Pagtaas ng Panganib sa mga Crypto Wallet
Ang pinakabagong atake na ito ay sumunod sa mga naunang phishing campaign, kabilang ang mga pekeng sulat na may tatak ng Ledger na ipinadala sa mga customer noong Abril. Ang pinakabagong Pectra upgrade ng Ethereum ay nagpakilala rin ng mapanganib na kahinaan sa pamamagitan ng EIP-7702, na nagpapahintulot sa off-chain na mga pirma na maaaring magbigay-daan sa mga hacker na makuha ang kontrol ng mga wallet nang walang kumpirmasyon ng user. Nagdulot ito ng malaking pagkabahala sa mga mananaliksik sa seguridad na tinawag pa ang banta na kritikal.
Atake sa BNB Chain
Sa BNB Chain, ang Mobius Token (MBU) ay nakaranas ng $2.15 milyong pagkalugi nang ang isang malisyosong smart contract ay sumipsip ng milyon-milyong token at binago ang mga ito sa mga stablecoin. Nakumpirma ng provider ng hardware wallet na Ledger na ang kanilang Discord server ay naging ligtas matapos makompromiso ang account ng isang moderator noong Mayo 11. Ginamit ng attacker ang account na ito upang mag-post ng mga malisyosong link na layuning linlangin ang mga user na ibulgar ang kanilang mga seed phrase ng wallet. Ayon kay Quintin Boatwright na miyembro ng Ledger team, ang paglabag ay mabilis na nalapatan ng solusyon.
“Ang nakompromisong moderator account ay tinanggal, ang malisyosong bot ay nabura, ang scam website ay naiulat, at lahat ng pahintulot ay nirepaso at ni-lock upang maiwasan ang karagdagang pang-aabuso.”
Panganib sa mga User
Gayunpaman, ang ilang miyembro ng komunidad ay nagsabing ang attacker ay maling ginamit ang pribilehiyo ng moderator upang i-ban at i-mute ang mga user na sumusubok na i-report ang paglabag, na maaaring nagdulot ng pagkaantala sa paunang tugon ng Ledger. Ang scam ay may kasamang mensahe na nagsasaad na may bagong natuklasang kahinaan sa mga sistema ng Ledger at hinikayat ang mga user na i-verify ang kanilang seed phrase sa pamamagitan ng pekeng link.
Patuloy na Banta
Habang hindi pa tiyak kung may mga user na naloko sa scam, ang mga screenshot ng mapanlinlang na mensahe ay malawak na kumalat sa social media. Ang pinakabagong pagtatangkang phishing na ito ay sumusunod sa isang nakababahalang trend. Noong Abril, ang mga scammer ay nagpadala ng mga pisikal na sulat sa mga may-ari ng Ledger hardware wallet, na hinihimok silang ilagay ang kanilang mga recovery phrase sa pamamagitan ng mga QR code sa ilalim ng pagkukunwaring isang security check.
Ang mga sulat na ito ay may opisyal na branding at mga sanggunian upang magmukhang lehitimo. Ang ilang mga tatanggap ay nag-isip na ang mga sulat ay konektado sa isang paglabag sa data noong Hulyo 2020, kung saan ang personal na impormasyon ng higit sa 270,000 customer ng Ledger—kabilang ang mga pangalan, numero ng telepono, at mga address—ay na-leak online.
Technical Vulnerabilities
Hindi lamang ang mga user ng Ledger ang dapat mag-ingat. Ang pinakabagong Pectra network upgrade ng Ethereum, na nag-live noong Mayo 7, ay nagpakilala ng mga makapangyarihang bagong tampok na naglalayong pataasin ang scalability at pahusayin ang functionality ng smart account. Gayunpaman, naglaan din ito ng seryosong bagong atake na maaaring payagan ang mga hacker na masiphayo ang mga wallet ng user gamit lamang ang isang off-chain na pirma.
Sa puso ng isyu ay ang EIP-7702, na isang pangunahing bahagi ng upgrade na nagpapahintulot sa mga user na i-delegate ang kontrol ng kanilang externally owned accounts (EOAs) sa isang smart contract sa pamamagitan ng pag-sign ng mensahe — nang hindi kinakailangang magsumite ng on-chain na transaksyon.
Konklusyon
Ang mga developer ng wallet ay dapat mabilis na umangkop sa pamamagitan ng pag-integrate ng signature parsing at mga malinaw na babala para sa mga pagtatangkang delegasyon, dahil ang mga mensahe pinapayagan ng EIP-7702 ay madalas na lumalampas sa mga umiiral na pamantayan tulad ng EIP-191 at EIP-712. Pinayuhan ang mga user na huwag mag-sign ng mga mensahe na hindi nila naiintindihan, lalo na ang mga kinasasangkutan ng mga account nonce o hindi nakikilalang mga format.
