22 月 XNUMX 日、Google は 緊急セキュリティアップデート 同社の Chrome ブラウザでは、3.2 億人のユーザーが潜在的に攻撃の危険にさらされていたためです。 このアップデートでは、すべての人、特に暗号通貨ユーザーに大きな影響を与える可能性がある単一のセキュリティ脆弱性が浮き彫りになりました。
現段階では、CVE-2022-1096 については、「V8 における型の混乱」であること以外、あまり公に知られていません。 これは、Chrome で採用されている JavaScript エンジンを指します。 このセキュリティ上の欠陥にはオープンソースの Chromium プロジェクトが含まれており、このアップデートは仮想通貨の「ホットウォレット」がブラウザを通じてハッキングされたと報告したユーザーへの対応として行われた可能性がある。
今週初め、 アーサー・チョン、の創設者 デファイアンスキャピタル そして既知の暗号クジラ Twitter経由で発表 彼の暗号通貨ウォレットがハッキングされ、トークンとNFTで1.5万ドル以上を失ったとのこと。
エクスプロイトのおそらく根本原因が判明しました。それは標的型ソーシャル エンジニアリング攻撃でした。 一般的な業界関連コンテンツと思われる内容を含む、実際には当社のポートコの XNUMX つから送信されたと思われるスピア フィッシングメールを受信しました。
彼らはおそらくすべての暗号のぞき見をターゲットにしています pic.twitter.com/SegYBcoLX2
—アーサー
(@ Arthur_0x) 2022 年 3 月 22 日
このハッキングは、いわゆる「ホット」ウォレットをターゲットにしていました。 ホット ウォレットは、ハードウェア ウォレットとしても知られる「コールド」ウォレットではなく、インターネットに直接接続されており、資産をオフラインで保存し、安全な保管とセキュリティのためにオフラインのままにすることができます。 このような高度なハッキングを見た後では、暗号通貨をコールドウォレットに保管する方が、暗号通貨を保持するためのはるかに安全なソリューションになると言っても過言ではありません。
数週間前、レジャーはユーザーに次の点に注意するよう警告していました。 ブラインド署名 とそれに伴う危険性について説明するとともに、DApps (分散型アプリケーション) やその他の関連 Web サイトを閲覧する際には注意するようユーザーに引き続きアドバイスしています。
標的となっていた 1.5 つの主要なホットウォレットには、XNUMX 万米ドルを超える仮想通貨残高が保管されていました。 そのほとんどには、「Azukis」コレクションの下にNFTが含まれていました。 これらの人気のある NFT はすぐに OpenSea で市場価格よりも安く販売され、その結果ハッカーは可能な限り最速の方法で資金を獲得しました。
幸いなことに、この叫びは仮想通貨コミュニティ全体に届き、急いで行動が起こされました。 サポーターは、ブラックリストに載ったハッカーから盗まれたアズキNFTの一部を迅速に入手し、慈悲深くもNFTを現在の市場価格で再販するのではなく、基本価格でアーサーに返却し、7〜8ETH以上(約24ドル相当)の利益を得ることができました。 k USD)と引き換えに。 すべての英雄はマントを着用していません。
合計すると、ハッカーは 78 つの広く知られたコレクションから XNUMX の異なる NFT を取得することができました。 それだけではありません。
彼らは、アズキや他のNFTの収集品に焦点を当てているだけでなく、68個のラップされたETH(wETH)、4,349個のステーキングされたDYDX(stkDYDX)、および1,578個のLooksRare(LOOKS)トークンを盗むことに成功し、攻撃時点での合計はなんと293,281.64ドルに達しました。
発表後、アーサー自身がこのエクスプロイトを詳しく調査し、ハッカーがいわゆるものを送信することでウォレットへのアクセスを取得したに違いないことを発見しました。 スピアフィッシングメール。 これだけでも、受信したメールが Arthur の Google ドキュメント コンテンツ全体にアクセスするリクエストを発行していることが明らかになりました。 一見すると、これらのリクエストは彼の XNUMX つの「正当な」情報源からのものであるように見えました。 共有ファイルを開いた直後、ハッカーはホット ウォレットのシード フレーズへの不正なアクセスを取得しました。 言い換えれば、ホット ウォレットのマスター パスワードは即座に侵害され、泥棒は Google Chrome に接続されているすべての暗号ウォレットへのアクセスを許可され、目の前で苦労して稼いだ資産が吸い上げられました。
同様のハッキングや悪用は、暗号通貨業界にとって新しいことではありません。 しかし、非常に残念なことですが、これらの攻撃は非常に複雑になっており、最も経験豊富なユーザーでも同様の壊滅的な出来事が発生する可能性があります。 このような悲劇の現れは、誰もが同様のサイバー攻撃の犠牲になる可能性があり、一部の人が主張しているように、本当に「100% 安全」なものなど存在しないことを証明しています。
回復中のサイバー攻撃被害者として 後でツイート 「こんなことが私に起こるとは予想していませんでした。」
何が起こったのか分かりませんが、時間をかけて解決する必要があります。 これが私にも起こるとは予想していませんでした。
それなら、これ以上ホットウォレットの使用はないと思います。
—アーサー
ハッキングの後、アーサー氏の推奨事項は、常にセキュリティを最優先することでした。 例としては、信頼できるパスワード マネージャーの使用、2 要素認証の有効化 (SIM カードのジェイルブレイクや SIM スワッピングを回避するために電話番号を使用しない)、コールド ストレージ ウォレット、つまり資金が永続的に SAFU であることを保証する Ledger ハードウェア ウォレットの採用などが挙げられます。
ポスト 数十億人がChromeブラウザを更新するようアドバイスしました—特に暗号ユーザー 最初に登場した CryptoSlate.
- "
- 二要素認証
- 私たちについて
- アクセス
- 取得する
- 取得
- 行動
- すべて
- 許可
- お知らせ
- 誰も
- 周りに
- 資産
- 認証
- さ
- 10億
- 億
- ブラウザ
- 原因となる
- クロム
- クロムブラウザ
- クロム
- 冷蔵
- グッズ
- コレクション
- 来ます
- コミュニティ
- 混乱
- 交流
- コンテンツ
- 可能性
- クリプト
- 暗号業界
- クリプトウォレット
- 暗号財布
- 暗号通貨
- 電流プローブ
- サイバー攻撃
- サイバー攻撃
- DApps
- 分権化された
- 分散アプリケーション
- 異なります
- 直接に
- 発見
- ディスプレイ
- DYDX
- 有効にする
- エンジン
- エンジニアリング
- 特に
- ETH
- イベント
- 誰も
- 交換
- 期待する
- 経験豊かな
- 悪用する
- フィギュア
- 名
- 欠陥
- フォーブス
- AIとMoku
- フル
- 資金
- ひと目
- でログイン
- ハック
- SIMカード製造会社の最大手がアメリカやイギリスのスパイ機関によってハッキングされたとの情報が見つかっている。
- ハッカー
- ハック
- 起こる
- Hardware
- ハードウェアの財布
- ハードウェア財布
- 高さ
- 強調表示された
- 開催
- HTTPS
- 影響
- その他の
- include
- 産業を変えます
- インターネット
- IT
- JavaScriptを
- カスペルスキー
- 既知の
- 元帳
- 可能性が高い
- 製
- マネージド
- マネージャー
- 方法
- 3月
- 市場
- 百万
- 他には?
- 最も
- すなわち
- NFTs
- 番号
- 提供
- オンライン
- 開設
- 公海
- その他
- パスワード
- 人気
- 可能
- ブランド
- 主要な
- 利益
- プロジェクト
- リクエスト
- 応答
- 明らかに
- リスク
- 安全な
- 安全に
- セキュリティ
- セキュリティ欠陥
- セキュリティ脆弱性
- シード
- シードフレーズ
- shared
- YES
- SIMカード
- 同様の
- 社会
- ソーシャルエンジニアリング
- 売ら
- ソリューション
- 一部
- 洗練された
- 特に
- ステージ
- 盗まれました
- ストレージ利用料
- 介して
- 時間
- トークン
- さえずり
- アップデイト
- USD
- users
- 値
- 脆弱性
- W
- 財布
- 財布
- ウェブサイト
- 週間
- この試験は
- 何ですか
- while
- 言葉
- 価値
