Кампанія Certik, якая займаецца бяспекай блокчейнаў, скампраметавала свае інструкцыі ў сацыяльных сетках і выкарыстоўвала іх для фішынгавай кампаніі.
Па іроніі лёсу, ручка X для папулярнай кампаніі Certik, якая займаецца бяспекай блокчейнов, была скампраметаваная ў першыя гадзіны пятніцы. Хакер выкарыстаў маркер сацыяльнай сеткі, каб размясціць фішынг-паведамленне, якое накіроўвае карыстальнікаў на шкоднасны сайт.
Паведамленне ўключала паведамленне аб тым, што CertiK выявіў уразлівасць у маршрутызатары Uniswap, і карыстальнікі павінны былі адклікаць доступ.
Аднак нічога не падазравалыя карыстальнікі, якія перайшлі па спасылцы, маглі несвядома падключыць свой кашалёк да смарт-кантракту, які вычэрпвае іх крыптабаланс.
У той час як CertiK з тых часоў аднавіў доступ да раней узламанага ўліковага запісу, гэта стала шокам для супольнасці криптовалют. У ідэале роля кампаніі ў якасці аўдытарскай фірмы па бяспецы блокчейна азначае, што карыстальнікі чакаюць ад яе ўкаранення найлепшых практык аперацыйнай бяспекі.
Акрамя таго, фірма падвергнулася крытыцы ў снежні за размяшчэнне на сваім сайце падробленай спасылкі на Discord сайт. Спасылка таксама накіроўвала наведвальнікаў на праграму ачысткі кашалька крыптарахунку і была выдалена толькі пасля таго, як супольнасць пазначыла шкоднасны адрас.
CertiK тлумачыць прычыну апошняга эксплойта
Праз некалькі гадзін пасля апошняга парушэння бяспекі CertiK падзяліўся абнаўленнем з падрабязным апісаннем прычын інцыдэнту. Па дадзеных кампаніі, эксплойт стаў вынікам атакі сацыяльнай інжынерыі на аднаго з супрацоўнікаў кампаніі.
- Рэклама -
Хакеры выкарыстоўвалі правераны, але скампраметаваны ўліковы запіс X, каб звязацца з Certik і запланаваць сустрэчу. Тым не менш, падключэнне ручкі Twitter CertiK да шкоднаснай спасылкі дало шкодніку доступ кампаніі да ўваходу ў сістэму.
CertiK спатрэбілася сем хвілін, каб выявіць узлом, і яшчэ сем хвілін, каб выдаліць фішынг-паведамленне. Згодна з абнаўленнем, першапачатковае расследаванне таксама завершана, і рызыкі ліквідаваны.
Правераны акаўнт, звязаны з вядомым СМІ, звязаўся з адным з нашых супрацоўнікаў. На жаль, здаецца, што гэты ўліковы запіс быў узламаны, што прывяло да фішынгавай атакі на нашага супрацоўніка.
Мы хутка выявілі парушэнне і за некалькі хвілін выдалілі адпаведныя твіты. Наш… pic.twitter.com/aO7GQjXEz2
— CertiK (@CertiK) Студзень 5, 2024
У любым выпадку, апошняя распрацоўка нагадвае карыстальнікам крыпта аб каштоўнасці прыняцця найлепшых метадаў бяспекі.
Нават самыя аўтарытэтныя фірмы могуць быць скампраметаваныя, і карыстальнікі павінны прызнаць такую магчымасць і прыняць адпаведныя меры для абароны сваіх актываў.
Выконвайце за намі on Twitter і Facebook.
адмова: Гэты кантэнт з'яўляецца інфармацыйным і не павінен разглядацца як фінансавыя парады. Меркаванні, выказаныя ў гэтым артыкуле, могуць уключаць асабістае меркаванне аўтара і не адлюстроўваць меркаванне The Crypto Basic. Чытачам прапануецца правесці дбайнае даследаванне, перш чым прымаць якія-небудзь інвестыцыйныя рашэнні. Crypto Basic не нясе адказнасці за любыя фінансавыя страты.
-Рэклама-
Крыніца: https://thecryptobasic.com/2024/01/05/blockchain-security-firm-certik-suffers-hack-in-ironic-breach/?utm_source=rss&utm_medium=rss&utm_campaign=blockchain-security-firm-certik-suffers -hack-in-ironic-breach