種子短語是比特幣改進協議(BIP) 39 2048 個單詞列表中單詞的隨機組合,是防止未經授權訪問用戶加密資產的主要安全層之一。但是,當您的“智能”手機的預測輸入記住並在您下次嘗試訪問您的數字錢包時提示這些單詞時會發生什麼?
來自德國的33 歲IT 專業人士Andre 最近 張貼 在r/CryptoCurrency subreddit 上發現他的手機能夠在他輸入第一個單詞後立即預測整個恢復助記詞。
作為對Redditor 和加密愛好者的公平警告,Andre 的帖子強調了黑客可以輕鬆地使用該功能來消耗用戶的資金,只需能夠從BIP 39 列表中輸入第一個單詞:
“這使得攻擊變得容易,拿起手機,啟動任何聊天應用程序,開始輸入BIP39 列表中的任何單詞,然後查看手機的建議。”
與Cointelegraph 交談時,在Reddit 上被稱為u/Divinux 的Andre 分享了他的震驚,當他第一次體驗到他的手機字面上猜測12-24 個單詞的種子短語時。 “首先,我驚呆了。 前兩個詞可能是巧合,對吧?”
作為一個精通技術的人,這位德國加密貨幣投資者能夠重現他的手機可以準確預測助記詞的場景。在意識到如果這些信息落入壞人之手可能產生的影響後,“我想我應該告訴人們這件事。 我敢肯定還有其他人也在他們的手機中輸入了種子。”
Andre 的實驗證實,谷歌的GBoard 是最不容易受到攻擊的,因為該軟件無法以正確的順序預測每個單詞。然而,微軟的Swiftkey 鍵盤能夠直接預測種子短語。如果手動打開“自動替換”和“建議文本更正”,三星鍵盤也可以預測單詞。
安德烈最初使用加密貨幣的時間可以追溯到2015 年,當時他暫時失去了興趣,直到他意識到他可以使用比特幣購買商品和服務(比特幣) 和其他加密貨幣。他的投資策略包括購買和抵押BTC 和山寨幣,例如Terra (露娜), 阿爾戈蘭 (算法) 和特所思 (XTZ) 和“然後當/如果他們登月時,美元成本平均到BTC。” IT 專業人員還開發自己的硬幣和代幣作為一種愛好。
根據安德烈的說法,針對可能的黑客攻擊的一項安全措施是將重要的長期資產存儲在硬件錢包中。他對世界各地的Redditors 建議“不是你的鑰匙,也不是你的硬幣,自己做研究,不要FOMO,永遠不要投資超過你願意損失的金額,總是仔細檢查你要發送到的地址,總是發送一個提前少量並在設置中禁用您的PM,”總結道:
“通過清除您的預測類型緩存來做好自己並防止這種情況發生。”
區塊鏈安全公司PeckShield 就針對Web3 生活方式應用STEPN 用戶的大量網絡釣魚網站向加密社區發出警告。
#PeckShieldAlert #網絡釣魚 PeckShield 檢測到 @Stepnofficial 釣魚網站。他們插入虛假的Metamask 瀏覽器擴展程序,從而竊取您的助記詞或提示您連接錢包或“索取”贈品。 @Metamask @Coinbase @WalletConnect @幻影 pic.twitter.com/cmWUcprMAN
— PeckShieldAlert (@PeckShieldAlert) 2022 年4 月25 日
正如Cointelegraph 最近報導的那樣,根據PechShield 的調查結果,黑客插入了一個偽造的MetaMask 瀏覽器插件,他們可以通過該插件從毫無戒心的STEPN 用戶那裡竊取種子短語。
訪問助記詞可確保通過STEPN 儀表板完全控制用戶的加密資金。