22. mars utstedte Google en nødsikkerhetsoppdatering for Chrome-nettleseren sin, da 3.2 milliarder brukere potensielt sto i fare for å bli angrepet. Denne oppdateringen fremhevet et enkelt sikkerhetssårbarhet som kan ha stor innvirkning på alle, men spesielt kryptobrukere.
Ikke mye er offentlig kjent på dette stadiet om CVE-2022-1096 annet enn at det er en "Typeforvirring i V8." Dette refererer til JavaScript-motoren som brukes av Chrome. Sikkerhetsfeilen inkluderer Chromium Project med åpen kildekode, og det er mulig at denne oppdateringen kommer som et svar på brukere som rapporterer at deres krypto-"hot wallets" blir hacket gjennom en nettleser.
Tidligere denne uken Arthur Cheong, Grunnleggeren av Defiance Capital og en kjent kryptohval kunngjort via Twitter at kryptolommeboken hans hadde blitt hacket og fikk ham til å tape over $1.5 millioner USD i tokens og NFT-er.
Fant ut den sannsynlige årsaken til utnyttelsen, det er et målrettet sosialt ingeniørangrep. Mottok en spyd-phishing-e-post som virkelig ser ut til å være sendt av en av våre portco med innhold som virker som generelt industrirelevant innhold.
De er sannsynligvis rettet mot alle krypto-peep pic.twitter.com/SegYBcoLX2
– Arthur
(@Arthur_0x) Mars 22, 2022
Hacket var rettet mot det som kalles en "hot" lommebok. En hot wallet er direkte koblet til internett i stedet for en "kald" lommebok, også kjent som en hardware wallet, der eiendeler kan lagres offline og forbli offline for oppbevaring og sikkerhet. Etter å ha sett sofistikerte hacks som dette, er det trygt å si at lagring av kryptovalutaer i kalde lommebøker tilbyr langt sikrere løsninger for å holde kryptovalutaer.
Uker tidligere hadde Ledger advart brukere om å være oppmerksomme på Blinde signaturer og farene som følger med dem, samtidig som de fortsetter å råde brukere til å fortsette med forsiktighet når de surfer på DApps (desentraliserte applikasjoner) og andre relaterte nettsteder.
To primære hot wallets som ble målrettet hadde en kryptobalanse til en verdi av over $1.5 millioner USD; de fleste inneholdt NFT-er under 'Azukis'-samlingen. Disse populære NFT-ene ble umiddelbart solgt på OpenSea under markedspris, noe som resulterte i at hackeren skaffet penger på raskest mulig måte.
Heldigvis ble ropet hørt av hele kryptosamfunnet, og handlinger ble gjort med hast. Supportere kjøpte raskt noen av de stjålne Azuki NFT-ene fra den svartelistede hackeren og var barmhjertig villige til å returnere NFT-ene til Arthur til en grunnpris i stedet for å selge dem videre til gjeldende markedsverdi, slik at de kunne tjene 7-8+ ETH (verdt rundt $24) k USD) i bytte. Ikke alle helter bruker kapper.
Til sammen klarte hackeren å skaffe seg 78 forskjellige NFT-er fra fem kjente samlinger. Og det er ikke alt.
Ikke bare med å fokusere på Azukis og andre NFT-samlerobjekter, de klarte også å stjele 68 innpakket ETH (wETH), 4,349 innsats DYDX (stkDYDX) og 1,578 LooksRare (LOOKS) tokens, noe som tilsvarte hele $293,281.64 XNUMX på tidspunktet for angrepet.
Etter kunngjøringen undersøkte Arthur selv dypt inn i utnyttelsen og oppdaget at hackeren må ha fått tilgang til lommeboken hans ved å sende ham det som er kjent som spyd-phishing-e-poster. Dette alene avslørte at e-postene som ble mottatt ga forespørsler om å få tilgang til Arthurs Google Docs-innhold i sin helhet. Ved første øyekast så disse forespørslene ut til å komme fra to "legitime" kilder av ham. Umiddelbart etter å ha åpnet den delte filen, fikk hackeren en uautorisert passasje til frøfrasen til den varme lommeboken hans. Med andre ord, hovedpassordet til den varme lommeboken ble kompromittert umiddelbart, og ga tyven tilgang til alle kryptolommebøker koblet til Google Chrome og hentet de hardt opptjente eiendelene rett foran ham.
Lignende hacks og utnyttelser er ikke noe nytt for kryptoindustrien. Imidlertid, og det er veldig uheldig å si, er disse angrepene i ferd med å bli ekstremt intrikate og identiske katastrofale hendelser kan skje med selv de mest erfarne brukerne. Denne fremvisningen av tragedie er bevis på at hvem som helst kan bli offer for lignende nettangrep, og ingenting er noen gang virkelig "100% sikkert" som noen kanskje hevder.
Som det gjenopprettede offeret for nettangrep senere tvitret "Forventet ikke at dette skulle skje med meg."
Vel ikke sikker på hva som skjedde, må ta tid å finne ut av det. Hadde ikke forventet at dette skulle skje meg også.
Antar ikke mer bruk av hot wallet da.
– Arthur
Etter hacket var Arthurs anbefalinger å alltid sette sikkerhet først. Eksempler inkluderer bruk av en klarert passordbehandler, aktiver 2-faktor autentisering (ikke via telefonnumre for å unngå jailbreaks og sim-bytte), og å ta i bruk kjølelagerlommebøker, nemlig Ledger maskinvarelommebøker for å sikre at pengene dine er SAFU for alltid.
Innlegget Milliarder anbefales å oppdatere Chrome-nettleseren – spesielt kryptobrukere dukket først på CryptoSlate.
- "
- 2-faktor autentisering
- Om oss
- adgang
- erverve
- ervervet
- handlinger
- Alle
- tillate
- Kunngjøring
- noen
- søknader
- rundt
- Eiendeler
- Autentisering
- være
- Milliarder
- milliarder
- nett~~POS=TRUNC leseren~~POS=HEADCOMP
- Årsak
- Chrome
- kromleser
- krom
- Kjølelager
- samleobjekter
- samling
- Kom
- samfunnet
- forvirring
- tilkoblet
- innhold
- kunne
- krypto
- Kryptoindustri
- Krypto lommebok
- krypto lommebøker
- cryptocurrencies
- Gjeldende
- Cyber angrep
- cyberattacks
- DApps
- desentralisert
- Desentraliserte applikasjoner
- forskjellig
- direkte
- oppdaget
- Vise
- dydx
- emalje
- muliggjør
- Motor
- Ingeniørarbeid
- spesielt
- ETH
- hendelser
- alle
- utveksling
- forvente
- erfaren
- Exploit
- Figur
- Først
- feil
- Forbes
- Grunnleggeren
- fullt
- midler
- general
- blikk
- hack
- hacket
- hacker
- hacks
- skje
- maskinvare
- Maskinvare lommebok
- Maskinvare lommebøker
- høyde
- Fremhevet
- holder
- HTTPS
- Påvirkning
- I andre
- inkludere
- industri
- Internet
- IT
- Javascript
- Kaspersky
- kjent
- Ledger
- Sannsynlig
- laget
- fikk til
- leder
- måte
- Mars
- marked
- millioner
- mer
- mest
- nemlig
- NFT-er
- tall
- tilby
- offline
- åpning
- OpenSea
- Annen
- Passord
- Populær
- mulig
- pris
- primære
- Profit
- prosjekt
- forespørsler
- svar
- Avslørt
- Risiko
- trygge
- sikre
- sikkerhet
- sikkerhetsfeil
- sikkerhetsproblem
- seed
- frøfrase
- delt
- JA
- SIM-kort
- lignende
- selskap
- Sosialteknikk
- solgt
- Solutions
- noen
- sofistikert
- spesielt
- Scene
- stjålet
- lagring
- Gjennom
- tid
- tokens
- Oppdater
- USD
- Brukere
- verdi
- sårbarhet
- W
- lommebok
- Lommebøker
- nettsteder
- uke
- Hva
- Hva er
- mens
- ord
- verdt
