Пока большая часть криптовалютного мира каталась на американских горках, популярный криптотрейдер под псевдонимом Twitter notsofast пережил настоящий криптокошмар, поскольку его горячий кошелёк Metamask был взломан из-за бреши в системе безопасности кошелька.
Несмотря на то, что трейдер оперативно отреагировал и потратил на борьбу с атакой двенадцать часов, хакерам всё же удалось украсть более 46 ETH (74000 долларов США), других альткоинов на сумму 34000 долларов и даже его домен notsofast.eth.
Ну что, это треш. Моя metamask взломан. Они даже заполучили мой домен notsofast.eth. Кое-что удалось спасти, так как я занялся укреплением безопасности. Они хранят всё, что есть на этом счёте, как трофей.
Well, shit. My metamask was compromised. They even got my notsofast.eth domain. Managed to rescue some stuff, busy securing things in general.
They're holding everything they got in this account like a trophy☹️https://t.co/x4xmaJd8UX— notsofast (@notsofast) February 21, 2021
Позднее трейдер написал, что не уверен во взломе его личного кошелька, предположив, что проблема могла быть связана с уязвимостью функции MetaMask, заключающейся в хранении приватного ключа кошелька в кеше браузера, который доступен для любой открытой вкладки.
Пострадавший отказался от каких-либо пожертвований и компенсаций от сообщества и призвал всех использовать менеджер паролей и аппаратный кошелёк.
Сообщество может:
Научиться на моей ошибке! И вы сможете сделать надлежащие вызовы. Не ленитесь, как я.
Всё, что вы хотели прислать мне, потратьте на аппаратный кошелёк или менеджер паролей для себя или любимого человека.
The community can:
Learn from my mistake! Get good at opsec with this stuff. Don't get lazy like I did here.
Anything you were thinking of giving me, spend on a hardware wallet or password manager for yourself or a loved one. https://t.co/IsSaYZLmz3
— notsofast (@notsofast) February 21, 2021
Также он подчеркнул важность разделения учётных записей, заявив, что трейдеры должны создавать новые профили браузера для каждого типа используемого кошелька WEB 3.0, и больше ничего не запускать в этих аккаунтах. В идеале нужно использовать отдельный компьютер или устройство, добавил он в отдельном твите.
Разработчик и консультант Уди Вертхаймер прокомментировал произошедшее: «если вы используете расширение для браузера Metamask, вероятно, это самое слабое звено в вашем плане безопасности».
Если вы ДОЛЖНЫ его использовать, купите Chromebook и аппаратный кошелёк и используйте их СТРОГО для Metamask.
По его словам, несмотря на то, что Chromebook ограничивает то, что можно установить на компьютер, он по-прежнему позволяет устанавливать вредоносные плагины для браузера.
При этом Вертхаймер добавил, что даже если вы используете аппаратный кошелёк для работы с Metamask, это всё равно сопряжено с высоким риском из-за того, как он обрабатывает разрешения. Таким образом, лучший способ избежать проблем в будущем – это ограничить количество средств, хранящихся в горячих кошельках, и разделить счета, чтобы ограничить ущерб от атак.
Для большинства людей кажется безопаснее использовать ETH-кошелёк для мобильного телефона, а не комбинацию ноутбука и аппаратного кошелька. Это тоже далеко не идеально, но не так до смешного беспомощно, как расширение для браузера Metamask.