Kaip rinka kriptokursai ir nepakeičiami žetonai (NFT) tampa vis didesnis, tai tampa vis patrauklesniu taikiniu įsilaužėliams, kurie sugalvoja naujus ir efektyvesnius būdus, kaip gauti kitų žmonių turtą, išnaudodami didelius platformų pažeidžiamumus.
Per vieną iš naujausių įsilaužimo incidentų užpuolikas sugebėjo pavogti visą žmogaus kriptovaliutų ir NFT kolekciją, kurios vertė viršija 650,000 XNUMX USD, iš jo MetaMask. kripto piniginė, Kaip pranešė CNET balandžio 18 d.
Prieš kelias dienas auka Domenicas Iavocone socialiniame tinkle „Twitter“ perdavė, kas tiksliai atsitiko:
Pasak Iavocone, pavogtas turtas buvo 160,000 XNUMX USD vertės Ethereum (ETH), Mutant Ape Yacht Club NFT, kurios vertė yra maždaug 80,000 100,000 USD, taip pat XNUMX XNUMX USD ApeCoin (APE) ir 250,000 XNUMX USD „Tether“ (USDT).
Akivaizdu, kad įsilaužėliai panaudojo sudėtingą sukčiavimo techniką, kad gautų prieigą prie aukos „iCloud“ paskyros. Tačiau tai nepaaiškino, kaip jie gavo prieigą prie jo MetaMask piniginė, į kurią įvesti reikia 12 žodžių pradinės frazės. „Iavocone“ šios pradinės frazės nebuvo įrašytos jokiame „iCloud“ saugomame dokumente.
„iCloud“ atsarginės kopijos naudojimas norint pasiekti piniginę
Norėdami pateikti paaiškinimą, saugumo ekspertas pravarde Gyvatė sakė kad „iCloud“ automatiškai išsaugo asmens piniginės pradinės frazės failą, jei „iPhone“ naudojama „MetaMask“ programa. Kitaip tariant, gavus prieigą prie kieno nors „iCloud“ paskyros, tokiu atveju automatiškai bus suteikta prieiga prie pradinės frazės failo.
Pagal Gyvatė, „tai nutiks daug daugiau žmonių“, o norint išvengti tokių nelaimingų įvykių, reikia:
„Visada naudokite šaltą piniginę savo vertybėms laikyti. Niekada niekam neduokite patvirtinimo kodų. Saugokite savo informaciją, neskelbkite savo telefono numerio ar asmeninio el. Skambintojo informaciją lengva suklastoti. Tokios įmonės kaip „Apple“ jums niekada neskambins.
Verta paminėti, kad a šalta piniginė, dar vadinamas aparatūros pinigine arba šaltąja saugykla, yra fizinis įrenginys, panašus į USB diską, kuriame asmens privatūs raktai ir kriptovaliuta saugomi visiškai neprisijungus, atokiau nuo bet kokių internetinės programinės įrangos išpuolių.
Tuo tarpu „MetaMask“ savo „Twitter“ paskyroje paskelbė instrukcijas, kaip išjungti šią atsarginę kopiją:
Laikoma karšta pinigine, MetaMask yra viena iš populiariausių programinės įrangos kriptovaliutų piniginių, skirtų ERC-20 žetonams laikyti ir sąveikauti su decentralizuotomis programėlėmis (dApps) Ethereum ir Binance Smart Chain (BSC) tinklus.
Šaltinis: https://finbold.com/apple-user-loses-650000-in-seconds-as-icloud-hack-exposes-metamask-vulnerability/