Il 22 marzo Google ha emesso un aggiornamento di sicurezza di emergenza per il suo browser Chrome poiché 3.2 miliardi di utenti erano potenzialmente a rischio di essere attaccati. Questo aggiornamento ha evidenziato una singola vulnerabilità di sicurezza che potrebbe avere un grande impatto su tutti, ma in particolare sugli utenti crittografici.
Non si sa molto pubblicamente in questa fase su CVE-2022-1096 a parte che si tratta di una "Confusione di tipo in V8". Questo si riferisce al motore JavaScript impiegato da Chrome. Il difetto di sicurezza include il progetto Chromium open source ed è possibile che questo aggiornamento arrivi in risposta agli utenti che segnalano che i loro "portafogli caldi" crittografici sono stati violati tramite un browser.
All'inizio di questa settimana, Arturo Cheong, Il fondatore della Capitale di DeFiance e una nota balena crittografica annunciato via Twitter che il suo portafoglio crittografico era stato violato facendogli perdere oltre $ 1.5 milioni di dollari in token e NFT.
Trovato la probabile causa principale dell'exploit, si tratta di un attacco mirato di ingegneria sociale. Abbiamo ricevuto un'e-mail di spear-phishing che sembra davvero essere stata inviata da uno dei nostri portco con contenuti che sembrano contenuti generali rilevanti per il settore.
Probabilmente stanno prendendo di mira tutte le criptovalute pic.twitter.com/SegYBcoLX2
— Artù
(@Arturo_0x) 22 Marzo 2022
L'hack ha preso di mira quello che viene chiamato un portafoglio "caldo". Un portafoglio caldo è direttamente connesso a Internet anziché un portafoglio "freddo", noto anche come portafoglio hardware, in cui le risorse possono essere archiviate offline e rimanere offline per sicurezza e sicurezza. Dopo aver visto hack sofisticati come questo, è sicuro affermare che l'archiviazione di criptovalute in cold wallet offre soluzioni molto più sicure per detenere criptovalute.
Settimane prima, Ledger aveva avvertito gli utenti di essere a conoscenza Firme cieche e i pericoli che ne derivano, pur continuando a consigliare agli utenti di procedere con cautela durante la navigazione nelle DApp (applicazioni decentralizzate) e altri siti Web correlati.
Due portafogli caldi primari che venivano presi di mira detenevano un saldo crittografico del valore di oltre $ 1.5 milioni di dollari; la maggior parte dei quali conteneva NFT nella collezione "Azukis". Questi popolari NFT sono stati immediatamente venduti su OpenSea al di sotto del prezzo di mercato, con il risultato che l'hacker ha acquisito fondi nel modo più rapido possibile.
Fortunatamente, il grido è stato ascoltato dall'intera comunità crittografica e le azioni sono state prese in fretta. I sostenitori hanno rapidamente acquisito alcuni degli Azuki NFT rubati dall'hacker nella lista nera ed erano misericordiosamente disposti a restituire gli NFT ad Arthur a un prezzo base piuttosto che rivenderli al loro attuale valore di mercato, consentendo loro di guadagnare 7-8+ ETH (per un valore di circa $ 24 k USD) in cambio. Non tutti gli eroi indossano mantelli.
Complessivamente, l'hacker è stato in grado di acquisire 78 diversi NFT da cinque raccolte ampiamente conosciute. E non è tutto.
Non solo concentrandosi sugli oggetti collezionabili di Azuki e altri NFT, sono anche riusciti a rubare 68 ETH incartati (wETH), 4,349 DYDX in staking (stkDYDX) e 1,578 gettoni LooksRare (LOOKS), per un enorme $ 293,281.64 al momento dell'attacco.
Dopo l'annuncio, lo stesso Arthur ha indagato a fondo sull'exploit e ha scoperto che l'hacker deve aver ottenuto l'accesso al suo portafoglio inviandogli quello che è noto come e-mail di spear-phishing. Questo da solo ha rivelato che le e-mail ricevute inviavano richieste di accesso completo ai contenuti di Google Documenti di Arthur. A prima vista, queste richieste sembravano provenire da due sue fonti "legittime". Subito dopo aver aperto il file condiviso, l'hacker ha ottenuto un passaggio non autorizzato alla frase seed del suo hot wallet. In altre parole, la password principale dell'hot wallet è stata compromessa all'istante, garantendo al ladro l'accesso a tutti i crypto wallet collegati a Google Chrome e sottraendosi agli asset guadagnati duramente davanti a lui.
Hack ed exploit simili non sono una novità per l'industria delle criptovalute. Tuttavia, ed è molto spiacevole dire, questi attacchi stanno diventando estremamente intricati e identici eventi catastrofici possono accadere anche agli utenti più esperti. Questa dimostrazione di tragedia è la prova che chiunque può cadere vittima di attacchi informatici simili e nulla è mai veramente "sicuro al 100%", come alcuni potrebbero sostenere.
Come vittima di un attacco informatico in via di guarigione più tardi twittato "Non mi aspettavo che succedesse a me."
Beh, non sono sicuro di cosa sia successo, ho bisogno di tempo per capirlo. Non mi aspettavo che succedesse anche a me.
Immagino che non usi più il portafoglio caldo allora.
— Artù
Dopo l'hacking, le raccomandazioni di Arthur erano di mettere sempre la sicurezza al primo posto. Gli esempi includono l'utilizzo di un gestore di password affidabile, che consente l'autenticazione a 2 fattori (non tramite numeri di telefono per evitare jailbreak e sim-swapping) e l'adozione di portafogli di conservazione a freddo, in particolare portafogli hardware Ledger per garantire che i tuoi fondi siano SAFU per sempre.
Il post Miliardi di persone hanno consigliato di aggiornare il browser Chrome, in particolare gli utenti di crittografia apparve prima CryptoSlate.
- "
- Autenticazione a 2 fattori
- Chi siamo
- accesso
- acquisire
- acquisito
- azioni
- Tutti
- Consentire
- Annuncio
- chiunque
- applicazioni
- in giro
- Attività
- Autenticazione
- essendo
- Miliardo
- miliardi
- del browser
- Causare
- Chrome
- browser Chrome
- cromo
- Celle frigorifere
- da collezione
- collezione
- Venire
- comunità
- confusione
- collegato
- contenuto
- potuto
- crypto
- Industria criptata
- Portafoglio Crypto
- portafogli criptati
- cryptocurrencies
- Corrente
- Attacco informatico
- attacchi informatici
- DApp
- decentrata
- Applicazioni decentralizzate
- diverso
- direttamente
- scoperto
- Dsiplay
- dydx
- consentendo
- motore
- Ingegneria
- particolarmente
- ETH
- eventi
- tutti
- exchange
- attenderti
- esperto
- Sfruttare
- figura
- Nome
- difetto
- Forbes
- fondatore
- pieno
- fondi
- Generale
- Sguardo
- incidere
- hacked
- degli hacker
- hack
- accadere
- Hardware
- Portafoglio Hardware
- hardware wallet
- altezza
- Evidenziato
- possesso
- HTTPS
- Impact
- In altre
- includere
- industria
- Internet
- IT
- JavaScript
- Kaspersky
- conosciuto
- Ledger
- probabile
- fatto
- gestito
- direttore
- modo
- Marzo
- Rappresentanza
- milione
- Scopri di più
- maggior parte
- cioè
- NFTs
- numeri
- offrire
- offline
- apertura
- OpenSea
- Altro
- Password
- Popolare
- possibile
- prezzo
- primario
- Profitto
- progetto
- richieste
- risposta
- Rivelato
- Rischio
- sicura
- sicuro
- problemi di
- difetto di sicurezza
- vulnerabilità della sicurezza
- seme
- frase del seme
- condiviso
- SIM
- SIM Card
- simile
- Social
- Ingegneria sociale
- venduto
- Soluzioni
- alcuni
- sofisticato
- in particolare
- Stage
- rubare
- conservazione
- Attraverso
- tempo
- Tokens
- Aggiornanento
- USD
- utenti
- APPREZZIAMO
- vulnerabilità
- W
- Portafoglio
- Portafogli
- siti web
- settimana
- Che
- Che cosa è l'
- while
- parole
- valore
