Начальные фразы, случайная комбинация слов из списка BIP 39 из 2048 слов, выступают в качестве одного из основных уровней защиты от несанкционированного доступа к криптовалютным активам пользователя. Но что происходит, когда система предиктивного ввода вашего «умного» телефона запоминает и предлагает слова в следующий раз, когда вы пытаетесь получить доступ к своему цифровому кошельку?

Андре, 33-летний ИТ-специалист из Германии, недавно опубликовал сообщение в сабреддите r/CryptoCurrency после того, как обнаружил, что его мобильный телефон способен предсказывать всю исходную фразу восстановления, как только он набирает первое слово.

В качестве справедливого предупреждения коллегам Redditors и криптоэнтузиастам пост Андре подчеркнул легкость, с которой хакеры могут использовать эту функцию для слива средств пользователя, просто набрав первое слово из списка BIP 39:

«Это упрощает атаку, возьмите телефон в руки, запустите любое приложение для чата, начните вводить любые слова из списка BIP39 и посмотрите, что предлагает телефон».

В беседе с Cointelegraph Андре, также известный как u/Divinux на Reddit, поделился своим шоком, когда он впервые увидел, как его телефон буквально угадывает сид-фразу (12-24 слова): «Сначала я был ошеломлен — первые пару слов могли быть совпадением, верно. ?"

Будучи технически подкованным человеком, немецкий криптоинвестор смог воспроизвести сценарий, в котором его мобильный телефон мог точно предсказать начальные фразы. Осознав возможное влияние этой информации, если она попадет в чужие руки, «я подумал, что должен рассказать об этом людям; я уверен, что есть и другие, которые также набрали seed в свой телефон».

Эксперименты Андре подтвердили, что GBoard от Google был наименее уязвимым, поскольку программа не предсказывала каждое слово в правильном порядке. Тем не менее, клавиатура Swiftkey от Microsoft смогла предсказать исходную фразу прямо из коробки. Клавиатура Samsung также может предугадывать слова, если «Автоматическая замена» и «Предлагать исправления текста» были включены вручную.

Первое знакомство Андре с криптографией восходит к 2015 году, когда он на мгновение потерял интерес, пока не понял, что может покупать товары и услуги, используя биткойны (BTC) и другие криптовалюты. Его инвестиционная стратегия включает в себя покупку и размещение BTC и альткойнов, таких как Terra (LUNA), Algorand (ALGO) и Tezos (XTZ), а затем «усреднение долларовой стоимости (DCA) в BTC, когда / если они выйдут на луну». IT-специалист также занимается разработкой собственных монет и токенов в качестве хобби.

Мерой безопасности от возможных взломов, по словам Андре, является хранение значительных и долгосрочных активов в аппаратном кошельке. Советы Redditors по всему миру включают в себя: не ваши ключи, не ваши монеты, DYOR, не FOMO, никогда не инвестируйте больше, чем вы готовы потерять, всегда дважды проверяйте адрес, на который вы отправляете, всегда отправляйте небольшой сумму заранее и отключите свои личные сообщения в настройках, заключив:

«Сделайте себе хорошую работу и предотвратите это, очистив кеш предиктивного типа».

Компания PeckShield, занимающаяся безопасностью блокчейна, предупредила криптосообщество о большом количестве фишинговых веб-сайтов, нацеленных на пользователей приложения для жизни Web3 STEPN.

#PeckShieldAlert #phishing PeckShield обнаружил множество фишинговых сайтов @Stepnofficial. Они вставляют ложное расширение браузера Metamask, ведущее к краже вашей сид-фразы, или предлагают вам подключить ваши кошельки или раздать «Claim». @Metamask @Coinbase @WalletConnect @фантом pic.Twitter.com/cmWUcprMAN

— PeckShieldAlert (@PeckShieldAlert) 25 апреля 2022 г.

Как сообщает Cointelegraph, на основе выводов PechShield хакеры вставляют поддельный плагин браузера MetaMask, с помощью которого они могут красть сид-фразы у ничего не подозревающих пользователей STEPN.

Доступ к seed-фразе гарантирует полный контроль над криптовалютными средствами пользователя через панель управления STEPN.

Источник