:format(webp)/cloudfront-us-east-1.images.arcpublishing.com/coindesk/I3MAQ7DKDFCMFBAVM2NYZCXMKQ.jpg)
May naiulat na isang masamang bug na nangyayari sa paligid ng mga may hawak ng OG Crypto , kapansin-pansing nakakaapekto sa ONE sa mga pinakamahalagang bahagi ng imprastraktura ng Web3: ang MetaMask wallet. Mahigit sa 5,000 ether ( ETH ) na nagkakahalaga ng humigit-kumulang $10.5 milyon ang ninakaw mula sa mga beterano ng Crypto gamit ang iba't ibang mga wallet na hindi custodial mula noong Disyembre, iniulat ng site ng balita sa crypto-skeptical na Protos , na binanggit ang isang impormal na imbestigasyon na ginawa ng tagapagtatag ng MyCrypto na si Taylor Monahan .
Lumilitaw na ang mga developer sa ConsenSys , ang pribadong blockchain software firm na binuo ng karamihan sa open-source tooling ng Ethereum, kabilang ang MetaMask wallet at Infura application toolkit, ay nag-iimbestiga sa pagsasamantala, na mukhang "sinasadya" na nagta-target sa mga taong dapat malaman ang mga in. at labas ng Crypto self-custody at seguridad.
Ang artikulong ito ay hinango mula sa The Node, ang pang-araw-araw na pag-iipon ng CoinDesk ng mga pinakamahalagang kwento sa blockchain at Crypto news. Maaari kang mag-subscribe upang makuha ang buong newsletter dito .
“Ito ay HINDI isang low-brow phishing site o random scammer. WALA itong nag-rekt kahit isang noob. It ONLY rekts OGs,” isinulat ni Monahan, na nagpunta sa pamamagitan ng “Tay” sa Twitter. Ang pag-atake ay laganap, na nakakaapekto sa mga susi na nilikha sa pagitan ng 2014 at 2022 at hindi bababa sa 11 blockchain, ayon sa paunang pagsisiyasat ni Tay. Natuklasan ng on-chain sleuthing ng Monahan na ang hindi maipaliwanag na kahinaan ay maaaring makaapekto sa "lahat ng mga wallet," kabilang ngunit hindi limitado sa MetaMask.
Binanggit ko ang pagsasamantalang ito na hindi magkalat ng takot, kawalan ng katiyakan at pagdududa – lalo na hindi tungkol sa pinakaginagamit na portal ng Web3 . Sa ngayon, lumalabas na karaniwan o paminsan-minsang gumagamit ng MetaMask, o mga gumagamit ng Crypto sa pangkalahatan, ay T tina-target. Ngunit ito ay isang sandali upang alalahanin ang ilang pinakamahuhusay na kasanayan sa pitaka at suriin ang iyong mga pag-aari. Dahil sa napakalawak na katangian ng pag-atake at ang pedigree ng mga biktima, ang pagbagsak ay maaaring maging matindi.
Ang pinakamahalagang bagay ngayon ay hindi lamang ang paggawa ng pang-araw-araw na mga gumagamit ng Crypto na maging ligtas at secure, ngunit tiyakin na sila talaga. Sa isang email, kinumpirma ng isang kinatawan ng ConsenSys na ang pag-atake ay tila nagta-target sa mga naunang nag-adopt ng ETH o mga taong nagtatrabaho sa industriya – o hindi bababa sa sapat na aktibo upang matawag na "katutubong Crypto ." Dagdag pa, binigyang-diin ng kinatawan na ang pag-atake ay umaabot nang higit pa sa MetaMask, at na ang "on-chain na pag-uugali ng hacker ay labis na nagmumungkahi ng isang pribadong key na kompromiso."
"Ang ipinapakita ng kasalukuyang pagsisiyasat ay tila ang partikular na vector ng pag-atake na ito ay tumuturo sa mga Secret na parirala sa pagbawi ng mga user na ito na nakompromiso sa isang lugar sa ibaba ng linya, malamang dahil sa hindi sinasadyang hindi secure na pag-iimbak ng nasabing parirala," sabi ng pangkat ng seguridad ng MetaMask.
Ang (mga) hindi kilalang umaatake
Gaya ng nabanggit, marami pa ang tungkol sa pag-atake at (mga) attacker ay hindi pa rin alam. Hindi malinaw kung ito ay isang pinagsama-samang pagsisikap ng ilang bihasang hacker o nag-iisang aktor, o kung maraming indibidwal ang nakahanap at nagsasamantala sa parehong mga kahinaan. Iyon ay sinabi, ang katotohanan na ang karamihan sa mga pag-atake ay naganap sa pagitan ng 10:00-13:00 UTC, ayon kay Monahan, ay nagmumungkahi na maaaring ito ay isang solong entity na nakatanggap ng lubos na kompromiso na impormasyon.
Sa kanyang pagsusulat, sinabi ni Monahan na maaaring nakatanggap ang salarin ng cache ng data na tumutulong sa kanya na makakuha ng access sa mga pribadong key o mga parirala sa pagbawi ng wallet ng mga user. Mariin niyang idinagdag na ang isyu ay hindi nauugnay sa pinagbabatayan ng cryptography ng MetaMask at hindi ito isang social-engineering scam, tulad ng sa phishing.
Gayunpaman, may ilang pagkakatulad sa pagsasamantala: Karamihan sa mga pag-atake ay naganap sa katapusan ng linggo, at ang mapagsamantala ay nagpalit ng mga ari-arian sa loob ng wallet ng biktima para sa ether (madalas na nilalampasan ang mga staked na posisyon, mga non-fungible na token at hindi gaanong kilalang mga barya), na pinagsasama-sama ang ETH na iyon. at pagkatapos ay ilipat ito palabas. Kadalasan ang umaatake ay bumalik sa mga oras, araw o linggo pagkatapos ng unang pag-atake upang walisin ang natitirang mga pondo, sabi ni Monahan.
Ang "theft and post-theft on-chain movement ay NAPAKATANGI," sabi ni Monahan, na umaasang buksan ang mga pinto para makilala ang umaatake at mabawi ang mga asset. Idinagdag niya na ang ilang mga pagtatangka sa "pagbawi" ay matagumpay sa ngayon.
Kinumpirma ng ConsenSys ang pag-atake sa email, at sinabi nitong hinihikayat ang mga tao na makipag-ugnayan sa team ng suporta nito "tungkol sa anumang partikular na kaso." Nakuha ng firm ang startup ng Monahan na MyCrypto noong Pebrero 2022, na ipinatupad ang "scam blocklist" ng MyCrypto (aka CryptoScamDB), na ginamit upang protektahan ang mga user ng MetaMask mula sa pagbisita sa mga kilalang URL ng scam noong 2017, ayon sa isang anunsyo noong panahong iyon.
Parehong binibigyang-diin ng Monahan at ConsenSys ang kahalagahan ng mutual collaboration sa panahong iyon, at ang pagbabahagi ng impormasyon at mga mapagkukunan . Sa kasamaang palad, ang komunidad ng Crypto ay may pangit na ugali ng biktima na sinisisi ang mga taong na-hack. "Stop shaming ppl. They are T stupid," Monahan wrote, noting how if your were hacked sharing details publicly can help the distributed, Web3 hive mind find a solution.
"Ang Web3 ay pag-aari ng lahat at dapat nating subukang KEEP ligtas ang bawat isa," sabi ng ConsenSys REP .
Pinakamahusay na kasanayan
Para naman sa pinakamahuhusay na kagawian, isinulat ni Monahan sa lahat ng mga caps: “MANGYARING T KEEP ANG LAHAT NG IYONG MGA ASSET SA ISANG SUSI O Secret NA PARIRALA NG MGA TAON.” Kung iyon ay halos kapaki-pakinabang lamang sa pagbabalik-tanaw, binabalaan din niya ang mga user na hatiin ang kanilang mga asset, gumamit ng hardware wallet at ilipat ang kanilang mga pondo sa mga account na nakakonekta sa internet. Dagdag pa, ibinahagi ng MetaMask ang naka-bullet na listahang ito:
- Huwag kailanman iimbak ang iyong pribadong key o Secret parirala sa pagbawi kahit saan online, palaging isulat ito sa isang lugar at KEEP itong ligtas
- Kumuha at gumamit ng hardware wallet, ngunit tulad ng sa MetaMask, T iimbak ang iyong pribadong key o Secret parirala sa pagbawi kahit saan online (o sa totoo lang, sa anumang device na naka-enable sa internet)
- Kung sakaling umabot ka sa punto kung saan luma na ang iyong wallet na T mo na maalala kung naging 100% ka nang masigasig sa mga susi nito sa lahat ng oras, pagkatapos ay isaalang-alang ang paggawa ng bagong pitaka (na nangangahulugang isang bagong Secret na parirala sa pagbawi, hindi isang bagong account) at paglipat ng iyong mga pondo doon
- Magsagawa ng mga regular na pagsisiyasat at pag-audit sa seguridad para matiyak na handa ka na sa pinakamahuhusay na kagawian sa seguridad at gaya ng nabanggit ni [Monahan], isaalang-alang ang paghati-hatiin ang iyong mga asset sa maraming parirala sa pagbawi, at paggamit ng mga hardware wallet
Habang nabubunyag ang katangian ng pagsasamantala, malamang na lalago lang ang kuwentong ito. Tila, maraming matagal nang gumagamit ng Crypto ang naapektuhan sa loob ng ilang buwan nang walang gaanong salita na nag-filter sa mas malawak na mundo. Hangga't ang Crypto ay patuloy na may halaga, ang mga gumagamit ng wallet ay patuloy na haharap sa gayong mga banta. Isang record na $3.8 bilyon sa Crypto ang ninakaw noong nakaraang taon sa pamamagitan ng mga scam, hack at pagnanakaw, ayon sa pinakabagong accounting ng Chainalysis .
Nag-publish kamakailan ang CoinDesk ng isang listahan ng "Mga Proyektong Panoorin," na nangangahulugang mga protocol at kumpanya na medyo maganda ang pakiramdam namin tungkol sa pagrerekomenda sa mga user. Sumulat ako tungkol sa lalong sikat na Rainbow wallet , na kadalasang kumakalat sa pamamagitan ng salita ng bibig, sa bahagi dahil sa madaling interface at built-in na mga tampok ng seguridad.
Ang Rainbow, tulad ng maraming Crypto wallet, ay naglunsad ng isang serye ng mga security feature upang makatulong na protektahan ang mga wallet kabilang ang mga pop-up na mensahe na nagbababala sa mga user tungkol sa mga kahina-hinalang address na maaaring nakikipag-ugnayan sila, pati na rin ang mga tool sa ID upang pigilan ang mga tao na magpadala ng mga asset sa hindi tama o patay na mga address. Ang mga pangunahing tampok ng seguridad na tulad nito ay dapat na karaniwan sa buong Crypto (upang maging malinaw, ang MetaMask ay kabilang sa mga wallet na may katulad na mga proteksyon).
Ngunit tila ang mga gumagamit ng Crypto at malisyosong aktor ay patuloy na maglalaro ng pusa at daga. Sa bawat teknolohikal na pagsulong na inilabas upang protektahan ang mga hindi alam, malamang na mayroong isang solusyon. At kung tama si Monahan, kahit na ang mga taon ng hands-on na karanasan ay hindi garantiya na ikaw ay ligtas. May mga pinakamahusay na kagawian na dapat Social Media at mga pitfalls na dapat iwasan – ngunit sa puntong ito, ang scamming ay malinaw na endemic sa Crypto.
Saan aalis ang Web3? Hindi tulad ng mga bangko o fintech na app ay immune sa mga hack o scammer – ngunit dapat na mapagkakatiwalaan ng mga user kahit ang mga teknolohiyang “walang pinagkakatiwalaan”.
I-UPDATE (Abril 18, 2023 – 23:30 UTC): Nagdaragdag ng mga komento mula sa ConsenSys sa kabuuan, at isang pangungusap na nagbibigay-diin sa lahat ng mga wallet, hindi lang MetaMask, ay mahina.
