画像の説明

公式開示の詳細によると、攻撃者はヒュー・カープ氏のパーソナル・コンピュータの遠隔制御を取得した後、そのコンピュータで使用されているメタマスク・プラグインを改変し、図1のトランザクションに署名するように彼を誘導しました。このトランザクションは最終的に膨大な量のトークンを受信者のアカウント内の攻撃者。

既存の情報に基づいて、CertiK チームは、ヒューがメタマスクを毎日使用していたときに、攻撃者によって改変されたプラグインがこの膨大な量のトークンの転送リクエストを生成し、ヒューがハードウェア ウォレットでトランザクションに署名したのではないかと推測しました。

アプリケーションとしては、ブラウザ プラグインと通常の Web サイトのフロントエンド構成は似ており、すべて HTML と JavasScript で構築されています。ブラウザ プラグインのコードはユーザーのコンピュータに保存されます。

ハッカーがメタマスク プラグインをどのように変更したかについて、CertiK チームは次のような推測を行っています。

1. ハッカーは、Hugh Karp のパーソナル コンピュータを制御した後、リモート デスクトップ経由でブラウザを開き、変更されたメタマスク プラグインを直接インストールしました。

2. ハッカーは、Hugh Karp のパーソナル コンピュータ上でメタマスク プラグインのインストール パスを見つけ、その中のコードを変更し、変更が完了した後、変更されたプラグインをブラウザにロードしました。

3. ハッカーは、ブラウザに組み込まれているコマンド ライン ツールを使用して、ブラウザにインストールされているプラ​​グインを変更します。

公式の詳細には、ヒュー・カープがハードウェアウォレットを使用していたと記載されていますが、それがどのハードウェアウォレットであるかは特定されていませんでした。

Metamask は上記 2 つのハードウェア ウォレットのみをサポートしているため、Trezor または Ledger のいずれかである必要があります。

ハードウェア ウォレットの場合、メタマスクのトランザクションはハードウェア ウォレットで確認され、ハードウェア ウォレットに保存されている秘密キーで署名される必要があります。

現在、上記2つのハードウェアウォレットは、ハードウェア上で取引を確認する際に、ハードウェア画面に送金受付アドレスが表示され、ユーザーの最終確認を行っております。

この攻撃では、ハッカーがハードウェア画面上の取引確認インターフェースに表示されるアドレスを変更することはできないはずであるため、ヒュー・カープ氏は攻撃の際、取引の対象がハッカーのアドレスであることに気付かなかったのではないかと推測されます。ハードウェアウォレットの最終確認。

図 2: Ledger がトランザクションを確認するときの画面表示

安全上のアドバイスhttps://www.youtube.com/watch?v=9_rHPBQdQCw