ụm từ hạt giống, một sự kết hợp ngẫu nhiên của các từ trong danh sách 2048 từ BIP 39, hoạt động như một trong những lớp bảo mật chính chống lại truy cập trái phép vào các cổ phiếu mật mã của người dùng. Nhưng điều gì sẽ xảy ra khi đánh máy dự đoán của điện thoại “thông minh” nhớ và gợi ý các từ trong lần tiếp theo bạn cố gắng truy cập vào ví kỹ thuật số của mình?
Andre, một chuyên gia CNTT 33 tuổi đến từ Đức, gần đây đã đăng trên trang r/ Cryptocurrency subreddit sau khi phát hiện ra khả năng của điện thoại di động của mình để dự đoán toàn bộ cụm từ hạt giống phục hồi ngay sau khi anh gõ xuống từ đầu tiên.
As a fair warning to fellow Redditors and crypto enthusiasts, Andre’s post highlighted the ease with which hackers can use the feature to drain a user’s funds just by being able to type the first word out of the BIP 39 list:
“ Điều này giúp bạn dễ dàng tấn công, lấy tay lên điện thoại, khởi động bất kỳ ứng dụng trò chuyện nào và bắt đầu nhập bất kỳ từ nào ra khỏi danh sách BIP39 và xem điện thoại gợi ý gì.”
Phát biểu với Cointelegraph, Andre, hay còn gọi là U/Divinux trên Reddit, chia sẻ cú sốc của mình khi anh lần đầu tiên trải nghiệm điện thoại của mình đoán cụm từ hạt giống (12-24 từ) — “Đầu tiên tôi đã choáng váng – hai từ đầu tiên có thể là một sự trùng hợp ngẫu nhiên, phải không?”
Là một cá nhân hiểu biết về công nghệ, nhà đầu tư mật mã hóa Đức đã có thể tái tạo kịch bản trong đó điện thoại di động của ông có thể dự đoán chính xác các cụm từ hạt giống. Sau khi nhận ra tác động có thể của thông tin này nếu nó đi vào tay kẻ xấu, “Tôi nghĩ rằng tôi nên nói với mọi người về nó; Tôi chắc rằng có những người khác cũng đã gõ hạt giống vào điện thoại của họ.”
Các thí nghiệm của Andre xác nhận rằng gBoard của Google là người dễ bị tổn thương nhất vì phần mềm không dự đoán mọi từ theo đúng thứ tự. Tuy nhiên, bàn phím Swiftkey của Microsoft đã có thể dự đoán cụm từ hạt giống ngay lập tức. Bàn phím Samsung cũng có thể dự đoán các từ nếu ‘Tự động thay thế’ và ‘Đề xuất sửa văn bản’ đã được bật thủ công.
đầu tiên của Andre với tiền điện tử bắt đầu từ năm 2015, khi ông trong giây lát mất hứng thú cho đến khi ông nhận ra ông có thể mua hàng hóa và dịch vụ bằng Bitcoin ( BTC) và các loại tiền điện tử khác. Chiến lược đầu tư của ông liên quan đến việc mua và đặt cược BTC và altcoins như Terra ( LUNA), Algorand (ALGO) và Tezos ( XTZ) và” sau đó đô la chi phí trung bình (DCA) ra vào BTC khi/nếu họ trăng.” Chuyên gia CNTT cũng phát triển tiền xu và thẻ của riêng mình như một sở thích.
Một biện pháp an toàn chống lại các hack có thể xảy ra, theo Andre, là để lưu trữ các cổ phiếu đáng kể và dài hạn trong một ví phần cứng. Để Redditors trên toàn thế giới, lời khuyên của OP bao gồm – không phải chìa khóa của bạn, không phải tiền xu của bạn, DYOR, không FOMO, không bao giờ đầu tư nhiều hơn bạn sẵn sàng để mất, luôn kiểm tra lại địa chỉ bạn đang gửi đến, luôn luôn gửi một số tiền nhỏ trước, và vô hiệu hóa PMs của bạn trong Cài đặt, kết luận:
“ Làm cho mình một rắn và ngăn chặn điều đó xảy ra bằng cách xóa bộ nhớ cache loại dự đoán của bạn.”
Liên quan: Những kẻ mạo danh STEPN ăn cắp cụm từ hạt giống của người dùng, cảnh báo các chuyên gia bảo mật
Công ty bảo mật Blockchain PeckShield đã cảnh báo cộng đồng crypto về một số lượng lớn các trang web lừa đảo nhắm vào người dùng ứng dụng lối sống Web3 STEPN.
#PeckShieldAlert #phishing PeckShield đã phát hiện ra một bồn tắm @Stepnofficial trang web lừa đảo. Họ chèn một phần mở rộng trình duyệt Metamask giả dẫn đến ăn cắp cụm từ hạt giống của bạn hoặc nhắc bạn kết nối ví của bạn hoặc “Yêu cầu” giveaway. @Metamask @Coinbase @WalletConnect @phantom Pic.twitter.com/cmwucprman
— PeckShieldAlert (@PeckShieldAlert) Tháng tư 25, 2022
Như Cointelegraph báo cáo, dựa trên những phát hiện của PechShield, tin tặc chèn một plugin trình duyệt MetaMask giả mạo qua đó họ có thể ăn cắp cụm từ hạt giống từ những người dùng STEPN không nghi ngờ.
Access to seed phrase guarantees complete control over the user’s crypto funds via the STEPN dashboard.
