Начальные фразы, случайная комбинация слов из списка BIP 39, состоящего из 2048 слов, выступают в качестве одного из основных уровней защиты от несанкционированного доступа к криптовалюте пользователя. Но что произойдет, если предиктивный набор текста в вашем «умном» телефоне запомнит и предложит эти слова в следующий раз, когда вы попытаетесь получить доступ к своему цифровому кошельку?
Андре, 33-летний ИТ-специалист из Германии, недавно написал на сабреддите r/CryptoCurrency, обнаружив способность своего мобильного телефона предсказывать всю фразу для восстановления, как только он набрал первое слово. Официальный сайт Freebitcoin.
В качестве справедливого предупреждения для коллег Redditors и крипто-энтузиастов, сообщение Андре подчеркнуло легкость, с которой хакеры могут использовать эту функцию для слива средств пользователя, просто имея возможность набрать первое слово из списка BIP 39:
«Это упрощает атаку: возьмите в руки телефон, запустите любое приложение для чата, начните вводить любые слова из списка BIP39 и посмотрите, что предложит телефон».
В разговоре с Cointelegraph Андре, он же u/Divinux на Reddit, поделился своим шоком, когда впервые столкнулся с тем, что его телефон буквально угадывает начальную фразу (12-24 слова): «Сначала я был ошеломлен — первые пару слов могли быть совпадением, верно?».
Будучи подкованным в технике человеком, немецкий криптоинвестор смог воспроизвести сценарий, в котором его мобильный телефон точно угадывал начальные фразы. Осознав возможное влияние этой информации, если она попадет не в те руки, «я подумал, что должен рассказать об этом людям; я уверен, что есть и другие, кто также вводил семена в свой телефон».
Эксперименты Андре подтвердили, что GBoard от Google был наименее уязвим, поскольку программное обеспечение не предсказывало каждое слово в правильном порядке. Однако клавиатура Swiftkey от Microsoft смогла предсказать фразу с семенами прямо из коробки. Клавиатура Samsung также может предсказывать слова, если «Автозамена» и «Предложить исправления текста» были включены вручную.
Первое знакомство Андре с криптовалютами началось в 2015 году, когда он на мгновение потерял интерес к ним, пока не понял, что может покупать товары и услуги с помощью биткоина (BTC) и других криптовалют. Его инвестиционная стратегия предполагает покупку и ставку на BTC и альткоины, такие как Terra (LUNA), Algorand (ALGO) и Tezos (XTZ), а «затем усреднение стоимости в долларах (DCA) с переходом на BTC, когда/если они поднимутся». ИТ-специалист также занимается разработкой собственных монет и токенов в качестве хобби.
По словам Андре, мерой защиты от возможных взломов является хранение значительных и долгосрочных активов в аппаратном кошельке. Для Redditors по всему миру совет ОП включает в себя — не ваши ключи, не ваши монеты, DYOR, не FOMO, никогда не вкладывайте больше, чем вы готовы потерять, всегда перепроверяйте адрес, на который вы отправляете, всегда отправляйте небольшую сумму заранее, и отключите PMs в Настройках, заключив:
«Сделайте себе доброе дело и предотвратите это, очистив кэш вашего предиктивного типа».
Похожие: Персонажи STEPN крадут начальные фразы пользователей, предупреждают эксперты по безопасности
Компания PeckShield, специализирующаяся на безопасности блокчейна, предупредила криптосообщество о большом количестве фишинговых сайтов, нацеленных на пользователей Web3 lifestyle-приложения STEPN.
#PeckShieldAlert #phishing PeckShield обнаружила бан фишинговых сайтов @Stepnofficial. Они вставляют ложное расширение браузера Metamask, ведущее к краже вашей начальной фразы или предлагают подключить кошельки или «Claim» раздачи. @Metamask @Coinbase @WalletConnect @phantom pic.twitter.com/cmWUcprMAN
— PeckShieldAlert (@PeckShieldAlert) 25 апреля 2022 г.
Как сообщает Cointelegraph, по данным PechShield, хакеры вставляют в браузер поддельный плагин MetaMask, через который они могут красть seed-фразы у ничего не подозревающих пользователей STEPN.
Доступ к seed phrase гарантирует полный контроль над криптовалютными средствами пользователя через приборную панель STEPN.