2023-1-7 16:30 |
Против сервиса для управления паролями LastPass был подан коллективный иск из-за утечки данных платформы в августе прошлого года. Судебное разбирательство начато в окружном суде США в штате Массачусетс 3 января анонимным истцом, известным только как «Джон Доу», и от имени других лиц в аналогичном положении. В иске утверждается, что в результате взлома LastPass были похищены биткоины на сумму около 53 тысяч долларов. При этом клиенты сервиса якобы следовали всем его рекомендациям сразу после новостей о взломе. Рассказываем о происходящем подробнее.
Хранение приватных ключей и других секретных комбинаций, связанных с криптовалютами, должно быть в поле ответственности самого пользователя. То есть в этом вопросе лучше всего полагаться на самого себя, а не доверять данные сторонним площадкам. Иск против LastPass – яркое тому подтверждение.
Вообще важно понимать, что если условная сид-фраза была каким-то образом введена в устройство с интернет-подключением — будь то фотография на iPhone или фиксация комбинации в Заметках — она не может считаться безопасной. Всё же устройства с выходом в онлайн в теории подвергаются взлому и фишингу, что может привести к утрате криптоактивов.
Можно ли решить данную проблему? Да. В идеале для взаимодействия с криптовалютами, токенами и NFT использовать аппаратные кошельки. В случае с уже знакомыми нам устройствами Ledger генерация сид-фразы и извлечение приватных ключей происходит за пределами интернета. А значит хакеры не могут добраться до важной комбинации через интернет.
Где хранить пароль от криптокошелька?По словам истца, он начал покупать BTC в июле 2022 года и обновил свой мастер-пароль до более чем 12 символов с помощью генератора секретных комбинаций, как это рекомендовано сервисом LastPass. Истец собирался оставить приватный ключ в хранилище LastPass, защищённом новой сгенерированной комбинацией. Однако уже в августе 2022 года стало известно о взломе платформы. Сразу после появления новостей истец удалил свои личные данные из хранилища.
Но несмотря на быструю реакцию, предотвратить утечку данных не удалось. Вот цитата из иска по этому поводу, которую приводит Cointelegraph.
В праздник Дня благодарения 2022 года или около того биткоины истца были украдены с помощью приватных ключей, которые он хранил у ответчика. Взлом LastPass не по его вине привёл к краже его криптовалюты и подверг его постоянному риску.
В иске утверждается, что жертвы подверглись повышенному существенному риску будущего мошенничества и неправомерного использования их частной информации, на проявление, обнаружение и выявление которых могут уйти годы. LastPass обвиняется в халатности, нарушении договора, неосновательном обогащении и нарушении фидуциарных обязанностей. Однако сумма, которую требуют в качестве возмещения ущерба, не уточняется.
😈 БОЛЬШЕ ИНТЕРЕСНОГО МОЖНО НАЙТИ У НАС В ЯНДЕКС.ДЗЕНЕ!
Увы, на этом новости об убытках в мире цифровых активов не заканчиваются. В частности, популярные в криптосфере инвесторы уже рапортуют о первых потерях от хакерских атак. Одним из них стал известный представитель NFT-сообщества под ником CryptoNovo. У себя в Твиттере он опубликовал скриншот исходящих транзакций из его аккаунта OpenSea с двумя токенами серии CryptoPunks. Их общая стоимость превышает 300 тысяч долларов.
Токены были тут же проданы хакером за 70 и 199 ETH соответственно. Всего он получил почти 340 тысяч долларов в Эфириуме с этих двух сделок.
У CryptoNovo также было похищено множество других NFT-токенов, включая экземпляры из коллекций Meebits, CloneX, Mutant Ape Yacht Club и Bored Ape Yacht Club. Хотя пострадавший заявил, что атака была «взломом», пользователь Proper в комментариях к его твиту указал, что более вероятной причиной является фишинг.
CryptoNovo, оказывается, сам сделал несколько подписей для неизвестного смарт-контракта. Именно этот контракт впоследствии использовал функцию «transferFrom» на NFT, чтобы перевести их из кошелька известного представителя сообщества. Это означает, что кто-то мог обманом заставить его авторизовать вредоносное децентрализованное приложение для перемещения его токенов.
Отметим, что выходом из данной ситуации также является использование аппаратных кошельков Ledger. Их особенностью является наличие защищённого экрана, который подключён к чипу безопасности и изолирован от интернета. Соответственно, взломать его дистанционно и заставить отображать поддельные данные транзакции невозможно. Поэтому даже если условный взломанный MetaMask на ПК будет скрывать фейковые детали проводимой транзакции, чтобы пользователь самостоятельно отправил свои монеты мошенникам, экран Ledger отобразит непосредственно тот адрес, на который осуществится перевод.
Вдобавок аппаратные кошельки умеют показывать расшифровку разрешений при взаимодействии со смарт-контрактом, которые даёт пользователь. Таким образом последний будет знать, когда контракт скамеров предложит дать больше разрешений, чем требуется для проведения транзакции. А это, в свою очередь, может спасти от подобного обмана.
Мы считаем, что данная ситуация должна стать очевидной рекомендацией не связываться с различными платформами для хранения паролей при взаимодействии с криптовалютами. Сид-фразы и приватные ключи не стоит вводить в устройства с онлайн-подключением, поскольку рано или поздно это может закончиться взломом — причём в том числе централизованной платформы-посредника — и кражей цифровых активов. Ну а вернуть что-либо или получить определённую компенсацию здесь может банально не получиться. Хотя точку конкретно в этом деле так или иначе поставит суд.
Ещё больше интересного ищите в нашем крипточате миллионеров. Там обсудим и другие важные новости из мира блокчейна и децентрализации.
ПОДПИСЫВАЙТЕСЬ НА НАШ КАНАЛ В ТЕЛЕГРАМЕ. ТУТ ЕЩЁ БОЛЬШЕ ИНТЕРЕСНЫХ НОВОСТЕЙ.
Аналог Notcoin - Blum - Играй и зарабатывай Монеты