💬 Предупреждение: предсказание текста смартфона угадывает сид-фразу криптоходлера от 2022-05-01

Предупреждение: предсказание текста смартфона угадывает сид-фразу криптоходлера

Исходные фразы, случайная комбинация слов из списка BIP 39, состоящего из 2048 слов, действуют как один из основных уровней защиты от несанкционированного доступа к криптовалютным активам пользователя. Но что произойдет, если функция предиктивного набора текста вашего «умного» телефона запомнит и предложит слова в следующий раз, когда вы попытаетесь получить доступ к своему цифровому кошельку?

Андре, 33-летний ИТ-специалист из Германии, недавно опубликовал в сабреддите r/CryptoCurrency сообщение о том, что его мобильный телефон способен предсказывать всю исходную фразу восстановления, как только он набирает первое слово.

В качестве справедливого предупреждения коллегам Redditors и криптоэнтузиастам в сообщении Андре подчеркивается, с какой легкостью хакеры могут использовать эту функцию, чтобы вывести средства пользователя, просто набрав первое слово из списка BIP 39:

«Это упрощает атаку: возьмите телефон в руки, запустите любое приложение для чата, начните вводить любые слова из списка BIP39 и посмотрите, что предлагает телефон».

В разговоре с Cointelegraph Андре, также известный как u/Divinux на Reddit, поделился своим шоком, когда он впервые увидел, как его телефон буквально угадывает исходную фразу (12–24 слова): «Сначала я был ошеломлен — первые пару слов могли быть совпадение, да?»

Как технически подкованный человек, немецкий криптоинвестор смог воспроизвести сценарий, в котором его мобильный телефон мог точно предсказать исходные фразы. Осознав возможное влияние этой информации, если она попадет не в те руки, «я подумал, что должен рассказать об этом людям; Я уверен, что есть и другие люди, которые тоже ввели сиды в свой телефон».

Эксперименты Андре подтвердили, что GBoard от Google наименее уязвим, поскольку программа не предсказывала каждое слово в правильном порядке. Тем не менее, клавиатура Swiftkey от Microsoft смогла предсказать исходную фразу прямо из коробки. Клавиатура Samsung также может предугадывать слова, если вручную включены функции «Автозамена» и «Предлагать исправления текста».

Первое знакомство Андре с криптовалютами началось в 2015 году, когда он на мгновение потерял к ним интерес, пока не понял, что может покупать товары и услуги, используя биткойны (BTC) и другие криптовалюты. Его инвестиционная стратегия включает в себя покупку и размещение BTC и альткойнов, таких как Terra (LUNA), Algorand (ALGO) и Tezos (XTZ), а также «затем усреднение долларовой стоимости (DCA) в BTC, когда / если они выйдут на луну». ИТ-специалист также занимается разработкой собственных монет и токенов в качестве хобби.

По словам Андре, мерой безопасности от возможных взломов является хранение значительных и долгосрочных активов в аппаратном кошельке. Совет OP для Redditors по всему миру включает в себя: не ваши ключи, не ваши монеты, DYOR, не FOMO, никогда не инвестируйте больше, чем вы готовы потерять, всегда дважды проверяйте адрес, на который вы отправляете, всегда отправляйте небольшой сумму заранее и отключите свои личные сообщения в настройках, заключив:

«Сделай все возможное и предотврати это, очистив кеш предиктивного типа».

По теме: имитаторы STEPN крадут начальные фразы пользователей, предупреждают эксперты по безопасности

Фирма PeckShield, занимающаяся безопасностью блокчейна, предупредила криптосообщество о большом количестве фишинговых веб-сайтов, нацеленных на пользователей приложения STEPN для образа жизни Web3.

#PeckShieldAlert #phishing PeckShield обнаружил множество фишинговых сайтов @Stepnofficial. Они вставляют ложное расширение браузера Metamask, ведущее к краже вашей сид-фразы, или предлагают вам подключить ваши кошельки или раздать «Claim». @Metamask @Coinbase @WalletConnect @фантом pic.twitter.com/cmWUcprMAN — PeckShieldAlert (@PeckShieldAlert) 25 апреля 2022 г.

Как сообщает Cointelegraph, на основе выводов PechShield хакеры вставляют поддельный подключаемый модуль браузера MetaMask, с помощью которого они могут красть исходные фразы у ничего не подозревающих пользователей STEPN.

Доступ к исходной фразе гарантирует полный контроль над криптовалютными средствами пользователя через панель управления STEPN.