22 сакавіка кампанія Google выпусціла паведамленне экстранае абнаўленне бяспекі для свайго браўзера Chrome, паколькі 3.2 мільярда карыстальнікаў патэнцыйна падвяргаліся рызыцы нападу. Гэта абнаўленне вылучыла адну ўразлівасць у бяспецы, якая можа моцна паўплываць на ўсіх, але асабліва на карыстальнікаў крыпта.
На дадзеным этапе пра CVE-2022-1096 вядома не так шмат, акрамя «Блытаніны тыпаў у V8». Гэта адносіцца да механізму JavaScript, які выкарыстоўваецца Chrome. Недахоп у бяспецы ўключае праект Chromium з адкрытым зыходным кодам, і, магчыма, гэта абнаўленне з'яўляецца адказам на паведамленні карыстальнікаў, якія паведамляюць, што іх крыптавыя «гарачыя кашалькі» былі ўзламаныя праз браўзер.
Раней на гэтым тыдні Arthur_0x, заснавальнік DeFinance Capital і вядомы крыпта-кіт абвясціў праз Twitter што яго крыптакашалёк быў узламаны, у выніку чаго ён страціў больш за 1.5 мільёна долараў ЗША ў токенах і NFT.
Высветлена верагодная асноўная прычына эксплойта, гэта мэтанакіраваная атака сацыяльнай інжынерыі. Атрыманы электронны ліст з фішынгам, які сапраўды, здаецца, быў адпраўлены адным з нашых парткоў з зместам, які выглядае як агульны змест галіны.
Верагодна, яны нацэлены на ўсе крыпта-піпы pic.twitter.com/SegYBcoLX2
— Артур ?⛩️?? (@Arthur_0x) Сакавік 22, 2022
Узлом быў накіраваны на тое, што называецца «гарачым» кашальком. Гарачы кашалёк непасрэдна падлучаны да Інтэрнэту, а не «халодны» кашалёк, таксама вядомы як апаратны кашалёк, дзе актывы могуць захоўвацца ў аўтаномным рэжыме і заставацца ў аўтаномным рэжыме для захавання і бяспекі. Убачыўшы такія складаныя ўзломы, можна з упэўненасцю сказаць, што захоўванне крыптавалют у халодных кашальках прапануе значна больш бяспечныя рашэнні для захоўвання крыптавалют.
За некалькі тыдняў да гэтага Лэджэр папярэджваў карыстальнікаў, каб яны былі ў курсе Сляпыя подпісы і звязаныя з імі небяспекі, працягваючы раіць карыстальнікам дзейнічаць з асцярожнасцю пры праглядзе DApps (дэцэнтралізаваных прыкладанняў) і іншых звязаных вэб-сайтаў.
Два асноўныя гарачыя кашалькі, якія былі мішэнню, мелі крыпта-баланс на суму больш за 1.5 мільёна долараў ЗША; большасць з якіх утрымлівала NFT у калекцыі «Azukis». Гэтыя папулярныя NFT былі неадкладна прададзены на OpenSea па цане ніжэйшай за рынкавую, у выніку чаго хакер атрымаў сродкі максімальна хуткім спосабам.
На шчасце, крык пачула ўся крыптасупольнасць, і дзеянні былі прыняты паспешліва. Прыхільнікі хутка набылі некаторыя скрадзеныя Azuki NFT у хакера з чорнага спісу і былі міласэрна гатовыя вярнуць NFT Артуру па базавай цане, а не перапрадаваць іх па іх бягучай рынкавай цане, што дазволіла ім атрымаць прыбытак 7-8+ ETH (коштам каля 24 долараў). тыс. долараў ЗША) у абмен. Не ўсе героі носяць плашчы.
У агульнай складанасці хакер змог атрымаць 78 розных NFT з пяці шырока вядомых калекцый. І гэта не ўсё.
Не толькі засяроджваючыся на прадметах калекцыянавання Азукі і іншых NFT, ім таксама ўдалося скрасці 68 загорнутых ETH (wETH), 4,349 токенаў DYDX (stkDYDX) і 1,578 токенаў LooksRare (LOOKS), што на момант атакі складала каласальныя 293,281.64 XNUMX долараў.
Пасля аб'явы Артур сам глыбока вывучыў эксплойт і выявіў, што хакер, напэўна, атрымаў доступ да яго кашалька, адправіўшы яму тое, што вядома як электронныя лісты з фішынгам. Толькі гэта паказала, што атрыманыя электронныя лісты выдавалі запыты на доступ да поўнага змесціва Google Docs Артура. На першы погляд гэтыя запыты паходзілі з дзвюх яго «законных» крыніц. Адразу пасля адкрыцця агульнага файла хакер атрымаў несанкцыянаваны доступ да пачатковай фразы свайго гарачага кашалька. Іншымі словамі, галоўны пароль да гарачага кашалька быў імгненна ўзламаны, што дазволіла злодзею атрымаць доступ да ўсіх крыптакашалькоў, падлучаных да Google Chrome, і высачыць з цяжкасцю заробленыя актывы прама ў яго на вачах.
Падобныя ўзломы і эксплойты не з'яўляюцца навінкай для крыптаіндустрыі. Аднак, і гэта вельмі шкада сказаць, гэтыя атакі становяцца надзвычай заблытанымі, і ідэнтычныя катастрафічныя падзеі могуць здарыцца нават з самымі вопытнымі карыстальнікамі. Такая дэманстрацыя трагедыі з'яўляецца сведчаннем таго, што кожны можа стаць ахвярай падобных кібератак і нішто ніколі не з'яўляецца «на 100% бяспечным», як могуць сцвярджаць некаторыя.
Як аднаўляецца ахвяра кібератакі пазней напісаў у твітэры «Не чакаў, што гэта здарыцца са мной».
Не ведаю, што здарылася, трэба час, каб разабрацца. Не чакаў, што гэта здарыцца і са мной.
Мяркую, больш не будзе выкарыстання гарачага кашалька.
— Артур ?⛩️?? (@Arthur_0x) Сакавік 22, 2022
Пасля ўзлому Артур рэкамендаваў заўсёды ставіць бяспеку на першае месца. Прыклады ўключаюць у сябе выкарыстанне даверанага мэнэджара пароляў, уключэнне 2-фактарнай аўтэнтыфікацыі (не праз нумары тэлефонаў, каб пазбегнуць узлому сім-карты і замены сім-карты), а таксама прымяненне кашалькоў халоднага захоўвання, а менавіта кашалькоў абсталявання Ledger, каб гарантаваць, што вашы сродкі захоўваюцца SAFU назаўсёды.
Гасцявое паведамленне Фелікса Мора з
Фелікс Мор - фінансавы дырэктар і сузаснавальнік Crypto Fight Club. Акрамя таго, што Фелікс (ён жа MakerOfGloves) узначальвае ўсе распрацоўкі блокчэйнаў і гульняў для Crypto Fight Club, ён працуе ў крыптаграфіі з 2016 года ў якасці сертыфікаванага спецыяліста ў галіне фінтэх з Універсітэта Ганконга, а таксама як сузаснавальнік MohrWolfe. Цяпер ён засяроджаны на пераходзе і забеспячэнні бяспекі ў прастору "гуляй, каб зарабіць" на GameFi праз стварэнне NFT-гульняў і дэцэнтралізаваных лінейак прадуктаў на блокчейне.
Крыніца: https://cryptoslate.com/billions-advised-to-update-chrome-browser-especially-crypto-users/