22 березня компанія Google випустила екстрене оновлення безпеки для свого браузера Chrome, оскільки 3.2 мільярда користувачів потенційно загрожували атаці. Це оновлення підкреслило одну вразливість безпеки, яка може мати великий вплив на всіх, але особливо на користувачів криптовалют.
На даному етапі публічно відомо небагато про CVE-2022-1096, крім того, що це «Плутанина типів у V8». Це стосується механізму JavaScript, який використовує Chrome. Помилка безпеки включає проект Chromium з відкритим вихідним кодом, і, можливо, це оновлення є відповіддю на користувачів, які повідомляють про зламані їхні крипто «гарячі гаманці» через браузер.
Раніше на цьому тижні Артур Чонг, засновник Росії DeFiance Capital і відомий криптокит оголошено через Twitter що його криптовалютний гаманець було зламано, внаслідок чого він втратив понад 1.5 мільйона доларів США в токенах та NFT.
З’ясовано ймовірну першопричину експлойту, це цілеспрямована атака соціальної інженерії. Отримав фішинговий електронний лист, який дійсно був надісланий одним із наших портко, вміст якого схожий на загальний галузевий вміст.
Ймовірно, вони націлені на весь криптовалютний огляд pic.twitter.com/SegYBcoLX2
— Артур (@Arthur_0x) Березня 22, 2022
Злом спрямований на так званий «гарячий» гаманець. Гарячий гаманець підключається безпосередньо до Інтернету, а не «холодний» гаманець, також відомий як апаратний гаманець, де активи можна зберігати в автономному режимі та залишатися в автономному режимі для збереження та безпеки. Побачивши такі складні хаки, як цей, можна з упевненістю сказати, що зберігання криптовалют у холодних гаманцях пропонує набагато більш безпечні рішення для зберігання криптовалют.
Тижнями раніше Ledger попереджав користувачів, щоб вони були в курсі Сліпі підписи і пов’язані з ними небезпеки, продовжуючи рекомендувати користувачам бути обережними під час перегляду DApps (децентралізованих програм) та інших пов’язаних веб-сайтів.
Два основних гарячих гаманці, які були націлені, мали криптовалютний баланс на суму понад 1.5 мільйона доларів США; більшість з яких містила NFT з колекції «Azukis». Ці популярні NFT були негайно продані на OpenSea за ціною нижче ринкової, в результаті чого хакер отримав кошти найшвидшим способом.
На щастя, крик почула вся крипто-спільнота, і дії були зроблені поспіхом. Прихильники швидко придбали деякі з вкрадених Azuki NFT у хакера з чорного списку і були милосердно готові повернути NFT Артуру за базовою ціною, а не перепродати їх за поточною ринковою вартістю, що дозволило їм отримати прибуток 7-8+ ETH (вартістю близько 24 доларів США). k USD) в обмін. Не всі герої носять накидки.
Загалом хакер зміг отримати 78 різних NFT з п’яти широко відомих колекцій. І це ще не все.
Зосереджуючись не тільки на колекційних предметах Azuki та інших NFT, їм також вдалося вкрасти 68 загорнутих ETH (wETH), 4,349 токенів DYDX (stkDYDX) і 1,578 токенів LooksRare (LOOKS), що на момент атаки склало колосальні $293,281.64 XNUMX.
Після оголошення Артур сам глибоко розслідував експлойт і виявив, що хакер мав отримати доступ до свого гаманця, надіславши йому те, що відомо як фішингові електронні листи. Тільки це виявило, що отримані електронні листи надсилали запити на повний доступ до вмісту Google Документів Артура. На перший погляд, ці прохання здавалися з двох його «законних» джерел. Одразу після відкриття спільного файлу хакер отримав несанкціонований перехід до початкової фрази свого гарячого гаманця. Іншими словами, головний пароль до гарячого гаманця було миттєво зламано, надавши злодієві доступ до всіх крипто-гаманців, підключених до Google Chrome, і викачуючи з трудом зароблені активи прямо перед ним.
Подібні хаки та експлойти не є новим для криптоіндустрії. Однак, і це дуже прикро констатувати, ці атаки стають надзвичайно складними, і ідентичні катастрофічні події можуть статися навіть з найдосвідченішими користувачами. Ця трагедія свідчить про те, що будь-хто може стати жертвою подібних кібератак, і ніщо ніколи не є «100% безпечним», як деякі можуть стверджувати.
Як відновлюється жертва кібератаки пізніше твітнув «Не очікував, що це станеться зі мною».
Не знаю, що трапилося, потрібен час, щоб зрозуміти це. Не очікував, що це трапиться і зі мною.
Тоді, мабуть, більше не буде гарячого використання гаманця.
— Артур (@Arthur_0x) Березня 22, 2022
Після злому Артур рекомендував завжди ставити безпеку на перше місце. Приклади включають використання надійного менеджера паролів, що дозволяє 2-факторну аутентифікацію (не за допомогою телефонних номерів, щоб уникнути джейлбрейка та заміни SIM-карти), а також використання гаманців холодного зберігання, а саме апаратних гаманців Ledger, щоб забезпечити безперервне збереження ваших коштів SAFU.
Повідомлення Мільярди радять оновити браузер Chrome — особливо користувачам криптовалют вперше з'явився на CryptoSlate.
- "
- Двофакторна автентифікація
- МЕНЮ
- доступ
- набувати
- придбаний
- дії
- ВСІ
- Дозволити
- Оголошення
- будь
- застосування
- навколо
- Активи
- Authentication
- буття
- Мільярд
- мільярди
- браузер
- Викликати
- Chrome
- браузер Chrome
- хром
- зберігання в холодильнику
- Колекціонування
- збір
- Приходити
- співтовариство
- замішання
- підключений
- зміст
- може
- крипто
- Криптовалюта
- Крипто гаманець
- криптографічні гаманці
- cryptocurrencies
- Поточний
- Кібератака
- кібератаки
- DApps
- Децентралізований
- Децентралізовані програми
- різний
- безпосередньо
- відкритий
- дисплей
- dydx
- дозволяє
- двигун
- Машинобудування
- особливо
- ETH
- Події
- все
- обмін
- очікувати
- досвідчений
- Експлуатувати
- Рисунок
- Перший
- недолік
- Forbes
- засновник
- Повний
- засоби
- Загальне
- Погляд
- зламати
- зламаний
- хакер
- хакі
- траплятися
- апаратні засоби
- Апаратний гаманець
- Ключниці для обладнання
- висота
- Виділено
- проведення
- HTTPS
- Impact
- В інших
- включати
- промисловість
- інтернет
- IT
- JavaScript
- Kaspersky
- відомий
- Гросбух
- Ймовірно
- made
- вдалося
- менеджер
- манера
- березня
- ринок
- мільйона
- більше
- найбільш
- а саме
- NFT
- номера
- пропонувати
- offline
- відкриття
- OpenSea
- Інше
- Пароль
- популярний
- це можливо
- price
- первинний
- Прибуток
- проект
- запитів
- відповідь
- Показали
- Risk
- сейф
- безпечний
- безпеку
- недолік безпеки
- уразливості безпеки
- насіння
- насіннєва фраза
- загальні
- ТАК
- SIM-карти
- аналогічний
- соціальна
- Соціальна інженерія
- проданий
- Рішення
- деякі
- складний
- конкретно
- Стажування
- вкрали
- зберігання
- через
- час
- Жетони
- Оновити
- USD
- користувачі
- значення
- вразливість
- W
- Wallet
- Гаманці
- веб-сайти
- week
- Що
- Що таке
- в той час як
- слова
- вартість