Bilang merkado para sa cryptocurrencies at mga di-fungible na token (NFTs) ay lumalaki, nagiging mas kaakit-akit na target ng mga hacker na gumagawa ng mga bago at mas mahusay na paraan upang makuha ang kanilang mga kamay sa mga ari-arian ng ibang tao, na sinasamantala ang mga pangunahing kahinaan sa mga platform.
Sa isa sa mga pinakabagong insidente ng pag-hack, nagawang nakawin ng isang umaatake ang buong koleksyon ng mga cryptocurrencies at NFT ng isang tao na nagkakahalaga ng higit sa $650,000, mula sa kanilang MetaMask crypto walletAng iniulat ng CNET noong Abril 18.
Ilang araw bago, ang biktima, si Domenic Iavocone, ay nagpunta sa Twitter upang ihatid kung ano ang eksaktong nangyari:
Ayon kay Iavocone, kasama sa mga ninakaw na asset ang $160,000 na halaga ng Ethereum (ETH), isang Mutant Ape Yacht Club NFT na nagkakahalaga ng tinatayang $80,000, pati na rin ang $100,000 sa ApeCoin (APE) at $250,000 sa Tether (USDT).
Malinaw, ang mga hacker ay nag-deploy ng isang sopistikadong pamamaraan ng phishing upang makakuha ng access sa iCloud account ng biktima. Gayunpaman, hindi nito ipinaliwanag kung paano sila nakakuha ng access sa kanya MetaMask wallet, na nangangailangan ng 12-salitang seed na parirala upang maipasok. Ang Iavocone ay walang seed na pariralang ito na nakasulat sa anumang dokumentong nakaimbak sa iCloud.
Paggamit ng iCloud backup upang makapunta sa wallet
Para magbigay ng paliwanag, binansagan ng isang security expert Ahas sinabi na awtomatikong iniimbak ng iCloud ang seed phrase file ng wallet ng tao kung ginagamit ang MetaMask app sa iPhone. Sa madaling salita, ang pagkakaroon ng access sa iCloud account ng isang tao ay awtomatikong magbibigay ng access sa kanilang seed phrase file sa ganoong kaso.
Ayon sa Ahas, "ito ay mangyayari sa mas maraming tao" at ang susi sa pag-iwas sa mga hindi magandang pangyayari ay ang:
“Palaging gumamit ng malamig na wallet upang iimbak ang iyong mga mahahalagang bagay. Huwag kailanman magbigay ng mga verification code sa sinuman. Protektahan ang iyong impormasyon, huwag ibigay ang iyong numero ng telepono o ang iyong personal na email. Ang impormasyon ng tumatawag ay madaling madaya. Hindi ka tatawagan ng mga kumpanyang tulad ng Apple."
Ito ay nagkakahalaga ng pansin na a malamig na pitaka, tinatawag ding hardware wallet o cold storage, ay isang pisikal na device na kahawig ng isang USB drive na nag-iimbak ng mga pribadong key at cryptocurrency ng isang indibidwal na ganap na offline, malayo sa anumang mga pag-atake na nagsasamantala sa online na software.
Pansamantala, nai-post ng MetaMask sa Twitter account nito ang mga tagubilin kung paano i-disable ang backup na ito:
Itinuturing na isang mainit na pitaka, ang MetaMask ay isa sa pinakasikat na software cryptocurrency wallet para sa paghawak ng mga token ng ERC-20 at pakikipag-ugnayan sa mga desentralisadong app (dApps) sa Ethereum at Binance Smart Chain (BSC) mga network.
Pinagmulan: https://finbold.com/apple-user-loses-650000-in-seconds-as-icloud-hack-exposes-metamask-vulnerability/