Из-за неизвестной ошибки в MetaMask пользователи потеряли свыше $10 млн

Что такое MetaMask? Объясняет Forklog
Что такое MetaMask? Объясняет Forklog

Пользователи некастодиального криптокошелька MetaMask потеряли более $10,5 млн из-за неизвестного эксплойта. 

Разработчица MetaMask Тейлор Монахан сообщила, что с декабря 2022 года благодаря ошибке злоумышленник вывел более 5000 ETH и неизвестное количество токенов из 11 различных блокчейнов. 

По словам Монахан, никто из команды не знает, как работает эксплойт, поэтому нельзя определить точный размер ущерба.

Согласно расследованию, злоумышленник нацелен на адреса, которые созданы в период с 2014 по 2022 год. 

Как правило, спустя несколько часов после первого взлома хакер возвращается, чтобы вывести оставшиеся активы, параллельно обменивая токены на Ethereum. Примерно через неделю злоумышленник конвертирует украденные средства в биткоин и отправляет монеты в криптомиксер. 

Монахан также предупредила, что эксплойт не похож на обычный фишинг или мошенничество. Он скорее ориентирован на «криптоветеранов», которые имеют опыт защиты своих цифровых активов.

«Мое наиболее вероятное предположение заключается в том, что кто-то получил жирный набор данных более года назад и начал методично извлекать ключи, когда пользователи просматривают их в своем кошельке. […] Это не связано с криптографией или энтропией, не тратьте свое время», — отметила Монахан. 

В целях безопасности разработчица посоветовала инвесторам распределить средства по разным адресам и приобрести аппаратный кошелек. 

Апдейт:

Монахан выяснила, что эксплойт связан не только с MetaMask. Проблема затронула все кошельки, включая даже аппаратные или сгенерированные для предварительной продажи Ethereum.

По ее словам, нет конкретных критериев, по которым можно отследить хакера. Его жертвы использовали разные операционные системы и приложения, кто-то хранил пароли в облаке, а кто-то нет. Скомпрометированные ключи тоже имели различную длину.

Напомним, в феврале команда MetaMask предупредила о фишинговых атаках с поддельных адресов компании. 

В марте разработчики кошелька исправили ошибку приватности, которая возникала при при взаимодействии с децентрализованными приложениями.

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Discord Instagram
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

*Ежедневная рассылка — краткая сводка наиболее важных новостей предыдущего дня. Чтение занимает не больше двух минут. Выходит в рабочие дни в 06:00 (UTC)
*Еженедельная рассылка — объясняем, кто и как изменил индустрию за неделю. Идеально подходит для тех, кто не успевает за новостным потоком в течение дня. Выходит в пятницу в 16:00 (UTC).

Мы используем файлы cookie для улучшения качества работы.

Пользуясь сайтом, вы соглашаетесь с Политикой приватности.

OK