Uporabnik Apple izgubi 650,000 $ v nekaj sekundah, ko vdor v iCloud razkrije ranljivost MetaMask

Kot trg za cryptocurrencies in nezamenljivi žetoni (NFT) postaja vse bolj privlačna tarča za hekerje, ki oblikujejo nove in učinkovitejše načine za pridobivanje premoženja drugih ljudi in izkoriščajo velike ranljivosti na platformah.

V enem od najnovejših hekerskih incidentov je napadalcu uspelo ukrasti osebo celotno zbirko kriptovalut in NFT v vrednosti več kot 650,000 $ iz njihove MetaMask kripto denarnica, Kot je poročali CNET 18. aprila.

Nekaj dni pred tem je žrtev Domenic Iavocone na Twitterju sporočila, kaj se je točno zgodilo:

Takole se je zgodilo, dobil telefonski klic iz apple, dobesedno iz apple (na moji identifikatorji klicatelja) poklical nazaj, ker sem sumil goljufije in je bila številka jabolka. Zato sem jim verjel
Zahtevali so kodo, ki je bila poslana na moj telefon in 2 sekundi kasneje je bila moja celotna MetaMask izbrisana
— Domenic Iacovone (@revive_dom) April 14, 2022

Po besedah Iavoconeja je ukradeno premoženje vključevalo 160,000 dolarjev ethereuma (ETH), Mutant Ape Yacht Club NFT v vrednosti 80,000 $, pa tudi 100,000 $ v ApeCoin (APE) in 250,000 $ v Tetherju (USDT).

Jasno je, da so hekerji uporabili sofisticirano tehniko lažnega predstavljanja, da bi pridobili dostop do žrtvinega računa iCloud. Vendar to ni pojasnilo, kako so dobili dostop do njegovega MetaMask denarnica, ki zahteva za vnos 12-besedno osnovno besedno zvezo. Iavocone ni imel te osnovne fraze zapisane v nobenem dokumentu, shranjenem v iCloud.

Uporaba varnostne kopije iCloud za dostop do denarnice

Za razlago je strokovnjak za varnost dobil vzdevek Zmaj je dejal da iCloud samodejno shrani datoteko začetne fraze denarnice osebe, če se aplikacija MetaMask uporablja na iPhoneu. Z drugimi besedami, pridobitev dostopa do nečijega računa iCloud bo v takem primeru samodejno omogočila dostop do njihove datoteke s semenskimi frazami.

Glede na Zmaj, "to se bo zgodilo veliko več ljudem" in ključ do izogibanja takšnim nesrečnim dogodkom je:

»Za shranjevanje dragocenosti vedno uporabljajte hladno denarnico. Nikoli nikomur ne dajte potrditvenih kod. Zaščitite svoje podatke, ne izdajajte svoje telefonske številke ali osebne e-pošte. Podatke o kličočih je enostavno ponarediti. Podjetja, kot je Apple, vas nikoli ne bodo poklicala."

Omeniti velja, da a hladna denarnica, imenovana tudi denarnica strojne opreme ali hladilna shramba, je fizična naprava, podobna pogonu USB, ki shranjuje posameznikove zasebne ključe in kriptovaluto popolnoma brez povezave, stran od kakršnih koli napadov, ki izkoriščajo spletno programsko opremo.

Medtem je MetaMask na svojem Twitter računu objavil navodila, kako onemogočiti to varnostno kopijo:

Varnostne kopije iCloud lahko onemogočite posebej za MetaMask tako, da izklopite preklop tukaj:
Nastavitve > Profil > iCloud > Upravljanje pomnilnika > Varnostne kopije.
2/3
— MetaMask ?? (@MetaMask) April 17, 2022

MetaMask, ki velja za vročo denarnico, je ena najbolj priljubljenih programskih denarnic za kriptovalute za shranjevanje žetonov ERC-20 in interakcijo z decentraliziranimi aplikacijami (dApps) v pametni verigi Ethereum in Binance (BSC) omrežja.

Vir: https://finbold.com/apple-user-loses-650000-in-seconds-as-icloud-hack-exposes-metamask-vulnerability/