Pada tanggal 22 Maret, Google mengeluarkan pembaruan keamanan darurat untuk browser Chrome-nya karena 3.2 miliar pengguna berpotensi berisiko diserang. Pembaruan ini menyoroti kerentanan keamanan tunggal yang dapat berdampak besar pada semua orang, tetapi khususnya pengguna crypto.
Tidak banyak yang diketahui publik pada tahap ini tentang CVE-2022-1096 selain itu adalah "Jenis Kebingungan di V8." Ini mengacu pada mesin JavaScript yang digunakan oleh Chrome. Kelemahan keamanan termasuk Proyek Chromium open-source dan mungkin pembaruan ini datang sebagai tanggapan terhadap pengguna yang melaporkan 'dompet panas' crypto mereka diretas melalui browser.
Awal pekan ini, Arthur Cheong, pendiri Modal Defiance dan paus kripto yang terkenal diumumkan melalui Twitter bahwa dompet kriptonya telah diretas yang menyebabkan dia kehilangan lebih dari $1.5 juta USD dalam bentuk token dan NFT.
Mengetahui kemungkinan akar penyebab eksploitasi, itu adalah serangan rekayasa sosial yang ditargetkan. Menerima email spear-phishing yang tampaknya benar-benar dikirim oleh salah satu portco kami dengan konten yang tampaknya seperti konten umum yang relevan dengan industri.
Mereka kemungkinan menargetkan semua mata kripto pic.twitter.com/SegYBcoLX2
—Arthur
(@Arthur_0x) 22 Maret, 2022
Peretasan itu menargetkan apa yang disebut dompet 'panas'. Dompet panas terhubung langsung ke internet daripada dompet 'dingin', juga dikenal sebagai dompet perangkat keras, di mana aset dapat disimpan secara offline dan tetap offline untuk diamankan dan keamanan. Setelah melihat peretasan canggih seperti ini, aman untuk mengatakan bahwa menyimpan cryptocurrency di dompet dingin menawarkan solusi yang jauh lebih aman untuk menyimpan cryptocurrency.
Beberapa minggu sebelumnya, Ledger telah memperingatkan pengguna untuk waspada terhadap Tanda Tangan Buta dan bahaya yang menyertainya, sambil terus menyarankan pengguna untuk berhati-hati saat menjelajahi DApps (aplikasi terdesentralisasi) dan situs web terkait lainnya.
Dua dompet panas utama yang menjadi sasaran memiliki saldo kripto senilai lebih dari $1.5 juta USD; sebagian besar berisi NFT di bawah koleksi 'Azukis'. NFT populer ini segera dijual di OpenSea di bawah harga pasar, sehingga peretas memperoleh dana secepat mungkin.
Untungnya, teriakan itu didengar oleh seluruh komunitas crypto dan tindakan dilakukan dengan tergesa-gesa. Pendukung dengan cepat memperoleh beberapa NFT Azuki yang dicuri dari peretas daftar hitam dan dengan senang hati bersedia mengembalikan NFT ke Arthur dengan harga dasar daripada menjualnya kembali pada nilai pasar mereka saat ini, memungkinkan mereka untuk mendapatkan keuntungan 7-8+ ETH (senilai sekitar $24 k USD) sebagai gantinya. Tidak semua pahlawan memakai jubah.
Secara keseluruhan, peretas dapat memperoleh 78 NFT berbeda dari lima koleksi yang dikenal luas. Dan itu tidak semua.
Tidak hanya berfokus pada koleksi Azuki dan NFT lainnya, mereka juga berhasil mencuri 68 bungkus ETH (wETH), 4,349 DYDX (stkDYDX) dan 1,578 LooksRare (LOOKS) token, yang berjumlah $293,281.64 pada saat serangan.
Setelah pengumuman tersebut, Arthur sendiri menyelidiki lebih jauh ke dalam eksploitasi tersebut dan menemukan bahwa peretas pasti telah memperoleh akses ke dompetnya dengan mengirimkan apa yang dikenal sebagai email spear-phishing. Ini saja mengungkapkan bahwa email yang diterima mengeluarkan permintaan untuk mengakses konten Google Documents Arthur secara penuh. Sepintas, permintaan ini tampaknya berasal dari dua sumber 'sah' miliknya. Segera setelah membuka file yang dibagikan, peretas mendapatkan bagian yang tidak sah ke frasa awal dompet panasnya. Dengan kata lain, kata sandi utama ke dompet panas dikompromikan secara instan, memberikan pencuri akses ke semua dompet kripto yang terhubung ke Google Chrome dan menyedot aset yang diperoleh dengan susah payah tepat di depannya.
Peretasan dan eksploitasi serupa bukanlah hal baru bagi industri kripto. Namun, dan sangat disayangkan untuk mengatakan, serangan ini menjadi sangat rumit dan peristiwa bencana yang identik dapat terjadi bahkan pada pengguna yang paling berpengalaman sekalipun. Tampilan tragedi ini adalah bukti bahwa siapa pun dapat menjadi korban serangan siber serupa dan tidak ada yang benar-benar “100% aman” seperti yang diklaim beberapa orang.
Sebagai korban serangan siber yang sedang pulih kemudian mentweet “tidak menyangka ini terjadi padaku.”
Yah tidak yakin apa yang terjadi, perlu waktu untuk mencari tahu. Tidak menyangka ini juga terjadi pada saya.
Kira tidak ada lagi penggunaan dompet panas saat itu.
—Arthur
Setelah peretasan, rekomendasi Arthur adalah untuk selalu mengutamakan keamanan. Contohnya termasuk menggunakan pengelola kata sandi tepercaya, mengaktifkan otentikasi 2 faktor (bukan melalui nomor telepon untuk menghindari jailbreak kartu sim dan pertukaran sim), dan untuk mengadopsi dompet penyimpanan dingin, yaitu dompet perangkat keras Ledger untuk memastikan dana Anda SAFU selamanya.
Pos Miliaran disarankan untuk memperbarui browser Chrome — terutama pengguna crypto muncul pertama pada KriptoSlate.
- "
- Otentikasi 2-faktor
- Tentang Kami
- mengakses
- memperoleh
- diperoleh
- tindakan
- Semua
- Membiarkan
- Pengumuman
- siapapun
- aplikasi
- sekitar
- Aktiva
- Otentikasi
- makhluk
- Milyar
- miliaran
- Browser
- Menyebabkan
- Chrome
- browser chrome
- khrom
- Penyimpanan dingin
- koleksi
- koleksi
- bagaimana
- masyarakat
- kebingungan
- terhubung
- Konten
- bisa
- kripto
- Industri Crypto
- Dompet crypto
- dompet crypto
- cryptocurrencies
- terbaru
- Serangan cyber
- cyberattacks
- DApps
- Terdesentralisasi
- Aplikasi Terdesentralisasi
- berbeda
- langsung
- ditemukan
- Display
- dydx.dll
- memungkinkan
- Mesin
- Teknik
- terutama
- ETH
- peristiwa
- semua orang
- Pasar Valas
- mengharapkan
- berpengalaman
- Mengeksploitasi
- Angka
- Pertama
- cacat
- Forbes
- pendiri
- penuh
- dana-dana
- Umum
- Sekilas
- terjangan
- hack
- hacker
- hacks
- terjadi
- Perangkat keras
- Dompet Perangkat Keras
- Dompet perangkat keras
- tinggi
- Disorot
- memegang
- HTTPS
- Dampak
- Di lain
- memasukkan
- industri
- Internet
- IT
- JavaScript
- Kaspersky
- dikenal
- Buku besar
- Mungkin
- terbuat
- berhasil
- manajer
- cara
- March
- Pasar
- juta
- lebih
- paling
- yaitu
- NFT
- nomor
- menawarkan
- Pengunjung
- pembukaan
- OpenSea
- Lainnya
- Kata Sandi
- Populer
- mungkin
- harga pompa cor beton mini
- primer
- Keuntungan
- proyek
- permintaan
- tanggapan
- Terungkap
- Risiko
- aman
- aman
- keamanan
- cacat keamanan
- kerentanan keamanan
- benih
- frase benih
- berbagi
- YA
- SIM Card
- mirip
- Sosial
- Rekayasa Sosial
- terjual
- Solusi
- beberapa
- mutakhir
- Secara khusus
- Tahap
- dicuri
- penyimpanan
- Melalui
- waktu
- Token
- Memperbarui
- USD
- Pengguna
- nilai
- kerentanan
- W
- dompet
- Wallet
- situs web
- minggu
- Apa
- Apa itu
- sementara
- kata
- bernilai
