Redditor Andre nhấn mạnh sự dễ dàng mà tin tặc có thể sử dụng tính năng dự đoán văn bản để rút tiền của người dùng chỉ bằng cách có thể từ đầu tiên ra khỏi danh sách BIP 39.
Cụm từ hạt giống, một sự kết hợp ngẫu nhiên của các từ trong danh sách BIP 39 gồm 2048 từ, hoạt động như một trong những lớp bảo mật chính chống lại việc truy cập trái phép vào các giữ tiền điện tử của người dùng. Nhưng điều gì sẽ xảy ra khi thao tác nhập dự đoán trên điện thoại 'thông minh' của bạn ghi nhớ và gợi ý các từ trong lần tiếp theo bạn cố gắng truy cập vào ví kỹ thuật số của mình?
Andre, một chuyên gia CNTT 33 tuổi đến từ Đức, gần đây đã đăng trên subreddit r / CryptoCurrency sau khi phát hiện ra khả năng dự đoán toàn bộ cụm từ hạt giống khôi phục trên điện thoại di động của anh ấy ngay khi anh ấy gõ từ đầu tiên.
Như một lời cảnh báo công bằng cho các Redditors đồng nghiệp và những người đam mê tiền điện tử, Andre đăng bài nhấn mạnh sự dễ dàng mà tin tặc có thể sử dụng tính năng này để rút tiền của người dùng chỉ bằng cách có thể gõ từ đầu tiên ra khỏi danh sách BIP 39:
Điều này giúp bạn dễ dàng tấn công, sử dụng điện thoại, khởi động bất kỳ ứng dụng trò chuyện nào và bắt đầu nhập bất kỳ từ nào ra khỏi danh sách BIP39 và xem điện thoại gợi ý gì.
Nói chuyện với Cointelegraph, Andre, hay còn gọi là u / Divinux trên Reddit, đã chia sẻ cú sốc của anh ấy khi lần đầu tiên trải nghiệm chiếc điện thoại của anh ấy đoán cụm từ hạt giống (12-24 từ) - Đầu tiên, tôi rất ngạc nhiên - vài từ đầu tiên có thể là một sự trùng hợp , phải không?
Là một cá nhân hiểu biết về công nghệ, nhà đầu tư tiền điện tử người Đức đã có thể tái tạo kịch bản trong đó điện thoại di động của anh ta có thể dự đoán chính xác các cụm từ hạt giống. Sau khi nhận ra tác động có thể có của thông tin này nếu nó đến tay kẻ xấu, tôi nghĩ mình nên nói với mọi người về nó; Tôi chắc rằng có những người khác cũng đã nhập hạt giống vào điện thoại của họ.
Các thử nghiệm của Andre đã xác nhận rằng Google GBoard ít bị tấn công nhất vì phần mềm này không dự đoán mọi từ theo đúng thứ tự. Tuy nhiên, bàn phím Swiftkey của Microsoft đã có thể dự đoán cụm từ hạt giống ngay khi xuất hiện. Bàn phím Samsung cũng có thể dự đoán các từ nếu 'Tự động thay thế' và 'Đề xuất sửa văn bản' được bật theo cách thủ công.
Thời gian ban đầu của Andre với tiền điện tử bắt đầu từ năm 2015, khi anh ấy mất hứng thú trong giây lát cho đến khi nhận ra mình có thể mua hàng hóa và dịch vụ bằng Bitcoin (BTC) và các loại tiền điện tử khác. Chiến lược đầu tư của anh ấy liên quan đến việc mua và đặt BTC và các altcoin như Terra (LUNA), Algorand (ALGO) và Tezos (XTZ) và sau đó tính trung bình theo chi phí đô la (DCA) thành BTC khi / nếu chúng biến mất. Chuyên gia CNTT cũng phát triển tiền xu và Token của riêng mình như một sở thích.
Một biện pháp an toàn chống lại các vụ hack có thể xảy ra, theo Andre, là lưu trữ các giữ lâu dài và đáng kể trong một ví phần cứng. Đối với các Redditors trên toàn thế giới, lời khuyên của OP bao gồm - không phải chìa khóa của bạn, không phải tiền của bạn, DYOR, không FOMO, không bao giờ đầu tư nhiều hơn mức bạn sẵn sàng mất, luôn test kỹ địa chỉ bạn đang gửi, luôn gửi một số tiền nhỏ trước và tắt PM của bạn trong Cài đặt, kết luận:
Hãy tạo cho mình một nền tảng vững chắc và ngăn điều đó xảy ra bằng cách xóa bộ nhớ cache loại dự đoán của bạn.
Công ty bảo mật blockchain PeckShield đã cảnh báo cộng đồng tiền điện tử về một số lượng lớn các trang web lừa đảo nhắm mục tiêu người dùng của ứng dụng phong cách sống Web3 STEPN.
#PeckShieldAlert #phishing PeckShield has detected a bath of @Stepnofficial phishing sites. They insert a false Metamask browser extension leading to stealing your seed phrase or prompt you to connect your wallets or “Claim” giveaway. @Metamask @Coinbase @WalletConnect @phantom pic.twitter.com/cmWUcprMAN
— PeckShieldAlert (@PeckShieldAlert) April 25, 2022
Như Cointelegraph đã báo cáo, dựa trên các phát hiện của PechShield, tin tặc chèn một plugin trình duyệt MetaMask giả mạo mà qua đó chúng có thể lấy cắp các cụm từ hạt giống từ những người dùng STEPN không nghi ngờ.
Quyền truy cập vào cụm từ hạt giống đảm bảo kiểm soát hoàn toàn các quỹ tiền điện tử của người dùng thông qua bảng điều khiển STEPN.
Theo CoinTelegraph
|
Tags: Mật khẩu, Ví di động, Điện thoại thông minh, Google, Android, Samsung, IPhone,