Vào ngày 22 tháng XNUMX, Google đã ban hành một cập nhật bảo mật khẩn cấp đối với trình duyệt Chrome của mình vì 3.2 tỷ người dùng có nguy cơ bị tấn công. Bản cập nhật này nêu bật một lỗ hổng bảo mật duy nhất có thể ảnh hưởng lớn đến tất cả mọi người, đặc biệt là người dùng tiền điện tử.
Ở giai đoạn này, không có nhiều thông tin công khai về CVE-2022-1096 ngoài việc nó là “Sự nhầm lẫn về loại ở động cơ V8”. Điều này đề cập đến công cụ JavaScript được Chrome sử dụng. Lỗ hổng bảo mật bao gồm Dự án Chrome nguồn mở và có thể bản cập nhật này xuất hiện như một phản hồi đối với việc người dùng báo cáo 'ví nóng' tiền điện tử của họ bị hack thông qua trình duyệt.
Đầu tuần này, Arthur Cheong, người sáng lập Vốn đầu tư và một con cá voi tiền điện tử nổi tiếng thông báo qua Twitter rằng ví tiền điện tử của anh ấy đã bị hack khiến anh ấy mất hơn 1.5 triệu USD tiền mã thông báo và NFT.
Đã tìm ra nguyên nhân gốc rễ của việc khai thác, đó là một cuộc tấn công kỹ thuật xã hội có chủ đích. Đã nhận được một email lừa đảo trực tuyến có vẻ như thực sự được gửi bởi một trong các portco của chúng tôi với nội dung có vẻ giống như nội dung chung có liên quan đến ngành.
Họ có thể đang nhắm mục tiêu vào tất cả các chuyên gia về tiền điện tử pic.twitter.com/SegYBcoLX2
- Arthur (@ Arthur_0x) 22 Tháng ba, 2022
Vụ hack nhắm vào thứ được gọi là ví 'nóng'. Ví nóng được kết nối trực tiếp với internet chứ không phải ví 'lạnh', còn được gọi là ví phần cứng, nơi tài sản có thể được lưu trữ ngoại tuyến và duy trì ngoại tuyến để giữ an toàn và bảo mật. Sau khi chứng kiến những vụ hack tinh vi như thế này, có thể nói rằng việc lưu trữ tiền điện tử trong ví lạnh cung cấp các giải pháp an toàn hơn nhiều để giữ tiền điện tử.
Vài tuần trước, Ledger đã cảnh báo người dùng cần lưu ý về Chữ ký mù và những nguy hiểm đi kèm với chúng, đồng thời tiếp tục khuyên người dùng nên thận trọng khi duyệt DApps (ứng dụng phi tập trung) và các trang web liên quan khác.
Hai ví nóng chính đang được nhắm mục tiêu có số dư tiền điện tử trị giá hơn 1.5 triệu USD; hầu hết trong số đó đều chứa NFT thuộc bộ sưu tập 'Azukis'. Những NFT phổ biến này ngay lập tức được bán trên OpenSea với giá thấp hơn giá thị trường, dẫn đến việc hacker thu được tiền theo cách nhanh nhất có thể.
May mắn thay, toàn bộ cộng đồng tiền điện tử đã nghe thấy tiếng kêu cứu và hành động được thực hiện một cách vội vàng. Những người ủng hộ đã nhanh chóng mua lại một số Azuki NFT bị đánh cắp từ hacker nằm trong danh sách đen và sẵn lòng trả lại NFT cho Arthur ở mức giá cơ bản thay vì bán lại chúng theo giá trị thị trường hiện tại, cho phép họ kiếm được 7-8+ ETH (trị giá khoảng 24 USD). k USD) để trao đổi. Không phải tất cả các anh hùng mặc áo choàng.
Nhìn chung, hacker đã có thể lấy được 78 NFT khác nhau từ năm bộ sưu tập được biết đến rộng rãi. Và đó không phải là tất cả.
Không chỉ tập trung vào các bộ sưu tập NFT của Azuki và các bộ sưu tập NFT khác, chúng còn đánh cắp 68 ETH được bao bọc (wETH), 4,349 đặt cọc DYDX (stkDYDX) và 1,578 token LookRare (LOOKS), tổng số tiền khổng lồ là 293,281.64 USD tại thời điểm xảy ra cuộc tấn công.
Sau thông báo, chính Arthur đã điều tra sâu về việc khai thác và phát hiện ra rằng hacker chắc chắn đã có được quyền truy cập vào ví của anh ấy bằng cách gửi cho anh ấy cái được gọi là email lừa đảo trực tuyến. Chỉ riêng điều này đã tiết lộ rằng các email nhận được đang đưa ra yêu cầu truy cập đầy đủ vào nội dung Google Docs của Arthur. Thoạt nhìn, những yêu cầu này dường như đến từ hai nguồn “hợp pháp” của anh. Ngay sau khi mở tệp được chia sẻ, hacker đã xâm nhập trái phép vào cụm từ hạt giống của ví nóng của mình. Nói cách khác, mật khẩu chính của ví nóng đã bị xâm phạm ngay lập tức, cấp cho kẻ trộm quyền truy cập vào tất cả các ví tiền điện tử được kết nối với Google Chrome và hút tài sản khó kiếm được ngay trước mặt hắn.
Những vụ hack và khai thác tương tự không có gì mới đối với ngành công nghiệp tiền điện tử. Tuy nhiên, và thật đáng tiếc khi phải nói rằng, những cuộc tấn công này đang trở nên cực kỳ phức tạp và những sự kiện thảm khốc giống hệt nhau có thể xảy ra với ngay cả những người dùng giàu kinh nghiệm nhất. Thảm kịch này là bằng chứng cho thấy bất kỳ ai cũng có thể trở thành nạn nhân của các cuộc tấn công mạng tương tự và không có gì thực sự “an toàn 100%” như một số người có thể tuyên bố.
Là nạn nhân đang hồi phục của cuộc tấn công mạng sau đó đã tweet “không ngờ chuyện này lại xảy ra với mình.”
Cũng không chắc chuyện gì đã xảy ra, cần phải dành thời gian để tìm hiểu. Tôi cũng không ngờ chuyện này lại xảy ra với mình.
Đoán không còn sử dụng ví nóng sau đó.
- Arthur (@ Arthur_0x) 22 Tháng ba, 2022
Sau vụ hack, khuyến nghị của Arthur là luôn đặt vấn đề bảo mật lên hàng đầu. Các ví dụ bao gồm sử dụng trình quản lý mật khẩu đáng tin cậy, cho phép xác thực 2 yếu tố (không phải qua số điện thoại để tránh bẻ khóa thẻ sim và hoán đổi sim) và sử dụng ví lưu trữ lạnh, cụ thể là ví phần cứng Ledger để đảm bảo tiền của bạn luôn SAFU.
Các bài viết Hàng tỷ người khuyên nên cập nhật trình duyệt Chrome - đặc biệt là người dùng tiền điện tử xuất hiện đầu tiên trên Mật mã.
- "
- Xác thực 2 yếu tố
- Giới thiệu
- truy cập
- có được
- mua lại
- hành động
- Tất cả
- Cho phép
- Thông báo
- bất kỳ ai
- các ứng dụng
- xung quanh
- Tài sản
- Xác thực
- được
- Tỷ
- tỷ
- trình duyệt
- Nguyên nhân
- cơ rôm
- trình duyệt chrome
- crom
- Kho lạnh
- sưu tầm
- bộ sưu tập
- Đến
- cộng đồng
- nhầm lẫn
- kết nối
- nội dung
- có thể
- Crypto
- Công nghiệp tiền điện tử
- Ví tiền điện tử
- ví tiền điện tử
- cryptocurrencies
- Current
- Tấn công mạng
- Tấn công mạng
- DApps
- Phân quyền
- Ứng dụng phi tập trung
- khác nhau
- trực tiếp
- phát hiện
- Giao diện
- dydx
- cho phép
- Động cơ
- Kỹ Sư
- đặc biệt
- ETH
- sự kiện
- mọi người
- Sàn giao dịch
- mong đợi
- kinh nghiệm
- Khai thác
- Hình
- Tên
- lỗ hổng
- Forbes
- người sáng lập
- Full
- quỹ
- Tổng Quát
- Liếc nhìn
- tấn
- hack
- của hacker
- hacks
- xảy ra
- phần cứng
- Ví phần cứng
- Ví phần cứng
- cao
- Nhấn mạnh
- tổ chức
- HTTPS
- Va chạm
- Mặt khác
- bao gồm
- ngành công nghiệp
- Internet
- IT
- JavaScript
- Kaspersky
- nổi tiếng
- Ledger
- Có khả năng
- thực hiện
- quản lý
- giám đốc
- cách thức
- Tháng Ba
- thị trường
- triệu
- chi tiết
- hầu hết
- cụ thể là
- NFT
- số
- cung cấp
- Ngoại tuyến
- mở
- OpenSea
- Nền tảng khác
- Mật khẩu
- Phổ biến
- có thể
- giá
- chính
- Lợi nhuận
- dự án
- yêu cầu
- phản ứng
- Tiết lộ
- Nguy cơ
- an toàn
- an toàn
- an ninh
- lỗ hổng bảo mật
- lỗ hổng bảo mật
- hạt giống
- cụm từ hạt giống
- chia sẻ
- SIM
- SIM Card
- tương tự
- Mạng xã hội
- Kỹ thuật xã hội
- bán
- Giải pháp
- một số
- tinh vi
- đặc biệt
- Traineeship
- ăn cắp
- là gắn
- Thông qua
- thời gian
- Tokens
- Cập nhật
- Đô la Mỹ
- Người sử dụng
- giá trị
- dễ bị tổn thương
- W
- ví
- Ví
- trang web
- tuần
- Điều gì
- Là gì
- trong khi
- từ
- giá trị