種子短語是比特幣改進協議(BIP) 39 2048 個單詞列表中單詞的隨機組合,是防止未經授權訪問用戶加密貨幣資產的主要安全層之一。但是,當你的“智能”手機的預測輸入記住並在你下次嘗試訪問你的數字錢包時提示這些單詞時會發生什麼?
來自德國的33 歲IT 專業人士安德烈最近在r/CryptoCurrency 子版塊上發帖,因為他發現他的手機能夠在輸入第一個單詞後立即預測整個恢復助記詞。
作為對Redditor 和加密貨幣愛好者的公平警告,Andre 的帖子強調了黑客可以輕鬆地使用該功能來消耗用戶的資金,只需能夠從BIP 39 列表中輸入第一個單詞:
“這使得攻擊變得容易,拿起手機,啟動任何聊天應用程序,開始輸入BIP39 列表中的任何單詞,然後查看手機的建議。”
與Cointelegraph 交談時,在Reddit 上被稱為u/Divinux 的Andre 分享了他的震驚,當他第一次體驗到他的手機字面上猜測12-24 個單詞的種子短語時。 “首先,我驚呆了。 前兩個詞可能是巧合,對吧?”
作為一個精通技術的人,這位德國加密貨幣投資者能夠重現他的手機可以準確預測助記詞的場景。在意識到如果這些信息落入壞人之手可能產生的影響後,“我想我應該告訴人們這件事。 我敢肯定還有其他人也在他們的手機中輸入了種子。”
Andre 的實驗證實,谷歌的GBoard 是最不容易受到攻擊的,因為該軟件無法以正確的順序預測每個單詞。然而,微軟的Swiftkey 鍵盤能夠直接預測種子短語。如果手動打開“自動替換”和“建議文本更正”,三星鍵盤也可以預測單詞。
Andre 最初使用加密的時間可以追溯到2015 年,當時他暫時失去了興趣,直到他意識到他可以使用比特幣(BTC) 和其他加密貨幣購買商品和服務。他的投資策略包括購買和質押BTC 和山寨幣,例如Terra (LUNA)、Algorand (ALGO) 和Tezos (XTZ),然後“當/如果它們登月時,美元成本平均化為BTC”。 IT 專業人士還開發自己的硬幣和代幣作為一種愛好。
根據安德烈的說法,針對可能的黑客攻擊的一項安全措施是將重要的長期資產存儲在硬件錢包中。對全世界的Redditors,OP 的建議是“不是你的鑰匙,也不是你的硬幣,做你自己的研究,不要FOMO,永遠不要投資超過你願意失去的東西,總是仔細檢查你要發送到的地址,總是發送一個提前少量並在設置中禁用你的PM,”總結道:
“通過清除你的預測類型緩存來做好自己並防止這種情況發生。”
STEPN 冒充者竊取用戶的助記詞,警告安全專家
區塊鏈安全公司PeckShield 就針對Web3 生活方式應用STEPN 用戶的大量網絡釣魚網站向加密貨幣社區發出警告。
#PeckShieldAlert #phishing PeckShield 檢測到大量@Stepnofficial 網絡釣魚站點。他們插入虛假的Metamask 瀏覽器擴展程序,從而竊取你的助記詞或提示你連接錢包或“索取”贈品。 @Metamask @Coinbase @WalletConnect @phantom pic.twitter.com/cmWUcprMAN
— PeckShieldAlert (@PeckShieldAlert) 2022 年4 月25 日
正如Cointelegraph 最近報導的那樣,根據PechShield 的調查結果,黑客插入了一個偽造的MetaMask 瀏覽器插件,他們可以通過該插件從毫無戒心的STEPN 用戶那裡竊取種子短語。
訪問助記詞可確保通過STEPN 儀表板完全控制用戶的加密資金。
資訊來源:由0x資訊編譯自COINTELEGRAPH。版權歸作者Arijit Sarkar所有,未經許可,不得轉載