22 марта Google опубликовал экстренное обновление безопасности для своего браузера Chrome, поскольку 3.2 миллиарда пользователей потенциально подвергались риску атак. Это обновление выявило единственную уязвимость в системе безопасности, которая может оказать большое влияние на всех, но особенно на пользователей криптовалюты.
На данном этапе мало что известно о CVE-2022-1096, кроме того, что это «путаница типов в V8». Это относится к движку JavaScript, используемому Chrome. Недостаток безопасности включает в себя проект Chromium с открытым исходным кодом, и, возможно, это обновление является ответом на сообщения пользователей о взломе их криптовалютных «горячих кошельков» через браузер.
Ранее на этой неделе Артур Чеонг, Основатель ДеФианс Капитал и известный криптокит объявлено через Twitter что его криптовалютный кошелек был взломан, в результате чего он потерял более 1.5 миллиона долларов США в токенах и NFT.
Выяснили вероятную причину эксплойта: это целевая атака с помощью социальной инженерии. Получил целевое фишинговое электронное письмо, которое действительно было отправлено одним из наших портфолио и содержало контент, похожий на общеотраслевой контент.
Скорее всего, они нацелены на всю криптографию. pic.twitter.com/SegYBcoLX2
— Артур
(@Артур_0x) 22 марта 2022
Взлом был нацелен на так называемый «горячий» кошелек. Горячий кошелек напрямую подключен к Интернету, а не «холодный» кошелек, также известный как аппаратный кошелек, где активы могут храниться в автономном режиме и оставаться в автономном режиме для сохранности и безопасности. Увидев изощренные взломы, подобные этому, можно с уверенностью сказать, что хранение криптовалют в холодных кошельках предлагает гораздо более безопасные решения для хранения криптовалют.
Несколькими неделями ранее Леджер предупредил пользователей, чтобы они знали о Слепые подписи и связанные с ними опасности, продолжая при этом рекомендовать пользователям соблюдать осторожность при просмотре DApps (децентрализованных приложений) и других связанных веб-сайтов.
Два основных горячих кошелька, на которые нацеливались, содержали криптовалюту на сумму более 1.5 миллиона долларов США; большинство из которых содержало NFT из коллекции «Azukis». Эти популярные NFT были немедленно проданы на OpenSea по цене ниже рыночной, в результате чего хакер получил средства максимально быстро.
К счастью, крик был услышан всем криптосообществом, и действия были предприняты в спешке. Сторонники быстро приобрели некоторые из украденных NFT Azuki у хакера из черного списка и были милосердно готовы вернуть NFT Артуру по базовой цене, а не перепродать их по их текущей рыночной стоимости, что позволило им получить прибыль 7-8+ ETH (на сумму около 24 долларов США). тыс. долларов США) в обмен. Не все герои носят плащи.
Всего хакеру удалось получить 78 различных NFT из пяти широко известных коллекций. И это еще не все.
Сосредоточившись не только на предметах коллекционирования Азуки и других NFT, им также удалось украсть 68 упакованных ETH (wETH), 4,349 токенов DYDX (stkDYDX) и 1,578 токенов LooksRare (LOOKS), что на момент атаки составило колоссальные 293,281.64 XNUMX доллара.
После объявления Артур сам подробно изучил эксплойт и обнаружил, что хакер, должно быть, получил доступ к его кошельку, отправив ему то, что известно как фишинговые письма. Это само по себе показало, что полученные электронные письма содержали запросы на полный доступ к содержимому Артура в Google Docs. На первый взгляд казалось, что эти просьбы исходят из двух его «законных» источников. Сразу же после открытия общего файла хакер получил несанкционированный доступ к seed-фразе своего горячего кошелька. Другими словами, мастер-пароль к горячему кошельку был мгновенно скомпрометирован, предоставив вору доступ ко всем криптовалютным кошелькам, подключенным к Google Chrome, и выкачиванию с трудом заработанных активов прямо у него на глазах.
Подобные взломы и эксплойты не являются чем-то новым для криптоиндустрии. Однако, и это очень прискорбно, эти атаки становятся чрезвычайно изощренными, и идентичные катастрофические события могут случиться даже с самыми опытными пользователями. Эта демонстрация трагедии является свидетельством того, что любой может стать жертвой подобных кибератак, и ничто не может быть действительно «на 100% безопасным», как некоторые могут утверждать.
Как выздоравливающая жертва кибератаки позже написал «Не ожидал, что это случится со мной».
Ну, не знаю, что произошло, нужно время, чтобы во всем разобраться. Не ожидал, что это произойдет и со мной.
Думаю, тогда больше не будет использоваться горячий кошелек.
— Артур
После взлома Артур посоветовал всегда ставить безопасность на первое место. Примеры включают использование доверенного менеджера паролей, включение двухфакторной аутентификации (не по телефонным номерам, чтобы избежать джейлбрейка сим-карты и замены сим-карты) и использование кошельков с холодным хранением, а именно аппаратных кошельков Ledger, чтобы гарантировать, что ваши средства находятся в SAFU навечно.
сообщение Миллиарды посоветовали обновить браузер Chrome — особенно криптопользователям Появившийся сначала на CryptoSlate.
- "
- 2-факторная аутентификация
- О нас
- доступ
- приобретать
- приобретенный
- действия
- Все
- Позволяющий
- Объявление
- кто угодно
- Приложения
- около
- Активы
- Аутентификация
- не являетесь
- миллиард
- миллиарды
- браузер
- Вызывать
- Chrome
- браузер Chrome
- хром
- хранение в холодильнике
- предметы коллекционирования
- лыжных шлемов
- как
- сообщество
- замешательство
- подключенный
- содержание
- может
- крипто-
- Криптоиндустрия
- Крипто кошелек
- крипто кошельки
- криптовалюты
- Текущий
- Кибератака
- кибератаки
- DApps
- децентрализованная
- Децентрализованные приложения
- различный
- непосредственно
- открытый
- Дисплей
- дидкс
- позволяет
- Двигатель
- Проект и
- особенно
- ETH
- События
- все члены
- обмена
- ожидать
- опытные
- Эксплуатировать
- фигура
- Во-первых,
- недостаток
- Forbes
- основатель
- полный
- средства
- Общие
- взгляд
- мотыга
- взломанa
- хакер
- взломы
- происходить
- Аппаратные средства
- Аппаратный кошелек
- Аппаратные кошельки
- высота
- Выделенные
- проведение
- HTTPS
- Влияние
- В других
- включают
- промышленность
- Интернет
- IT
- JavaScript
- Kaspersky
- известный
- Ledger
- Вероятно
- сделанный
- управляемого
- менеджер
- способ
- Март
- рынок
- миллиона
- БОЛЕЕ
- самых
- а именно
- NFTs
- номера
- предлагают
- оффлайн
- открытие
- OpenSea
- Другое
- Пароль
- Популярное
- возможное
- цена
- первичный
- Прибыль
- Проект
- Запросы
- ответ
- Показали
- Снижение
- безопасный
- безопасный
- безопасность
- недостаток безопасности
- уязвимость безопасности
- семя
- начальная фраза
- общие
- SIM
- SIM-карты
- аналогичный
- Соцсети
- Социальная инженерия
- проданный
- Решения
- некоторые
- сложный
- конкретно
- Этап
- украли
- диск
- Через
- время
- Лексемы
- Обновление ПО
- USD
- пользователей
- ценностное
- уязвимость
- W
- Кошелек
- Кошельки
- веб-сайты
- неделя
- Что
- Что такое
- в то время как
- слова
- стоимость
