CEO DeFi-проекта Nexus Mutual Хью Карп, потерявший на прошлой неделе $8 млн в результате хакерской атаки, поделился первичными результатами расследования происшествия и выводами.
Карп заявляет, что использовал аппаратный кошелек Ledger, который был подключен к приложению Nexus Mutual через расширение MetaMask на компьютере под управлением операционной системы Windows.
По его словам, во время написания электронного письма 11 декабря экран его компьютера отключился на 2-3 секунды. Он не придал этому значения, однако, как выяснилось позднее, час спустя злоумышленник подменил расширение MetaMask с диска при помощи инфицированной версии.
До 14 декабря Карт не проводил никаких транзакций, пока у него не возникла необходимость получить награду за майнинг в Nexus Mutual. MetaMask отобразил стандартное всплывающее сообщение с запросом на подтверждение. Поскольку транзакция была рутинной, Карп не стал проверять адрес назначения на дисплее кошелька Ledger, а просто подтвердил ее, допустив на данном этапе свою главную ошибку.
После отправки транзакции он обнаружил, что приложение Nexus Mutual все еще ожидает подтверждения, и только тогда, обратившись к обозревателю блокчейна, выяснил, что произошло на самом деле. Хакер подменил транзакцию Карпа своей собственной, чтобы подтолкнуть его одобрить операцию.
Карп отмечает, что в большинстве случаев против пользователей MetaMask ведутся фишинговые атаки, направленные на раскрытие их приватных ключей. В его сценарии речь идет о направленной атаке. На это также указывает то, что злоумышленники не забрали весь объем доступных токенов, а только 370 000 NXM, вероятно, подготовив транзакцию заранее. По его словам, существуют и другие жертвы, которые подверглись похожим атакам. При этом он отмечает, что приватные ключи в кошельке Ledger все время оставались в сохранности.
CEO Nexus Mutual вместе с экспертами «Лаборатории Касперского» потратил значительную часть прошлой недели на поиск источника взлома, однако они по-прежнему не знают, как это произошло. Он рекомендует пользователям DeFi все время исходить из того, что их кошелек в MetaMask может быть скомпрометирован, если они не используют отдельное чистое устройство исключительно для подписания транзакций.
Обращаясь к хакеру, Карп пишет:
Будь в курсе! Подписывайся на Криптовалюта.Tech в Telegram.
Обсудить актуальные новости и события на Форуме