Cảnh báo: Dự đoán văn bản trên điện thoại thông minh đoán cụm từ hạt giống của người nắm giữ tiền điện tử

Các cụm từ hạt giống, một sự kết hợp ngẫu nhiên của các từ trong danh sách 2.048 từ của Giao thức cải tiến Bitcoin (BIP) 39, đóng vai trò là một trong những lớp bảo mật chính chống truy cập trái phép vào tài sản tiền điện tử của người dùng. Nhưng điều gì sẽ xảy ra khi tính năng gõ tiên đoán trên điện thoại “thông minh” của bạn ghi nhớ và gợi ý các từ vào lần tới khi bạn cố gắng truy cập vào ví kỹ thuật số của mình?

Andre, một chuyên gia CNTT 33 tuổi đến từ Đức, gần đâyđăng trên subreddit r/CryptoCurrency sau khi phát hiện ra khả năng điện thoại di động của anh ấy có thể dự đoán toàn bộ cụm từ hạt giống khôi phục của anh ấy ngay khi anh ấy nhập từ đầu tiên.

Như một lời cảnh báo công bằng cho các Redditor và những người đam mê tiền điện tử, bài đăng của Andre nhấn mạnh sự dễ dàng mà tin tặc có thể sử dụng tính năng này để rút tiền của người dùng chỉ bằng cách nhập từ đầu tiên từ danh sách BIP 39:

“Điều này giúp bạn dễ dàng tấn công, chạm tay vào điện thoại, khởi động bất kỳ ứng dụng trò chuyện nào và bắt đầu nhập bất kỳ từ nào trong danh sách BIP39 và xem điện thoại gợi ý điều gì”.

Nói chuyện với Cointelegraph, Andre – được biết đến với cái tên u/Divinux trên Reddit – đã chia sẻ sự sốc của anh ấy khi lần đầu tiên anh ấy trải nghiệm điện thoại của mình đoán chính xác cụm từ hạt giống 12–24 từ. “Đầu tiên, tôi choáng váng. Một vài từ đầu tiên có thể là một sự trùng hợp ngẫu nhiên, phải không?

Là một người am hiểu công nghệ, nhà đầu tư tiền điện tử người Đức đã có thể tái tạo kịch bản trong đó điện thoại di động của anh ấy có thể dự đoán chính xác các cụm từ gốc. Sau khi nhận ra tác động có thể có của thông tin này nếu nó lọt vào tay kẻ xấu, “Tôi nghĩ mình nên nói với mọi người về điều đó. Tôi chắc rằng có những người khác cũng đã nhập hạt giống vào điện thoại của họ.”

Các thử nghiệm của Andre đã xác nhận rằng GBoard của Google ít bị tấn công nhất vì phần mềm không dự đoán mọi từ theo đúng thứ tự. Tuy nhiên, bàn phím Swiftkey của Microsoft đã có thể dự đoán cụm từ gốc ngay lập tức. Bàn phím Samsung cũng có thể dự đoán các từ nếu “tự động thay thế” và “đề xuất sửa văn bản” đã được bật theo cách thủ công.

Thời gian đầu của Andre với tiền điện tử bắt đầu từ năm 2015 khi anh ấy tạm thời mất hứng thú cho đến khi anh ấy nhận ra rằng mình có thể mua hàng hóa và dịch vụ bằng Bitcoin (BTC ) và các loại tiền điện tử khác. Chiến lược đầu tư của anh ấy liên quan đến việc mua và đặt cược BTC và các altcoin như Terra’sNHÂN VIÊN VĂN PHÒNG , AlgorandTHỨ GÌ ĐÓ  và Tezos’XTZ , và “sau đó tính trung bình chi phí đô la thành BTC khi/nếu họ lên mặt trăng.” Chuyên gia CNTT cũng phát triển tiền xu và mã thông báo của riêng mình như một sở thích.

Theo Andre, một biện pháp an toàn chống lại các vụ hack có thể xảy ra là lưu trữ các khoản nắm giữ đáng kể và dài hạn trong ví phần cứng. Đối với các Redditor trên toàn thế giới, anh ấy khuyên: “Không phải chìa khóa cũng không phải tiền của bạn, hãy tự nghiên cứu, đừng FOMO, không bao giờ đầu tư nhiều hơn số tiền bạn sẵn sàng mất, luôn kiểm tra kỹ địa chỉ bạn đang gửi đến, luôn gửi một lượng nhỏ trước và tắt PM của bạn trong cài đặt,” kết luận:

“Hãy cố gắng hết sức và ngăn chặn điều đó xảy ra bằng cách xóa bộ đệm loại dự đoán của bạn.”

Có liên quan:Những kẻ mạo danh STEPN ăn cắp cụm từ hạt giống của người dùng, cảnh báo các chuyên gia bảo mật

Công ty bảo mật chuỗi khối PeckShield gần đây đã cảnh báo cộng đồng tiền điện tử về một số lượng lớn các trang web lừa đảo nhắm mục tiêu người dùng ứng dụng lối sống Web3 STEPN.

#PeckShieldAlert#lừa đảo PeckShield đã phát hiện ra một lượng lớn@Stepnofficial các trang web lừa đảo. Họ chèn tiện ích mở rộng trình duyệt Metamask giả dẫn đến việc đánh cắp cụm từ hạt giống của bạn hoặc nhắc bạn kết nối ví của mình hoặc quà tặng “Yêu cầu”.@Metamask@Coinbase@WalletConnect@mapic.twitter.com/cmWUcprMAN

- PeckShieldAlert (@PeckShieldAlert)25 Tháng Tư, 2022

Như Cointelegraph đã báo cáo, dựa trên những phát hiện của PechShield, tin tặc đã chèn một plugin trình duyệt MetaMask giả mạo mà qua đó chúng có thể đánh cắp các cụm từ gốc từ những người dùng STEPN không nghi ngờ.

Quyền truy cập vào cụm từ gốc đảm bảo kiểm soát hoàn toàn tiền điện tử của người dùng thông qua bảng điều khiển STEPN.