ScaleBit, дочерняя компания аудитора безопасности BitsLab, отметила предполагаемую уязвимость, которая потенциально может поставить под угрозу «все хранимые активы» в кошельках Web3 децентрализованной биржи (DEX) Uniswap, сообщил ScaleBit Cointelegraph 13 января.
Предполагаемый «недостаток позволяет злоумышленникам, имеющим физический доступ к устройству, обойти механизмы аутентификации кошелька и напрямую получить мнемоническую фразу, хранящуюся на устройстве», — говорится в заявлении ScaleBit.
Мнемоническая фраза кошелька Web3, также известная как «начальная фраза», представляет собой строку, обычно состоящую из 12–24 случайных слов, которая обеспечивает полный контроль над активами кошелька с любого устройства.
«Любой, у кого есть доступ к разблокированному устройству, может получить мнемоническую фразу кошелька менее чем за три минуты», — сказал ScaleBit, добавив, что «[тревожно] эта версия сохраняется даже в последней версии приложения».
ScaleBit заявила, что пользователям Uniswap Wallet следует избегать предоставления кредитов другим в качестве меры предосторожности, пока уязвимость не будет исправлена.
Представители Uniswap не сразу ответили на запросы о комментариях. Cointelegraph не смог самостоятельно проверить уязвимость.
По теме: Победители и проигравшие 2024 года: год рекордных максимумов, взломов и холдингов
Эксплуатация потерь
В 2024 году потери криптовалюты из-за хакерских атак в сфере кибербезопасности увеличились на 40% по сравнению с прошлым годом и составили примерно 2,3 миллиарда долларов, сообщила Cointelegraph в декабре охранная фирма Cyvers.
По словам Дедди Лавида, соучредителя и генерального директора Cyvers, этот рост отражает рост нарушений контроля доступа, особенно на централизованных биржах (CEX) и хранителях криптовалют. Состоит из мнемонических фраз — распространенный тип нарушения контроля доступа.
Примечательно, что потери от мошенничества, эксплойтов и взломов криптовалют сократились в последние месяцы 2024 года, при этом в декабре была зарегистрирована наименьшая сумма украденных средств, сообщила компания CertiK, занимающаяся безопасностью блокчейн, в сообщении на X от 31 декабря.
CertiK сообщила, что в декабре зафиксированы известные убытки от эксплойтов, взломов и мошенничества на сумму 28,6 млн долларов по сравнению с 63,8 млн долларов в ноябре и 115,8 млн долларов в октябре.
Компания PeckShield, занимающаяся безопасностью блокчейн, поделилась аналогичными данными в сообщении на X от 1 января. В декабре она зафиксировала потери от хакерских атак на сумму 24,7 миллиона долларов, что, по ее словам, на 71% меньше, чем в ноябре.
