Пользователь реддита Андре подчеркнул легкость, с которой хакеры могут использовать функцию подсказок слов при введении текста для выкачивания средств пользователя, просто имея возможность выбрать первое слово из ранее веденного списка BIP 39.
Начальные фразы представляют собой случайную комбинацию слов из специального словаря, входящего в предложение по улучшению биткойнов BIP 39 и состоящего из 2048 слов. Эта случайная фраза служит основой для генерации пары закрытый/открытый ключ и выступает в качестве одного из основных уровней защиты от несанкционированного доступа к криптовалютным активам пользователя. Но что происходит, когда система предиктивного ввода вашего «умного» телефона запоминает и предлагает слова в следующий раз, когда вы пытаетесь получить доступ к своему цифровому кошельку?
Андре, 33-летний ИТ-специалист из Германии, недавно опубликовал сообщение в сабреддите r/CryptoCurrency после того, как обнаружил, что его мобильный телефон способен предсказывать всю исходную фразу восстановления, как только он набирает первое слово.
В качестве справедливого предупреждения коллегам из реддита и криптоэнтузиастам в сообщении Андре подчеркивается легкость, с которой хакеры могут использовать эту функцию для выкачивания средств пользователя, просто набрав первое слово из списка BIP 39:
«Это упрощает атаку: возьмите телефон в руки, запустите любое приложение для чата, начните вводить любые слова из списка BIP39 и посмотрите, что предлагает телефон».
Андре, также известный как u/Divinux на Reddit, поделился своим шоком, когда он впервые увидел, как его телефон буквально угадывает сид-фразу из 12-24 слов.
«Сначала я был ошеломлен. Первые пару слов могли быть совпадением, верно? Но остальные тоже угадываются», — рассказал Андре.
Будучи технически подкованным человеком, немецкий криптоинвестор смог воспроизвести сценарий, в котором его мобильный телефон мог точно предсказать начальные фразы. Осознав возможное влияние этой информации, если она попадет не в те руки.
«Я подумал, что должен рассказать об этом. Я уверен, что есть и другие люди, которые также вбили мнемоническую фразу в свой телефон», — рассказал Андре.
Эксперименты Андре показали, что GBoard от Google наименее уязвим, поскольку программа не предсказывала каждое слово в правильном порядке. Тем не менее, клавиатура Swiftkey от Microsoft смогла предсказать исходную фразу в точности. Клавиатура Samsung также может предугадывать слова, если вручную включены «Автозамена» и «Предлагать исправления текста».
Первое знакомство Андре с криптовалютам восходит к 2015 году, когда он понял, что может покупать товары и услуги, используя биткойны (BTC) и другие криптовалюты. Его инвестиционная стратегия включает в себя покупку и размещение BTC и альткойнов, таких как Terra (LUNA), Algorand (ALGO) и Tezos (XTZ), а затем «усреднение долларовой стоимости BTC, когда/если они летят на Луну». IT-специалист также занимается разработкой собственных монет и токенов в качестве хобби.
Мерой безопасности от возможных взломов, по словам Андре, является хранение значительных и долгосрочных активов в аппаратном кошельке. Реддиторам по всему миру он советует:
«Не ваши ключи, не ваши монеты, проводите собственное исследование, не поддавайтесь FOMO, никогда не инвестируйте больше, чем вы готовы потерять, всегда дважды проверяйте адрес, на который вы отправляете, всегда отправляйте небольшую сумму заранее и отключите ваши личные сообщения в настройках».
По поводу угадывания ранее введенной мнемонической фразы он также дает дельный совет:
«Сделай все возможное и предотврати это, очистив кеш предиктивного типа».
КСТАТИ
Как недавно сообщала PeckShield, хакеры вставляют поддельный плагин браузера MetaMask, с помощью которого они могут красть сид-фразы у ничего не подозревающих пользователей STEPN.
Компания PeckShield, занимающаяся безопасностью блокчейна, предупредила криптосообщество о большом количестве фишинговых веб-сайтов, нацеленных на пользователей приложения Web3 для активной жизни от STEPN (GMT).
«PeckShield обнаружил множество фишинговых сайтов STEPN. Они вставляют ложное расширение браузера Metamask, ведущее к краже вашей сид-фразы, или предлагают вам подключить ваши кошельки чтобы получить аирдроп. Это касается кошельков Metamask, Coinbase, WalletConnect и Phantom», — написала в твиттере команда PeckShieldAlert.
Доступ к seed-фразе гарантирует полный контроль над крипто-средствами пользователя через панель управления STEPN.