Очередное сообщение об атаке на пользователей популярного Ethereum-кошелька METAMASK поступило с Reddit.
По словам u/tea--kay, пострадали сразу два его друга. Злоумышленники заполучили их seed-фразы и вывели ETH вместе с токенами на сторонние адреса. Оба приняли меры предосторожности при установке кошельков и хранили seed-фразы в надежном месте, поэтому взлом стал для них полной неожиданностью.
Как оказалось, в обоих случаях на компьютерах было установлено расширение для создания скриншотов и записи экрана «Awesome Screenshot & Screen Recorder». Расширение имеет свыше 2 млн скачиваний в Google Chrome и крайне положительные отзывы. Хотя доподлинно неизвестно, стало ли источником взлома указанное расширение, если это так, вырисовывается интересная картина.
Расширение прекрасно справляется со своей основной задачей, благодаря чем заслужило высокую репутацию. Все меняется, когда его устанавливает держатель криптовалют. Вероятно, создаваемые скриншоты остаются не только на компьютере пользователя, но и отправляются третьим лицам, причем это может даже делать какое-либо другое расширение или вирус.
Любопытно, что информация о предполагаемой уязвимости «Awesome Screenshot & Screen Recorder» публиковалась еще в 2014 году. Специалисты тогда обнаружили, что расширение собирает данные пользователя, выходящие за рамки его прямого назначения. Они предположили, что это связано со сторонним кодом, внедренном разработчиками в целях монетизиации.
Так или иначе, судя по комментариям в теме на Reddit, в последнее время была осуществлена целая серия атак на пользователей MetaMask. Заявленные суммы ущерба разнятся от нескольких до 60 тысяч долларов. Не все из них использовали указанное решение, однако итог всегда был одним.
Как безопасно пользоваться MetaMask
Как уже понятно из этого примера, не нужно устанавливать сомнительные расширения на компьютер, который вы используете для работы с криптовалютой. Лучше вообще не использовать ПО, которое не требуется для таких операций, но это не всегда возможно. По крайней мере, стоит свести к минимуму присутствие на компьютере ПО от малоизвестных поставщиков.
На этом возможности хакеров для кражи криптовалют не заканчиваются, как и меры, которые могут принять пользователи, чтобы обезопасить себя. Сами разработчики MetaMask выделяют пять основных сценариев взлома кошельков пользователей:
- Компьютер был скомпрометирован, и пользователь хранил приватную информацию на нем;
- Пользователь посетил фишинговый сайт;
- Пользователь передал приватный ключ третьему лицу или сайту;
- Пользователь предоставил децентрализованному приложению или смарт-контракту неограниченный доступ к своим активам;
- Пользователь установил фейковое расширение MetaMask.
Устанавливаем MetaMask. Часто пользователи теряют криптовалюту из-за установки фейковых расширений. Запустив поддельное расширение, они заведомо передают всю вводимую информацию, в частности seed-фразы, злоумышленникам. Кроме того, предлагаемые таким расширением адреса для перевода средств наверняка будет контролировать кто-то другой. Вот почему важно устанавливать MetaMask только по ссылкам с официального сайта разработчика. Здесь вы найдете ссылки на скачивание MetaMask для браузеров Chrome, Firefox, Brave, Edge, а также для мобильных устройств на базе Android и iOS.
Храним seed-фразу. Seed-фраза по умолчанию используется большинством криптовалютных кошельков. Она потребуется для восстановления доступа к кошельку, если вы, например, решите переустановить MetaMask или перенести кошелек на другой компьютер. В равной степени seed-фраза позволит получить доступ к кошельку посторонним, если каким-то образом попадет к ним.
В момент создания кошелька MetaMask отображает seed-фразу из 12 слов. Разработчики не хранят ваши данные на своих серверах, поэтому seed-фраза является единственным ключом к восстановлению доступа. Seed-фразу необходимо записать на бумаге и хранить в надежном месте. Если вы скопируете ее в буфер обмена, информация останется там, а значит, откроются дополнительные векторы атаки. Это же относится к ситуации с хранением seed-фразы в файле на подключенном к интернету компьютере.
Если кошелек уже используется, а seed-фразы у вас нет, ее всегда можно отобразить повторно. Для этого нажимаем на кнопку доступа к настройкам расширения в верхней правой части интерфейса MetaMask и выбираем «Настройки». В появившемся окне переходим во вкладку «Безопасность и конфиденциальность» и нажимаем «Раскрыть исходную фразу». Вам потребуется ввести пароль.
Отзываем разрешения у децентрализованных приложений. Когда вы впервые взаимодействуете с децентрализованным приложением, будь то Uniswap или какой-либо другой сервис, вас попросят предоставить разрешение на осуществление операций с вашим кошельком MetaMask. Такие разрешения выдаются на постоянной основе.
Во многих случаях разрешения ограничиваются просмотром ваших счетов, но это не всегда так. Уже известны случаи, когда у пользователей воровали криптовалюту из-за предоставленных разрешений на взаимодействие с активами. Нет необходимости каждый раз отключаться и переподключаться к Uniswap, но отозвать разрешения у приложений, которыми вы уже перестали пользоваться – это хорошая практика с позиций приватности, которая к тому же может защитить от других неожиданных бед.
Чтобы отозвать разрешения, нажимаем на три точки около адреса кошелька и выбираем «Подключенные сайты». Здесь вы увидите список всех приложений, которым в настоящее время предоставляете разрешения, и сможете удалить ненужные.
Переходим на новый кошелек. Если у вас есть подозрения, что кошелек мог быть скомпрометирован, следует немедленно переместить активы в новый. Иногда возникают ситуации, когда хакеры воруют криптовалюту прямо на глазах у пользователя. В таком случае еще есть шанс спасти по крайней мере часть активов. Создать новый адрес в MetaMask для этого будет недостаточно, потому что все они генерируются из одной seed-фразы. Придется генерировать новую seed-фразу с учетом всех рекомендаций по безопасности и создавать кошельки из нее.
Для этого создаем новый профиль в Chrome и устанавливаем в него MetaMask. Проходим все этапы создания нового кошелька, включая запись seed-фразы, и переводим криптовалюту на новый адрес. Обратите внимание, что сначала нужно перевести токены и только затем эфир (ETH), поскольку он потребуется для уплаты комиссий за обработку транзакций. Впоследствии вы сможете сделать эти активы доступными в своем основном профиле в Chrome при помощи функции импорта кошелька. Для этого вам потребуется seed-фраза из 12 слов. Аналогичным образом вы сможете запустить один кошелек на нескольких компьютерах.
Аппаратный кошелек. Если вы храните в криптовалютах существенные суммы, имеет смысл рассмотреть приобретение аппаратного кошелька. Это устройство, по форме напоминающее обычный USB-накопитель, в котором криптовалюта хранится без постоянного подключения к интернету, то есть гораздо лучше защищена, чем при хранении на домашнем компьютере.
Множество децентрализованных приложений позволяет подключаться через аппаратный кошелек напрямую. Кроме того, вы можете подключить аппаратный кошелек к MetaMask и взаимодействовать с децентрализованными приложениями через него. Этот вариант также будет значительно более безопасным, чем при обычном использовании MetaMask на компьютере.
MetaMask работает с аппаратными кошельками двух самых известных производителей: Ledger и Trezor. Рекомендуем покупать аппаратные кошельки только у официальных производителей, так как сторонние продавцы могут модифицировать устройство, что позволит им контролировать вашу криптовалюту.
Аппаратные кошельки оснащены дисплеем, на котором отображаются детали транзакции. Убедитесь в правильности деталей транзакции на дисплее, включая адрес получателя, прежде чем окончательно одобрить ее. При использовании аппаратного кошелька злоумышленники по-прежнему могут подменить адрес на компьютере, чтобы вынудить вас отправить криптовалюту не туда. Бывает и такое. Исказить данные на экране заказанного у официального производителя аппаратного кошелька они не смогут никак.
