلیاردها نفر توصیه می شود مرورگر کروم را به روز کنند - به ویژه کاربران رمزارز به نظر می رسد برای اولین بار در CryptoSlate.
- "
- احراز هویت 2 مرحله ای
- درباره ما
- دسترسی
- به دست آوردن
- به دست آورد
- اقدامات
- معرفی
- اجازه دادن
- خبر
- هر کس
- برنامه های کاربردی
- دور و بر
- دارایی
- تصدیق
- بودن
- بیلیون
- میلیاردها
- مرورگر
- علت
- کروم
- مرورگر کروم
- کروم
- ذخیره سازی سرد
- کلکسیون ها
- مجموعه
- بیا
- انجمن
- گیجی
- متصل
- محتوا
- میتوانست
- عضو سازمانهای سری ومخفی
- صنعت رمزنگاری
- کیف پول رمزنگاری
- کیف پول رمزنگاری
- ارز رمزنگاری
- جاری
- حمله سایبری
- حملات سایبری
- DApps
- غیر متمرکز
- برنامه های تقسیم شده
- مختلف
- مستقیما
- کشف
- نمایش دادن
- Ddx
- پست الکترونیک
- را قادر می سازد
- موتور
- مهندسی
- به خصوص
- ETH
- حوادث
- هر کس
- تبادل
- انتظار
- با تجربه
- بهره برداری
- شکل
- نام خانوادگی
- نقص
- فوربس
- موسس
- کامل
- بودجه
- سوالات عمومی
- نگاه
- گوگل
- هک
- هک
- هکر
- هک
- رخ دادن
- سخت افزار
- کیف پول سخت افزار
- کیف جیبی
- ارتفاع
- برجسته
- برگزاری
- HTTPS
- تأثیر
- در دیگر
- شامل
- صنعت
- اینترنت
- IT
- جاوا اسکریپت
- کسپرسکی
- شناخته شده
- دفتر کل
- احتمالا
- ساخته
- اداره می شود
- مدیر
- روش
- مارس
- بازار
- میلیون
- بیش
- اکثر
- از جمله
- NFT
- تعداد
- ارائه
- آنلاین نیست.
- افتتاح
- باز می شود در
- دیگر
- کلمه عبور
- محبوب
- ممکن
- قیمت
- اصلی
- سود
- پروژه
- درخواست
- پاسخ
- نشان داد
- خطر
- امن
- امن
- تیم امنیت لاتاری
- نقص امنیتی
- آسیب پذیری امنیتی
- دانه
- عبارت دانه
- به اشتراک گذاشته شده
- سیم کارت
- سیم کارت
- مشابه
- آگاهی
- مهندسی اجتماعی
- فروخته شده
- مزایا
- برخی از
- مصنوعی
- به طور خاص
- صحنه
- به سرقت رفته
- ذخیره سازی
- از طریق
- زمان
- نشانه
- توییتر
- بروزرسانی
- دلار آمریکا
- کاربران
- ارزش
- آسیب پذیری
- W
- کیف پول
- کیف پول
- وب سایت
- هفته
- چی
- چه شده است
- در حین
- کلمات
- با ارزش