編集者注: この記事は以下から引用しましたチェーンニュース ChainNews (ID:chainnewscom)編集者注: この記事は以下から引用しました
チェーンニュース ChainNews (ID:chainnewscom)
チェーンニュース ChainNews (ID:chainnewscom)
、Nexus Mutual 創設者 Hugh Karp 著、Lu Jiangfei 翻訳、許可を得て出版。
時代背景
12 月 14 日月曜日の午前 9 時 40 分 (協定世界時) に、私はだまされて合計 370,000 NXM トークンのトランザクションを承認させられました。この取引は私自身のマイニング報酬金だと思っていましたが、ハッカーに直接送金され、ハッカーは盗んだNXMトークンをビットコインとイーサリアムに換金し、その資金を別のアドレスと取引所に分配したことが判明しました。
私はLedgerに接続されたメタマスクウォレットを使用しており、Nexus Mutualアプリケーションを通じて対話していました。コンピューターはWindowsオペレーティングシステムであり、Ledger上の秘密キーは現在安全であり、Nexus Mutualのスマートコントラクトと資金は影響を受けません。したがって、基本的には以上のことから、今回は単なる個人攻撃であると判断できます。
この標的型攻撃事件に関して、私たちはおそらく次のことを知っています。ここ12 月 11 日金曜日、協定世界時 10 時 20 分ごろ、電子メールを書いていたとき、突然コンピューターの画面が 2 ~ 3 秒間真っ暗になりましたが、すぐに元に戻りました。その時、コンピューターが何かおかしなことをしているのかもしれないと思い、そうしませんでした。あまり注意を払わないでください。
約 1 時間後の 12 月 11 日金曜日の 11:20 UTC 頃、私のディスクが感染し、メタマスク ウォレット拡張機能がハッキングされたバージョンに置き換えられました。詳細については、を参照してください。
ここ
そしてbackground.jsファイル。
実際、私は12月14日月曜日までメタマスクウォレット拡張機能を介して暗号通貨を取引しませんでした。
12月14日月曜日午前9時40分(協定世界時)、私はNexus Mutualアプリにアクセスして、マイニング報酬用のトークンを引き出したいと思いました。いつものように、MetaMask は出金申請の確認メッセージをポップアップ表示しますが、これは驚くべきことではありません。すべての取引で確認メッセージがポップアップ表示され、すべてが正常に見えるからです。しかし、問題は、この確認書に Ledger に送信された不正なトランザクションが含まれていることです。結果として「確認」をクリックしました。
取引はすぐに Ledger に表示され、取引情報を確認して「承認」をクリックしました。実際、このときに「受取人」のアドレスやその他の取引情報を確認すると問題が見つかる可能性がありますが、Ledger は NXM を直接サポートしていないため、デフォルトでは取引情報に受取人やその他の関連情報が含まれていません。情報を読む。
その後、MetaMask から取引が完了したという通知を受け取りましたが、Nexus Mutual アプリはまだ取引の確認を待っていました。その時点で何かが間違っていることに気づき、Etherscan を確認したところ、お金がハッカーのアドレスに送られていることがわかりました。
思い返してみると、私が間違えた箇所は上記の5番目のステップで発生したものであり、もっと慎重に取引するべきでしたし、今回のハッキング事件は完全に私の自己責任であると言えます。ただし、暗号化技術に精通した人でないと、送金の際に情報を注意深く確認するのは難しく、やはり16進数形式の情報は読みにくいという点を指摘しておきたい。私自身、実際にこれらのメッセージの意味を理解するのに十分な技術的知識を持っていますが、それでも間違いを犯すため、一般のユーザーはここで簡単につまづいてしまいます。
また、公式プラットフォームでの取引はリスクが比較的低いと考え、これまでNexus Mutual APPなど信頼できるウェブサイトから仮想通貨報酬トークンを取得していましたが、今回のハッキング事件により、それが信頼できるものであるかどうかが分かりました。サイトは、取引額に関係なく、毎回取引を確認する前に情報を再確認する必要があります。
今後、コミュニティの協力を得てこのハッキングの調査を開始し、資金を追跡する予定です。ご支援に感謝いたします。ここで、私は支援してくれた多くの人々、特にセルゲイ・クンツ、ジュリアン・ブーテロー、ハリー・スニコ、リチャード・チェン、バンテグ、そして現時点では名前を明かすことに抵抗があるその他の人々に感謝したいと思います。
調査結果の概要
これまでの MetaMask のハッキングのほとんどは、ユーザーをだまして悪意のあるコードを含むプログラムの偽バージョンをダウンロードさせ、ユーザーの秘密鍵を盗むものでした。しかし、今回は状況が異なります。私のコンピュータは破損しており、ディスク上の MetaMask アプリケーションは改ざんされていたため、ブラウザ拡張機能に問題があったときに警告メッセージが表示されませんでした。
この悪意のある拡張機能の構成は Coinbene.team から取得されたものであることがわかり、次の図に示すように、このドメイン名からいくつかの IP アドレスを追跡しました。
私のブラウザは開発者モードですが、私は開発者ではないため、これはハッカーによって行われた可能性があります。
ハッカーは被害者が持っている可能性のあるすべてのNXMトークンを取得しなかったため、この攻撃は非常に標的を絞ったものであるようで、ハッカーは私のために事前に準備されたトランザクションペイロードを展開したようです。
0xad6a4ace6dcc21c93ca9dbc8a21c7d3a726c1fb1
0x03e89f2e1ebcea5d94c1b530f638cea3950c2e2b
0x09923e35f19687a524bbca7d42b92b6748534f25
0x0784051d5136a5ccb47ddb3a15243890f5268482
0x0adab45946372c2be1b94eead4b385210a8ebf0b
ビットコイン:
3DZTKLmxo56JXFEeDoKU8C4Xc37ZpNqEZN
Messaging (?) Channel
0x756c4628e57f7e7f8a459ec2752968360cf4d1aa
以下に、最も関連性の高いハッキング アドレスをリストします。
イーサリアム:
ビットコイン:
他に何が分からないのでしょうか?
まず、私のコンピューターがどのように侵害されたのかわかりません。
この 1 週間、私はウイルス対策プロバイダーであるカスペルスキーの専門家と感染したコンピューターについて多くの時間を費やし、完全な診断手順を実行してきましたが、まだ何も解決しておらず、作業はまだ進行中です。
ハッカーは誰ですか?
これまで見てきたことから、このハッカーは非常に強力ですが、攻撃は今後も継続し、より多くの人に影響を与える可能性があることも示しています。このハッカーは非常に才能があり、大規模な技術チームの 1 人または複数のメンバーである可能性が高いと言えます。私たちは、取引活動からアジアのタイムゾーンにいると思われるハッカーと Telegram で短い会話をしました。
調査は現在も進行中であり、何らかの情報が入手可能になった場合は、タイムリーに共有し、公開する予定です。
学んだ教訓
DeFi 業界に精通している一部のユーザーは常に MetaMask を信頼していません。彼らは MetaMask を実行するために「クリーンな」コンピューターさえ使用します。このデバイスはトランザクションに署名するためにのみ使用され、他には何も行いません。
実際、MetaMask は多くのハッカーの標的になっているため、私は正規のソースからプログラムをダウンロードすることには細心の注意を払ってきましたが、それでも私のコンピュータは感染してしまいました。このような問題を回避したい場合は、資金を別の口座に割り当てることで損失を最小限に抑えることができます。また、署名する前に必ずハードウェア ウォレットでトランザクションを確認してください (特にスマート コントラクトを操作する場合は、言うは易く行うは難しです)。
これまでのところ、このハッカーに関するオープンソース情報はありませんが、ハッカーのアドレスは Etherscan で報告されており、これは調査の重要なステップではありますが、やるべきことはまだたくさんあります。
次は何ですか?
ユーザー エクスペリエンスとセキュリティの両方の観点から最良の取引オプションを探しているチームがたくさんあることは承知していますが、コミュニティとして、この点に関しては明らかに長い道のりがあります。別のソリューションをお勧めすることはできませんが、集まった資金の一部を報奨金として寄付し、ユーザー エクスペリエンスとセキュリティの向上をサポートします。
報奨金の詳細については今後発表する予定ですが、これによりより多くの人々が個人のウォレットセキュリティソリューションの開発を促進し、技術の進歩が促進されると信じています。
ハッカーへの公開書簡
