Если Криптo лидеров взламывают, что остается нам?

Сообщается, что среди держателей Криптo OG обнаружен неприятный баг, который в частности затронул ONE из самых важных частей инфраструктуры Web3: кошелек MetaMask. Более 5000 эфира (ETH) на сумму около 10,5 миллионов долларов были украдены у ветеранов Криптo с использованием различных некастодиальных кошельков с декабря, крипто-скептический новостной сайт Протос сообщил, ссылаясь на неофициальное расследование, проведенное основателем MyCryptoТейлор Монахан.

Кажется, чторазработчики в ConsenSys, частная компания по разработке программного обеспечения для блокчейна, которая создала большую часть открытого инструментария Ethereum, включая кошелек MetaMask и набор инструментов для приложений Infura, расследует уязвимость, которая, по всей видимости, «намеренно» нацелена на людей, которые должны знать все тонкости самостоятельного хранения и безопасности Криптo .

Эта статья взята из The Node, ежедневного обзора CoinDesk самых важных историй в сфере блокчейна и новостей Криптo . Вы можете подписаться, чтобы получить полную версию информационный бюллетень здесь.

«Это НЕ низкопробный фишинговый сайт или случайный мошенник. Он НЕ ректировал ни одного новичка. Он ректирует ТОЛЬКО OGs», — написал Монахан, который в Twitter известен как «Tay». Атака широко распространена, затронула ключи, созданные в период с 2014 по 2022 год, и по меньшей мере 11 блокчейнов, согласно предварительному расследованию Tay. Расследование Монахана в цепочке показало, что необъяснимая уязвимость может повлиять на «все кошельки», включая, помимо прочего, MetaMask.

Я упоминаю об этом подвиге не для того, чтобы посеять страх, неуверенность и сомнения – особенно в отношенииСамый популярный портал Web3. На данный момент, похоже, что среднестатистические или случайные пользователи MetaMask или пользователи Криптo в целом T подвергаются атакам. Но сейчас самое время вспомнить несколько лучших практик кошелька и оценить свои активы. Из-за масштабного характера атаки и родословной жертв последствия могут быть серьезными.

Самое важное сейчас — не только заставить обычных пользователей Криптo чувствовать себя в безопасности, но и гарантировать, что они действительно таковыми являются. В электронном письме представитель ConsenSys подтвердил, что атака, по всей видимости, нацелена на ранних последователей ETH или людей, которые работают в этой отрасли — или, по крайней мере, достаточно активны, чтобы называться «Криптo родными». Кроме того, представитель подчеркнул, что атака выходит далеко за рамки MetaMask, и что «поведение хакера в цепочке в значительной степени предполагает компрометацию закрытого ключа».

«Текущие расследования показывают, что, по всей видимости, этот конкретный вектор атаки указывает на то, что Secret фразы восстановления этих пользователей могут быть скомпрометированы где-то в будущем, вероятно, из-за непреднамеренно небезопасного хранения указанной фразы», ​​— заявила команда безопасности MetaMask.

Неизвестный злоумышленник(и)

Как уже упоминалось, многое об атаке и атакующем(их) до сих пор неизвестно. Неясно, является ли это скоординированным усилием нескольких опытных хакеров или одного человека, или же несколько человек обнаружили и используют одни и те же уязвимости. Тем не менее, тот факт, что большинство атак произошло между 10:00 и 13:00 UTC, по словам Монахана, предполагает, что это может быть один субъект, который получил крайне компрометирующую информацию.

В своей статье Монахан заявила, что злоумышленник мог получить кэш данных, который помогает ему или ей получить доступ к закрытым ключам пользователей или фразам восстановления кошелька. Она решительно добавила, что проблема не связана с базовой криптографией MetaMask и не является мошенничеством с использованием социальной инженерии, как в случае с фишингом.

Однако есть несколько общих черт с эксплойтом: большинство атак произошло в выходные дни, и эксплойтант обменял активы в кошельке жертвы на эфир (часто в обходпоставленный на картупозиции,невзаимозаменяемые токены и менее известные монеты), консолидируя этот ETH и затем переводя его. Часто злоумышленник возвращается на часы, дни или недели назад после первоначальной атаки, чтобы забрать оставшиеся средства, сказал Монахан.

«Кража и послекражное движение в цепочке ОЧЕНЬ различны», — сказала Монахан, надеясь открыть двери для идентификации злоумышленника и возврата активов. Она добавила, что несколько попыток «возврата» до сих пор были успешными.

ConsenSys подтвердила факт атаки по электронной почте и заявила, что призывает людей связаться с нейкоманда поддержки«о каком-либо конкретном случае». Фирма приобрела стартап Монахана MyCrypto в феврале 2022 года, внедрив «черный список мошенничества» MyCrypto (он же CryptoScamDB), который использовался для защиты пользователей MetaMask от посещения известных мошеннических URL-адресов в 2017 году, согласно объявлению того времени.

И Monahan, и ConsenSys также подчеркивают важность взаимного сотрудничества в настоящее время и обменаинформация и ресурсы. К сожалению, Криптo имеет отвратительную привычку обвинять жертву в том, что ее взломали. «Хватит стыдить людей. Они T глупые», — написал Монахан, отметив, что если вас взломали, то публичный обмен подробностями может помочь распределенному коллективному разуму Web3 найти решение.

«Web3 принадлежит всем, и мы все должны стараться KEEP безопасность друг друга», — заявил REP ConsenSys.

Лучшие практики

Что касается передовой практики, Монахан написала заглавными буквами: «ПОЖАЛУЙСТА, T KEEP ВСЕ СВОИ АКТИВЫ В ОДНОМ КЛЮЧЕ ИЛИ Secret ФРАЗЕ В ТЕЧЕНИЕ МНОГИХ ЛЕТ». Если это в основном полезно только в ретроспективе, она также предостерегает пользователей от разделения своих активов, использования аппаратного кошелька и переноса своих средств со счетов, подключенных к Интернету. Кроме того, MetaMask поделился этим маркированным списком:

• Никогда не храните свой закрытый ключ или Secret фразу восстановления где-либо в Интернете, всегда записывайте их где-нибудь и KEEP в надежном месте.
• Получите и используйте аппаратный кошелек, но, как и в случае с MetaMask, T храните свой закрытый ключ или Secret фразу восстановления где-либо в сети (или, что реалистично, на любом устройстве с доступом в Интернет)
• Если вы когда-нибудь дойдете до того, что ваш кошелек станет настолько старым, что вы T сможете вспомнить, были ли вы на 100% внимательны с его ключами все время, то рассмотрите возможность создания нового кошелька (что означает новую Secret фразу восстановления, а не новый счет) и перенесите туда свои средства.
• Проводите регулярные проверки безопасности и аудиты, чтобы убедиться, что вы соответствуете лучшим практикам безопасности, и, как упомянул [Монахан], рассмотрите возможность разделения своих активов по нескольким фразам восстановления и использования аппаратных кошельков.

По мере раскрытия сути эксплойта, эта история, скорее всего, станет еще масштабнее. По-видимому, многие давние пользователи Криптo пострадали в течение нескольких месяцев, но об этом не было слышно в мире. Пока Криптo продолжает иметь ценность, пользователи кошельков будут продолжать сталкиваться с такими угрозами. Согласно данным, в прошлом году с помощью мошенничества, взломов и краж было украдено рекордных 3,8 млрд долларов в Криптo. Chainalysis' последняя бухгалтерская отчетность.

CoinDesk недавно опубликовал список «Проекты для наблюдения»то есть протоколы и компании, которые мы считаем относительно хорошими для рекомендации пользователям. Я писал о все более популярномРадужный кошелек, который распространяется в основном «из уст в уста», отчасти из-за своего простого интерфейса и встроенных функций безопасности.

Смотрите также:PayPal сотрудничает с Криптo MetaMask для обеспечения легкой торговли Криптo

Rainbow, как и многие Криптo , внедрил ряд функций безопасности, помогающих защитить кошельки, включая всплывающие сообщения, предупреждающие пользователей о подозрительных адресах, с которыми они могут взаимодействовать, а также инструменты ID , чтобы не дать людям отправлять активы на неправильные или мертвые адреса. Такие базовые функции безопасности должны быть нормой в Криптo (если быть точным, MetaMask входит в число кошельков с аналогичной защитой).

Но также кажется, что пользователи Криптo и злоумышленники будут постоянно играть в кошки-мышки. С каждым технологическим прогрессом, выпущенным для защиты неосведомленных, вероятно, есть обходной путь. И если Монахан прав, даже годы практического опыта не гарантируют, что вы будете в безопасности. Есть лучшие практики, которым нужно Социальные сети , и подводные камни, которых следует избегать, но на данный момент мошенничество явно свойственно Криптo.

Что это оставляет Web3? Банки или финтех-приложения не защищены от взломов или мошенников, но пользователи должны иметь возможность доверять даже «ненадежным» технологиям.

ОБНОВЛЕНИЕ (18 апреля 2023 г. – 23:30 UTC):Добавляет комментарии от ConsenSys и предложение, подчеркивающее, что все кошельки, а не только MetaMask, уязвимы.