Người dùng Apple mất 650.000 USD sau vài giây vì vụ hack iCloud làm lộ lỗ hổng MetaMask

Người dùng Apple mất 650.000 USD sau vài giây vì vụ hack iCloud làm lộ lỗ hổng MetaMask

Khi thị trường tiền điện tử và mã thông báo không thể thay thế (NFT) ngày càng lớn, nó trở thành mục tiêu ngày càng hấp dẫn đối với các tin tặc, những người nghĩ ra những cách mới và hiệu quả hơn để lấy được tài sản của người khác, khai thác các lỗ hổng chính trong nền tảng.

Trong một trong những sự cố hack gần đây nhất, kẻ tấn công đã quản lý để đánh cắp toàn bộ bộ sưu tập tiền điện tử và NFT của một người trị giá hơn 650.000 đô la, từ ví tiền điện tử MetaMask của họ, theo báo cáo của CNET vào ngày 18 tháng 4.

Vài ngày trước, nạn nhân, Domenic Iavocone, đã lên Twitter để thông báo chính xác những gì đã xảy ra:

Theo Iavocone, các tài sản bị đánh cắp bao gồm Ethereum (ETH) trị giá 160.000 đô la, một Mutant Ape Yacht Club NFT trị giá ước tính 80.000 đô la, cũng như 100.000 đô la trong ApeCoin (APE) và 250.000 đô la Tether (USDT).

Rõ ràng, các tin tặc đã triển khai một kỹ thuật lừa đảo tinh vi để có được quyền truy cập vào tài khoản iCloud của nạn nhân. Tuy nhiên, điều này không giải thích được bằng cách nào họ có được quyền truy cập vào ví MetaMask của anh ấy, ví này yêu cầu một cụm từ hạt giống 12 từ để nhập. Iavocone không có cụm từ hạt giống này được viết ra trong bất kỳ tài liệu nào được lưu trữ trên iCloud.

  Cách mua NFT trên Opensea bằng ví MetaMask

Sử dụng bản sao lưu iCloud để vào ví

Để đưa ra lời giải thích, một chuyên gia bảo mật có biệt danh Serpent nói rằng iCloud sẽ tự động lưu trữ tệp cụm từ hạt giống trong ví của người đó nếu ứng dụng MetaMask được sử dụng trên iPhone. Nói cách khác, giành quyền truy cập vào tài khoản iCloud của ai đó sẽ tự động cấp quyền truy cập vào tệp cụm từ hạt giống của họ trong trường hợp như vậy.

Theo Serpent, “nó sẽ xảy ra với nhiều người hơn nữa” và chìa khóa để tránh những sự việc đáng tiếc như vậy là:

“Hãy luôn sử dụng ví lạnh để đựng những vật dụng có giá trị của bạn. Không bao giờ cung cấp mã xác minh cho bất kỳ ai. Bảo vệ thông tin của bạn, không cung cấp số điện thoại hoặc email cá nhân của bạn. Thông tin người gọi rất dễ bị giả mạo. Những công ty như Apple sẽ không bao giờ gọi cho bạn”.

Cần lưu ý rằng ví lạnh, còn được gọi là ví phần cứng hoặc kho lạnh, là một thiết bị vật lý giống như ổ USB lưu trữ khóa cá nhân và tiền điện tử của một cá nhân hoàn toàn ngoại tuyến, tránh mọi cuộc tấn công khai thác phần mềm trực tuyến.

MetaMask hướng dẫn chi tiết cách tắt sao lưu iCloud

Trong thời gian chờ đợi, MetaMask đã đăng trên tài khoản Twitter của mình hướng dẫn về cách vô hiệu hóa bản sao lưu này:

  Shopify đang phải đối mặt với một vụ kiện từ các chủ sở hữu tiền điện tử về vi phạm dữ liệu Ledger

Được coi là một ví nóng, MetaMask là một trong những ví tiền điện tử phần mềm phổ biến nhất để giữ các mã thông báo ERC-20 và tương tác với các ứng dụng phi tập trung (dApps) trên mạng Ethereum và Binance Smart Chain (BSC).

Theo: finbold

Khuyến cáo: Thông tin trên bài viết này chỉ mang tính tham khảo, không có bất kỳ lời khuyên nào về mua bán, đầu tư. Bạn hãy tự nghiên cứu trước khi thực hiện bất kỳ hình thức đầu tư nào.

Nội dung đề xuất