Пастаўшчык кашалька для Algorand (ALGO) сетка MyAlgo папярэдзіла сваіх карыстальнікаў здымаць сродкі з любых кашалькоў, створаных з дапамогай пачатковай фразы на фоне працяглага эксплойта, у выніку якога было выкрадзена сродкаў на суму каля 9.2 мільёна долараў.
MyAlgo апублікаваў параду ў твітэры 27 лютага, дадаўшы, што ўсё яшчэ не ведае прычын нядаўняга ўзлому кашалька, і заклікаў «усіх прыняць меры засцярогі, каб абараніць свае актывы».
ВАЖНА: ⚠️Мы настойліва раім усім карыстальнікам здымаць любыя сродкі з кашалькоў Mnemonic, якія захоўваліся ў MyAlgo. Паколькі мы ўсё яшчэ не ведаем асноўнай прычыны нядаўніх узломаў, мы заклікаем усіх прыняць меры засцярогі, каб абараніць свае актывы. Дзякуй за разуменне.
— MyAlgo (@myalgo_) Люты 27, 2023
Раней 27 лютага каманда чирикнул папярэджанне аб «мэтанакіраванай атацы […] супраць групы гучных уліковых запісаў MyAlgo», якая, здавалася б, была праведзена на мінулым тыдні.
Саманазваны «ланцуговы сышчык» ZachXBT у сваім твітары ад 27 лютага адзначыў, што, як мяркуецца, эксплойт скраў больш за 9.2 мільёна долараў, а крыптабіржы ChangeNOW удалося замарозіць сродкі на суму каля 1.5 мільёна долараў.
Я яшчэ не бачыў шмат паведамленняў пра гэта на CT, але падазраецца, што ў выніку гэтай атакі з 9.2 па 19.5 лютага на Algorand было скрадзена больш за 3.5 мільёна долараў (19 мільёна ALGO, 21 мільёна USDC і г.д.).
ChangeNow падзяліўся, што змог замарозіць 1.5 мільёна долараў. https://t.co/BPCXTUD57n pic.twitter.com/A3t7Ss0e83
— ZachXBT (@zachxbt) Люты 28, 2023
Асабліва схільныя эксплойту карыстальнікі, у якіх былі кашалькі з ключом захоўваецца ў інтэрнэт-браўзеры, паведамляе MyAlgo. Мнеманічны кашалёк звычайна выкарыстоўвае ад 12 да 24 слоў для стварэння a закрыты ключ.
Джон Вуд, галоўны тэхналагічны дырэктар органа кіравання сеткамі Algorand Foundation, 27 лютага напісаў у Twitter, што эксплойт закрануў каля 25 акаўнтаў.
1/n Абнаўленне аб эксплойце, які закранае ~25 уліковых запісаў: паводле нашага расследавання, гэта не з'яўляецца вынікам асноўнай праблемы з пратаколам Algorand або SDK.
- Джон Вудс (@JohnAlanWoods) Люты 27, 2023
Ён дадаў, што эксплойт «не з'яўляецца вынікам асноўнай праблемы з пратаколам Algorand» або яго камплектам распрацоўкі праграмнага забеспячэння.
Па тэме: 700,000 XNUMX долараў зліта з пратакола DeFi LaunchZone на аснове BNB Chain
Калектыў распрацоўшчыкаў D13.co, арыентаваны на Algorand, выпусціў a паведамляць 27 лютага, які ліквідаваў некалькі магчымых вектараў эксплойтаў, такіх як уразлівасці шкоднасных праграм або аперацыйнай сістэмы.
У справаздачы вызначана, што «найбольш верагоднымі» сцэнарыямі з'яўляюцца тое, што пачатковыя фразы пацярпелых карыстальнікаў былі скампраметаваны праз сацыяльна спраектаваныя фішынгавыя атакі або вэб-сайт MyAlgo быў скампраметаваны, што прывяло да «мэтанакіраванага выкрадання незашыфраваных закрытых ключоў».
MyAlgo заявіла, што будзе працягваць працаваць з уладамі і правядзе «дбайнае расследаванне, каб вызначыць асноўную прычыну атакі».
Крыніца: https://cointelegraph.com/news/myalgo-users-urged-to-withdraw-as-cause-of-9-2m-hack-remains-unknown