Isang tagapagbigay ng pitaka para sa Algorand (ALGO) network, MyAlgo, ay nagbabala sa mga gumagamit nito na mag-withdraw ng mga pondo mula sa anumang mga wallet na nilikha gamit ang isang seed na parirala sa gitna ng patuloy na pagsasamantala na nakakita ng tinatayang $9.2 milyon na halaga ng mga pondo na ninakaw.
Ang MyAlgo ay nag-tweet ng payo noong Peb. 27, at idinagdag na hindi pa rin nito alam ang sanhi ng kamakailang mga pag-hack ng wallet at hinikayat ang "lahat ng tao na gumawa ng mga hakbang sa pag-iingat upang maprotektahan ang kanilang mga asset."
MAHALAGA: ⚠️Mahigpit naming pinapayuhan ang lahat ng mga user na mag-withdraw ng anumang mga pondo mula sa Mnemonic wallet na nakaimbak sa MyAlgo. Dahil hindi pa rin namin alam ang ugat ng mga kamakailang pag-hack, hinihikayat namin ang lahat na gumawa ng mga hakbang sa pag-iingat upang maprotektahan ang kanilang mga asset. Salamat sa iyong pag-unawa.
— MyAlgo (@myalgo_) Pebrero 27, 2023
Mas maaga noong Pebrero 27, ang koponan tweeted isang babala ng "naka-target na pag-atake [...] na isinagawa laban sa isang pangkat ng mga high-profile na MyAlgo account" na tila ginawa sa nakalipas na linggo.
Ang self-titled na “on-chain sleuth,” ZachXBT, ay nakabalangkas sa isang tweet noong Peb. 27 na pinaghihinalaang ang pagsasamantala ay nakaagaw ng mahigit $9.2 milyon at ang crypto exchange na ChangeNOW ay nakapag-freeze ng humigit-kumulang $1.5 milyon na halaga ng mga pondo.
Wala pa akong nakikitang maraming post tungkol dito sa CT ngunit pinaghihinalaang mahigit $9.2m (19.5M ALGO, 3.5m USDC, atbp) ang ninakaw sa Algorand bilang resulta ng pag-atakeng ito mula Pebrero 19 hanggang ika-21.
Ibinahagi ng ChangeNow na nagawa nilang mag-freeze ng $1.5m. https://t.co/BPCXTUD57n pic.twitter.com/A3t7Ss0e83
— ZachXBT (@zachxbt) Pebrero 28, 2023
Ang partikular na madaling kapitan sa pagsasamantala ay ang mga gumagamit na may mnemonic wallet na may susi nakaimbak sa isang internet browser, ayon sa MyAlgo. Karaniwang gumagamit ang isang mnemonic wallet sa pagitan ng 12 at 24 na salita upang makabuo ng a pribadong key.
Si John Wood, chief technology officer sa networks governance body na Algorand Foundation, ay nagpunta sa Twitter noong Peb. 27, na nagsasabing humigit-kumulang 25 account ang naapektuhan ng pagsasamantala.
1/n Update sa pagsasamantalang nakakaapekto sa ~25 account: mula sa aming pagsisiyasat, hindi ito resulta ng isang pinagbabatayan na isyu sa Algorand protocol o SDK.
— John Woods (@JohnAlanWoods) Pebrero 27, 2023
Idinagdag niya na ang pagsasamantala ay "hindi resulta ng isang pinagbabatayan na isyu sa protocol ng Algorand" o ang software development kit nito.
Nauugnay: $700,000 ang naubos mula sa BNB Chain-based na DeFi protocol LaunchZone
Algorand-focused developer collective D13.co naglabas ng isang ulat noong Peb. 27 na nag-alis ng maraming posibleng pagsasamantalang vector gaya ng malware o mga kahinaan sa operating system.
Tinukoy ng ulat ang "pinaka-malamang" na mga sitwasyon ay ang mga seed phrase ng mga apektadong user ay nakompromiso sa pamamagitan ng socially engineered phishing attacks o ang website ng MyAlgo ay nakompromiso, na humantong sa "targeted exfiltration ng mga hindi naka-encrypt na pribadong key."
Sinabi ng MyAlgo na patuloy itong makikipagtulungan sa mga awtoridad at magsasagawa ng "masusing pagsisiyasat upang matukoy ang ugat ng pag-atake."
Pinagmulan: https://cointelegraph.com/news/myalgo-users-urged-to-withdraw-as-cause-of-9-2m-hack-remains-unknown