Один із користувачів втратив близько $1,76 млн у стейблкоїні USDC після підписання шкідливої транзакції типу Permit. Про це повідомили фахівці з безпеки GoPlus.

За їхніми даними, кошти були виведені зловмисниками після отримання доступу до дозволів у гаманці користувача.

Основною причиною інциденту стало компрометування пристрою — ймовірно, через вірус або троян. Зловмисники могли змінювати JavaScript-код вебсторінок або перехоплювати введення даних для викрадення доступу до гаманця, йдеться в заяві.

Причина втрати коштів

Експерти GoPlus зазначили, що ключовою проблемою стала втрата «кореня довіри» (root of trust).

«Схоже, що у цьому випадку (за наявною інформацією) саме так і сталося: комп’ютер або телефон користувача тривалий час перебував під контролем шкідливого ПЗ. У такій ситуації неважливо, який саме гаманець використовується — він у будь-якому разі буде небезпечним», — йдеться в заяві.

У разі зараження пристрою шкідливим ПЗ — кейлогерами, троянами або скомпрометованими плагінами — модель безпеки некастодіальних гаманців перестає працювати. У цьому випадку зловмисники можуть:

• відстежувати введення паролів;
• підмінювати інтерфейси сайтів;
• отримувати доступ до підписання транзакцій.

Фахівці наголосили на необхідності дотримання базових правил безпеки. Вони виділили принцип «чотирьох НЕ»:

• не переходити за підозрілими посиланнями;
• не встановлювати ПЗ з невідомих джерел;
• не підписувати незрозумілі транзакції;
• не переказувати кошти на неперевірені адреси.

Крім того, користувачам рекомендують використовувати спеціалізовані інструменти захисту, зокрема плагіни, які виявляють фішинг і ризиковані підписи в реальному часі.

Чи пов’язаний інцидент із окремими гаманцями?

У команді OKX заявили, що інцидент не є вразливістю їхнього Web3-гаманця.

Представники платформи підкреслили, що атака стала можливою через повний контроль зловмисників над пристроєм користувача. У таких умовах будь-який некастодіальний гаманець — включно з MetaMask або Trust Wallet — не може гарантувати безпеку.

Крім того, у компанії нагадали, що їхній продукт працює за моделлю self-custody. Приватні ключі зберігаються лише на пристрої користувача і недоступні третім сторонам.

Источник: incrypted.com