iCloud の暗号通貨ウォレット攻撃により、数秒のうちに推定 65 万ドル相当の暗号通貨と NFT がトレーダーから盗まれました。
この攻撃は高度なフィッシング攻撃に依存していましたが、MetaMask の重要な iCloud の脆弱性も明らかにしました…
CNETが報じた。
ドメニック・ラコヴォーネ氏は金曜の夜、Appleからいつもと違う電話を受けた。Apple IDのパスワード再設定を求めるメッセージを何度か受け取っていたため、詐欺ではないかと疑った。しかし、彼のiPhoneに届いた電話はApple Inc.を名乗り、Appleのオンラインストアに関連付けられた番号だったため、折り返し電話をかけた。電話の相手は、ラコヴォーネ氏のアカウントが不正アクセスされたため、アカウントの所有者であることを確認するために、Appleが彼のiPhoneに送信したワンタイムコードが必要だと告げた。ラコヴォーネ氏はそのコードを担当者に渡した。しかし、その2秒後、ラコヴォーネ氏の仮想通貨ウォレットの残高が全て消えたと、彼はTwitterのスレッドで語った。
推定65万ドル相当の暗号通貨とNFTが一瞬にして消失した。
フィッシングでは、犯人がどのようにして iCloud アカウントにアクセスしたかが説明されているが、犯人はどのようにしてそれを利用して MetaMask 暗号通貨ウォレットにアクセスしたのだろうか?
暗号セキュリティの専門家「Serpent」が明らかにした答えは、iPhoneでMetaMaskアプリを使用すると、シードフレーズファイルが自動的にiCloudに保存されるというものだ[…]
SerpentはTwitterのスレッドで、「重要なポイント」と書いています。「貴重品は必ずコールドウォレットで保管してください。認証コードは絶対に誰にも教えないでください。自分の情報を保護し、電話番号や個人メールアドレスを教えないでください。発信者情報は簡単に偽装できます。Appleのような企業があなたに電話をかけてくることはありません。」
「すでに一人の人間から65万ドルが盗まれており、今後さらに多くの人が被害に遭うだろう」と彼は書いている。
MetaMaskは本稿執筆時点ではCNETのコメント要請には応じていないが、バックアップを無効にする方法を説明した警告をツイートした。
— MetaMask 🦊🫰 (@MetaMask) 2022年4月17日
MetaMaskのiCloudバックアップを無効にするには、 「設定」>「プロフィール」>「iCloud」>「ストレージ管理」>「バックアップ」のトグルをオフにします
。2/3
写真: アート・レイチェン/Unsplash
varlong.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
