Тази седмица Тейлър Монахан публикува анализ, в който идентифицира кражби от множество портфейли с криптовалута на 11 различни блокчейна, без да може да определи причината. Какво знаем за тези любопитни хакове
Множество кражби засягат портфейли за криптовалути
Тази седмица основателят и главен изпълнителен директор на MyCrypto Тейлър Монахан публикува своя анализ на веригата, който показва, че от декември миналата година насам еквивалентът на 5000 ETH е бил източен от множество портфейли на 11 различни блокчейна.
Интересното е, че от анализа изглежда трудно да се установят общи черти между жертвите, но са открити много прилики в начина на действие.
Засегнатите портфейли са създадени в периода между 2014 г. и декември миналата година:
Ако четете това, вие сте от типа хора, които могат да бъдат изтощени от това.
Това НЕ е нискобюджетен фишинг сайт или случаен измамник. Той НЕ е рекетирал нито един ноуб. Той рекетира САМО ОГ.
Ако имате всичките си неща под една тайна фраза за възстановяване / частен ключ, моля, безопасно мигрирайте. pic.twitter.com/o50pcBaUWT
– Tay (@tayvano_) 18 април 2023
Все още не е открит експлоатираният недостатък, но е изключен най-лошият сценарий, при който недостатъкът е свързан с криптирането на частни ключове. Всъщност, ако хакерът успее да осъществи такъв експлойт, щетите ще бъдат много по-големи.
Според анализите по-голямата част от тези кражби се извършват между 10:00 и 16:00 ч. UTC за основните активи, докато по-малките суми обикновено се източват между 16:00 и 22:00 ч. UTC. Освен това се твърди, че голяма част от тези кражби се извършват през почивните дни:
На последно място, много кражби изглежда се извършват през уикендаһттр:// Obvs не разполагам с всяка транзакция, но това е странно af. Не знам. Просто е странно.
18 декември = неделя
25 декември = неделя
29 януари = неделя
17-19 февруари = петък-неделя
Апр 15 = събота pic.twitter.com/b4TEAMjmdO– Tay (@tayvano_) Април 18, 2023
Интересен е и фактът, че понякога активите се изпращат от адреса на една жертва на друг, за да се консолидира плячката. Например средствата, откраднати от жертва А, се изпращат на жертва Б, чиито средства и тези на А се изпращат на жертва В.
Освен това нападателят би запазил нещата прости, като често пропуска NFT или отворени позиции във всички протоколи за децентрализирано финансиране (DeFi). Въпреки това има случаи, в които нападателят ще се върне към адрес, който е бил посетен преди това.
Как да се предпазите от такава атака
На теория този вид кражба засяга главно горещи портфейли като MetaMask, xDeFi или Rabby, но е важно да се отбележи, че никой от тях не изглежда да е специално насочен.
Всъщност решаващ ще бъде начинът, по който се съхранява частният ключ на портфейла. Тъй като горещите портфейли съхраняват частния ключ във файл, разположен на машината на потребителя, те са по-лесна мишена. Ако обаче началната фраза на хардуерен портфейл се съхранява в текстов файл на компютъра на потребителя, той е не по-малко уязвим.
Затова като цяло е разумно да се диверсифицират местоположенията на средствата, така че адресите, на които те се намират, да не зависят от една единствена начална фраза. Освен това може да е разумно редовно да се преместват активи на адреси, създадени от нови начални фрази, в случай че последната е компрометирана.
Освен това, въпреки че най-разумният начин на действие е да се използват портфейли с твърд софтуер, seed фразите никога не трябва да се записват на машина с достъп до интернет.
Докато очакваме допълнителна информация за тази вълна на източване на сметки, е препоръчително да ограничите максимално размера на средствата, съхранявани в горещи портфейли, като същевременно ги подновявате на редовни интервали.
