Предупреждение: предсказание текста смартфона угадывает сид-фразу ходлера криптовалюты

Начальные фразы, случайная комбинация слов из списка BIP 39 из 2048 слов, действуют как один из основных уровней защиты от несанкционированного доступа к криптовалютным активам пользователя. Но что происходит, когда система предиктивного ввода вашего «умного» телефона запоминает и предлагает слова в следующий раз, когда вы пытаетесь получить доступ к своему цифровому кошельку?

Андре, 33-летний ИТ-специалист из Германии, недавно опубликовал сообщение в сабреддите r/CryptoCurrency после того, как обнаружил, что его мобильный телефон способен предсказывать всю исходную фразу восстановления, как только он набирает первое слово.

В качестве справедливого предупреждения коллегам Redditors и криптовалютным энтузиастам в сообщении Андре подчеркивается легкость, с которой хакеры могут использовать эту функцию для слива средств пользователя, просто набрав первое слово из списка BIP 39:

«Это упрощает атаку: возьмите телефон в руки, запустите любое приложение для чата, начните вводить любые слова из списка BIP39 и посмотрите, что предлагает телефон».

В беседе с Cointelegraph Андре, также известный как u/Divinux на Reddit, поделился своим шоком, когда впервые увидел, как его телефон буквально угадывает сид-фразу (12-24 слова): «Сначала я был ошеломлен — первые пару слов могли быть совпадением, верно??»

Будучи технически подкованным человеком, немецкий криптовалютный инвестор смог воспроизвести сценарий, в котором его мобильный телефон мог точно предсказать начальные фразы. Осознав возможное влияние этой информации, если она попадет не в те руки, «я подумал, что должен рассказать об этом людям;Я уверен, что есть и другие, которые также ввели семечки в свой телефон».

Эксперименты Андре подтвердили, что GBoard от Google наименее уязвим, поскольку программа не предсказывала каждое слово в правильном порядке. Тем не менее, клавиатура Swiftkey от Microsoft смогла предсказать начальную фразу прямо из коробки. Клавиатура Samsung также может предугадывать слова, если вручную включены «Автозамена» и «Предлагать исправления текста».

Первое знакомство Андре с криптовалютой восходит к 2015 году, когда он на мгновение потерял к ней интерес, пока не понял, что может покупать товары и услуги, используя биткоин (BTC) и другие криптовалюты. Его инвестиционная стратегия включает в себя покупку и размещение BTC и альткойнов, таких как Terra (LUNA), Algorand (ALGO) и Tezos (XTZ), а также «затем усреднение долларовой стоимости (DCA) в BTC, когда/если они выйдут на луну». IT-специалист также занимается разработкой собственных монет и токенов в качестве хобби.

Мерой безопасности от возможных взломов, по словам Андре, является хранение значительных и долгосрочных активов в аппаратном кошельке. Совет OP для Redditors по всему миру включает в себя: не ваши ключи, не ваши монеты, DYOR, не FOMO, никогда не инвестируйте больше, чем вы готовы потерять, всегда дважды проверяйте адрес, на который вы отправляете, всегда отправляйте небольшойсумму заранее и отключите свои личные сообщения в настройках, заключив:

«Сделай все возможное и предотврати это, очистив кеш предиктивного типа».

Связанный: имитаторы STEPN крадут начальные фразы пользователей, предупреждают эксперты по безопасности

Компания PeckShield, занимающаяся безопасностью блокчейна, предупредила криптовалютное сообщество о большом количестве фишинговых веб-сайтов, нацеленных на пользователей приложения для жизни Web3 STEPN.

#PeckShieldAlert #phishing PeckShield обнаружил множество фишинговых сайтов @Stepnofficial. Они вставляют ложное расширение браузера Metamask, ведущее к краже вашей сид-фразы, или предлагают вам подключить ваши кошельки или раздать «Claim».@Metamask @Coinbase @WalletConnect @phantom pic.twitter.com/cmWUcprMAN — PeckShieldAlert (@PeckShieldAlert) 25 апреля 2022 г.

Как сообщает Cointelegraph, на основе выводов PechShield хакеры вставляют поддельный плагин браузера MetaMask, с помощью которого они могут красть начальные фразы у ничего не подозревающих пользователей STEPN.

Доступ к seed-фразе гарантирует полный контроль над криптовалютными средствами пользователя через STEPN Dashboard.