Ang MetaMask, isang tanyag na pitaka sa Web3, ay nagbabala na ang mga awtomatikong pag-backup ng Apple iCloud ay maaaring isang panganib na kadahilanan na maaaring magpapahintulot sa mga hacker na magnakaw ng mga pondo mula sa mga gumagamit nito.
Pinayuhan ng tagagawa ng wallet software ang mga user na huwag paganahin ang mga naturang pag-backup ng data.
Ang koponan naglalagay sa isang Twitter thread Linggo na maaaring manakaw ang mga pondo ng mga user nito kung pinagana nila ang backup ng MetaMask data sa kanilang mga Apple mobile device. Maaaring mangyari ang naturang kompromiso kung ang isang tao ay nakakuha ng bawal na pag-access sa sensitibong data ng app na na-upload sa iCloud — partikular na sa pamamagitan ng mga pag-atake sa phishing.
“Kung pinagana mo ang iCloud backup para sa data ng app, isasama nito ang iyong MetaMask vault na naka-encrypt ng password. Kung ang iyong password ay hindi sapat na malakas, at may nag-phish sa iyong mga kredensyal sa iCloud, ito ay maaaring mangahulugan ng mga nakaw na pondo, "isinulat ng MetaMask team.
Dumating ang babala ilang araw pagkatapos ng isang gumagamit ng MetaMask na pinangalanang Domenic Iacovone inaangkin na nawalan ng ilang NFT at asset na tinatayang nagkakahalaga ng $655,000 sa kabuuan pagkatapos na may kumuha sa kanilang iCloud account.
Ang lumilitaw na nangyari ay nakuha ng isang hacker ang kontrol sa iCloud account ng Iacovone at ninakaw ang Keystore ng pitaka — isang file na may format na JSON na mayroong naka-encrypt na bersyon ng pribadong key ng pitaka na kailangan upang pahintulutan ang mga transaksyon.
Kapansin-pansin, ang mga mobile device ng Apple ay maaaring awtomatikong mag-upload ng data ng app. Sa proseso ng pag-backup, ang mga file na naglalaman ng mga pribadong key (na nilalayong gamitin lamang sa lokal na device) ay maaaring ma-upload sa mga cloud server ng Apple, kung saan maaaring magkaroon ng access ang mga malisyosong entity sakaling magkaroon ng phishing attack, halimbawa.
Ayon kay Serpent, isang tagapagtatag ng isang crypto-focused security firm na Sentinel, ang may kasalanan ay nagpanggap bilang isang mula sa "Apple Inc" at nagpadala ng mga text message sa Iacovone na humihiling na i-reset ang kanyang password sa Apple ID. Tinawagan ng hacker si Iacovone sa kanyang numero ng telepono at gumamit ng spoofed caller ID.
Sa pagkuha ng code, ang hacker ay binigyan ng kakayahang baguhin ang password ng seguridad, at pagkatapos ay nakakuha ng access sa pribadong key file ng Iacovone. Ito naman, ang nagbukas ng pinto sa kanilang MetMask wallet at ang kakayahang ilipat ang mga apektadong asset.
Iacovone nai-post na ang ilan sa kanyang mga non-fungible token (NFT) ay kinuha sa kaganapan, kabilang ang tatlong NFT mula sa Mutant Ape Yacht Club (28478, 8952 7536) at tatlong Gutter Cats (2280, 2769, 2325). Bilang karagdagan sa mga NFT na ito, sinabi ni Iacovone na inilipat ng hacker ang $100,000 na halaga ng mga token ng APE.
Lumilitaw mula sa kaganapang ito na alinman sa MetaMask o Apple ay walang kasalanan. Naganap ang insidente dahil sa mahinang seguridad sa pagpapatakbo mula sa Iacovone kasama ng isang native na feature sa loob ng mga Apple device, at isa na maaaring i-off ng mga user. Gayunpaman, ang koponan ng MetaMask, pinapayuhan mga tao na huwag paganahin ang mga backup ng iCloud, i-post ang mga detalye ng mga hakbang upang i-off ito.
Sa nakaraan, ang isang serye ng mga insidente ay naka-target sa mga may-ari ng mga high-value na NFT, alinman sa pamamagitan ng email-based na phishing o sa pamamagitan ng pagkalat ng mga link sa phishing na naglalayong sakupin ang mga crypto wallet tulad ng MetaMask. Lamang last month, The Block iniulat na 35 NFT, kabilang ang Bored Apes, ay ninakaw sa pamamagitan ng phishing attacks na kumalat sa pamamagitan ng mga malisyosong link sa social media platform na Twitter.
Ang MetaMask ay hindi tumugon sa isang kahilingan para sa komento sa pamamagitan ng oras ng press.
© 2022 Ang Block Crypto, Inc. Lahat ng Karapatan ay Nakareserba. Ang artikulong ito ay ibinigay para sa mga layuning pang-impormasyon lamang. Hindi ito inaalok o inilaan upang magamit bilang ligal, buwis, pamumuhunan, pinansiyal, o iba pang payo.
Pinagmulan: https://www.theblockcrypto.com/post/142304/metamask-advises-users-to-disable-automatic-icloud-backups-of-its-wallet-data-to-prevent-hacks?utm_source=rss&utm_medium= rss