Một hacker đã lấy mất 10 triệu đô la Ethereum và không ai biết cách thức tấn công. Tin tặc này đã nhắm đến những người dùng tiền điện tử có kinh nghiệm từ tháng 12 năm trước, đánh cắp ví của họ và để lại sự bối rối cho các chuyên gia bảo mật.
Theo Taylor Monahan, người sáng lập và là cựu CEO của quản lý ví Ethereum MyCrypto, đã thông báo trên Twitter vào ngày Thứ Ba rằng hơn 5,000 ETH đã bị đánh cắp kể từ tháng 12. Tức là trên 10.4 triệu đô la tiền điện tử với giá hiện tại. Điều đáng lo ngại là nó tác động đến các ví phần cứng của người dùng ưu tiên bảo mật. “Trong 48 giờ qua, tôi đã giải quyết một cuộc thao túng ví lớn”, Monahan viết trên Twitter. “Những người ưu tiên tiền điện tử hơn hầu hết” và “đã được bảo mật một cách hợp lý”, tuy nhiên đã bị hacker tấn công.
Nói cách khác, những người bị đánh cắp tiền không phải là những người mới vào lĩnh vực tiền điện tử và không phải bởi việc bấm vào các liên kết lừa đảo rõ ràng. Cuộc tấn công này phức tạp hơn nhiều và những người có kinh nghiệm mới bị mất tiền. “Không ai biết cách thức tấn công”, Monahan giải thích.
NHÓM BẢO MẬT ĐỨNG SAU VÍ TIỀN ĐIỆN TỬ PHỔ BIẾN METAMASK CHO BIẾT RẰNG “SỰ TẤN CÔNG NÀY CHƯA XÁC ĐỊNH ĐƯỢC LÝ DO”.
“Những cuộc điều tra hiện tại cho thấy rằng có vẻ như vector tấn công cụ thể này đang trỏ vào những cụm từ khôi phục bí mật của người dùng bị tấn công bị tấn công ở đâu đó trong quá trình, có thể do việc lưu trữ không an toàn của cụm từ đó.”
Các khóa riêng tư được sử dụng bởi người dùng tiền điện tử để truy cập vào quỹ tiền được lưu trữ trong ví – có thể là ví số hoặc vật lý – và cho phép xác nhận các giao dịch.
Monahan cũng cho biết rằng cuộc tấn công nhắm vào các quỹ tiền được giữ trên các ví được tạo từ năm 2014-2022. “Phỏng đoán của tôi là ai đó đã có được một lượng lớn dữ liệu từ nhiều năm trước và họ đang tiến hành rút tiền từ các khóa khi họ phân tích chúng từ trước,” Monahan viết trên Twitter. Cô nhấn mạnh rằng đây chỉ là phỏng đoán và chưa ai có thể “xác định nguồn của sự tấn công”.
Lời khuyên tốt nhất của cô là “xin đừng giữ tất cả tài sản của bạn trong một khóa hoặc cụm từ bí mật trong nhiều năm”, cô nói.
Nhóm bảo mật của MetaMask cũng cho biết để bảo vệ quỹ tiền, người dùng không được lưu trữ khóa riêng tư bất cứ nơi nào trên mạng hoặc trên bất kỳ “thiết bị kết nối internet” nào.
Theo nguồn sưu tầm.