Avtomatlaşdırılmış istismar Ethereum Virtual Machine (EVM) ilə uyğun olan cüzdanları hədəfləyib və yüzlərlə ünvanın hər birindən 2 000 ABŞ dollarından az vəsaiti mənimsəmişdir, zəncir üzərində analizçi ZachXBT-in sözlərinə görə. Hücumun geniş yayılması, bir neçə şəbəkəni əhatə etməsi açıq olan cüzdanları və səlahiyyətli müqavilə təsdiqlərini axtarmaq üçün mürəkkəb skriptlərin yerləşdirildiyini və bununla sürətli dəyər çıxarılmasına imkan verdiyini göstərir.
İstintaqlar göstərir ki, pozuntu dekabr ayında Trust Wallet brauzer əlavəsinin pozuntusu ilə əlaqəli ola bilər; hücum vektoru kod enjeksiyası vasitəsilə təchizat zənciri hadisəsini əhatə edir və özəl açarları üzə çıxarır.
Təhlükəsizlik tədqiqatçıları son dövrdə baş verən axınları rəsmi MetaMask xəbərdarlıqları kimi təqdim olunan saxta e-poçt phishing kampaniyasına bağlayıblar; bu kampaniya istifadəçiləri zərərli müqavilə icazələrini verməyə yönəldilmişdir.
Təhlükəsizlik üzrə mütəxəssis Vladimir S. vurğuladı ki, hücumçunun ehtimal ki daxili biliklərdən və ya sızdırılmış giriş məlumatlarından istifadə edərək standart təhlükəsizlik yoxlamalarını keçdiyini nəzərə alır. İstifadəçilər təsdiqləmə istəklərini qəbul etdikdən sonra avtomatlaşdırılmış botlar əməliyyatları icra edib sikkələri istismar ünvanına köçürüb. Belə hadisələr self-custody cüzdanlarını hədəfləyən davamlı təhdidləri bir daha göstərir ki, smart müqavilə icazələri mütəmadi audit edilmədikdə və istifadədən sonra ləğv edilmədikdə.
Bir tövsiyə kimi, mütəxəssislər cüzdan sahiblərinə təsdiqlənmiş smart müqavilələrin siyahısını mütəmadi audit etməyi və yüksək dəyərli vəsullar üçün hardware qurğularından və ya multisig həllərindən istifadə etməyi məsləhət görürlər. Revoke.cash və Etherscan-ın icazə yoxlayıcısı kimi platformalar istənməyən icazələri görmək və ləğv etmək üçün alətlər təklif edir. Bu arada Trust Wallet komandası qurbanlara zərərlə kompensasiya vermək və gələcək hadisələrin qarşısını almaq üçün kod sərtləşdirmə tədbirləri və təchizat zənciri təhlükəsizlik protokollarını tətbiq etmək niyyətindədir.
Hücum desentralizasiya və şifrələmə sahəsindəki irəliləyişlərə baxmayaraq insan amilləri və satınalma praktikaları hələ də əsas zəifliklərdir. Təhdid mənzərəsi davam etdikcə ən yaxşı təcrübələrin daha geniş tətbiqinə, o cümlədən on‑chain analizlər ilə anomaliyaların aşkarlanmasına və icazəsiz əməliyyatlar üçün avtomatik xəbərdarlıq sistemlərinin inteqrasiyasına yönəlməsi ehtimal olunur ki, təhlükəsizlik icması pis aktorlara qarşı imkan pəncərəsini azaltmağa çalışır.
Şərhlər (0)