Apple korisnik gubi 650,000 dolara u sekundi jer iCloud hak razotkriva ranjivost MetaMaska

Kao tržište za kriptokutencije i nezamjenjivi tokeni (NFT) raste, postaje sve privlačnija meta za hakere koji smišljaju nove i efikasnije načine da se dočepaju tuđe imovine, iskorištavajući velike ranjivosti na platformama.

U jednom od najnovijih hakerskih incidenata, napadač je uspio ukrasti čitavu kolekciju kriptovaluta i NFT-ova jedne osobe u vrijednosti većoj od 650,000 dolara sa njihovog MetaMaska kripto novčanik, kao prijavljeno od CNET-a 18. aprila.

Nekoliko dana ranije, žrtva, Domenic Iavocone, oglasio se na Twitteru kako bi prenio šta se tačno dogodilo:

Evo kako se to dogodilo, Dobio sam telefonski poziv od Apple-a, bukvalno od Apple-a (na mom ID-u pozivaoca) Nazvao sam ga jer sam sumnjao na prevaru i bio je Apple broj. Pa sam im vjerovao
Tražili su kod koji je poslat na moj telefon i 2 sekunde kasnije moja cijela MetaMask je obrisana
— Domenic Iacovone (@revive_dom) April 14, 2022

Prema Iavoconeu, ukradena imovina uključivala je Ethereum u vrijednosti od 160,000 dolara (ETH), Mutant Ape Yacht Club NFT vrijedan 80,000 dolara, kao i 100,000 dolara u ApeCoinu (APE) i $250,000 u Tetheru (USDT).

Jasno je da su hakeri primenili sofisticiranu phishing tehniku da bi dobili pristup iCloud nalogu žrtve. Međutim, to nije objasnilo kako su dobili pristup njegovom MetaMask novčanik, koji zahtijeva uvodnu frazu od 12 riječi za unos. Iavocone nije imao ovu početnu frazu zapisanu ni u jednom dokumentu pohranjenom na iCloud-u.

Korištenje iCloud sigurnosne kopije da dođete do novčanika

Da pruži objašnjenje, stručnjak za sigurnost je dobio nadimak Zmija rekao da iCloud automatski pohranjuje početnu datoteku fraze novčanika osobe ako se aplikacija MetaMask koristi na iPhoneu. Drugim riječima, dobijanje pristupa nečijem iCloud nalogu će u takvom slučaju automatski odobriti pristup njihovoj osnovnoj datoteci fraze.

Prema Zmija, „to će se dogoditi puno više ljudi“, a ključ za izbjegavanje ovakvih nesretnih događaja je:

“Uvijek koristite hladan novčanik za čuvanje dragocjenosti. Nikad nikome ne dajte verifikacione kodove. Zaštitite svoje podatke, nemojte davati svoj broj telefona ili ličnu e-poštu. Informacije o pozivaocu je lako lažirati. Kompanije poput Applea vas nikada neće zvati.”

Vrijedno je napomenuti da a hladni novčanik, koji se još naziva i hardverski novčanik ili hladno skladište, fizički je uređaj nalik na USB disk koji pohranjuje privatne ključeve i kriptovalutu pojedinca potpuno van mreže, daleko od bilo kakvih napada koji iskorištavaju softver na mreži.

U međuvremenu, MetaMask je na svom Twitter nalogu objavio uputstva kako da onemogući ovu rezervnu kopiju:

Možete onemogućiti iCloud sigurnosne kopije za MetaMask posebno isključivanjem prekidača ovdje:
Postavke > Profil > iCloud > Upravljanje pohranom > Sigurnosne kopije.
2/3
— MetaMask ?? (@MetaMask) April 17, 2022

Smatra se vrućim novčanikom, MetaMask je jedan od najpopularnijih softverskih novčanika za kriptovalute za držanje ERC-20 tokena i interakciju s decentraliziranim aplikacijama (dApps) na Ethereum i Binance Smart Chain (BSC) mreže.

Izvor: https://finbold.com/apple-user-loses-650000-in-seconds-as-icloud-hack-exposes-metamask-vulnerability/