Kā tirgus par kriptokultūras un neaizvietojamie žetoni (NFT) kļūst arvien lielāks, tas kļūst par arvien pievilcīgāku mērķi hakeriem, kuri izstrādā jaunus un efektīvākus veidus, kā iegūt rokās citu cilvēku īpašumus, izmantojot platformu galvenās ievainojamības.
Vienā no pēdējiem uzlaušanas gadījumiem uzbrucējam no viņa MetaMask izdevās nozagt visu cilvēka kriptovalūtu un NFT kolekciju vairāk nekā 650,000 XNUMX USD vērtībā. kriptonauda maku, Kā ziņots CNET 18. aprīlī.
Dažas dienas iepriekš upuris Domeniks Iavokones sociālajā tīklā Twitter paziņoja, kas tieši noticis:
Saskaņā ar Iavocone teikto, nozagtajos īpašumos bija Ethereum 160,000 XNUMX USD vērtībā (ETH), Mutant Ape Yacht Club NFT, kuras vērtība tiek lēsta 80,000 100,000 USD, kā arī XNUMX XNUMX USD ApeCoin (APE) un 250,000 XNUMX USD pakalpojumā Tether (USDT).
Skaidrs, ka hakeri izmantoja sarežģītu pikšķerēšanas paņēmienu, lai piekļūtu upura iCloud kontam. Tomēr tas nepaskaidroja, kā viņi ieguva piekļuvi viņa MetaMask maku, kura ievadīšanai nepieciešama 12 vārdu sākuma frāze. Iavocone nebija pierakstīta šī sākuma frāze nevienā dokumentā, kas saglabāts pakalpojumā iCloud.
Izmantojot iCloud dublējumu, lai piekļūtu makam
Lai sniegtu paskaidrojumu, drošības eksperts iesaukās Čūskas teica ka iCloud automātiski saglabā personas maka sākuma frāzes failu, ja iPhone tālrunī tiek izmantota lietotne MetaMask. Citiem vārdiem sakot, iegūstot piekļuvi kādas personas iCloud kontam, šādā gadījumā tiks automātiski piešķirta piekļuve viņa sākuma frāzes failam.
Saskaņā ar Čūskas, “tas notiks ar daudz vairāk cilvēku”, un galvenais, lai izvairītos no šādiem neveiksmīgiem notikumiem, ir:
“Vērtslietu glabāšanai vienmēr izmantojiet aukstu maku. Nekad nevienam neizsniedziet verifikācijas kodus. Aizsargājiet savu informāciju, neizpaudiet savu tālruņa numuru vai personīgo e-pastu. Zvanītāja informāciju ir viegli maldināt. Tādi uzņēmumi kā Apple jums nekad nepiezvanīs.
Ir vērts atzīmēt, ka a auksts maks, ko dēvē arī par aparatūras maku vai aukstuma krātuvi, ir fiziska ierīce, kas atgādina USB disku, kurā tiek glabātas personas privātās atslēgas un kriptovalūta pilnīgi bezsaistē, prom no uzbrukumiem, kuros tiek izmantota tiešsaistes programmatūra.
Tikmēr MetaMask savā Twitter kontā ir ievietojis instrukcijas, kā atspējot šo dublējumu:
Tiek uzskatīts par karstu maku, MetaMask ir viens no populārākajiem programmatūras kriptovalūtas makiem ERC-20 marķieru glabāšanai un mijiedarbībai ar decentralizētām lietotnēm (dApps) Ethereum un Binance Smart Chain (BSC) tīkli.
Avots: https://finbold.com/apple-user-loses-650000-in-seconds-as-icloud-hack-exposes-metamask-vulnerability/