Kryptowalutowy portfel sprzętowy Trezor został skompromitowany kilka miesięcy wcześniej, a teraz pojawiają się kolejne problemy. Jak się przed tym uchronić?
Nienaprawialny bug i wyłudzanie informacji (phishing)
Kilka miesięcy temu kryptowalutowy światek bezpieczeństwa obiegła informacja o skutecznie przeprowadzonym i co ważne, tanim, fizycznym ataku na portfel Trezor.
Oznacza to, że fizyczna kradzież portfela Trezor, może skończyć się całkowitą utratą środków poprzez ekstrakcję kluczy prywatnych. I to tylko przy pomocy sprzętu o wartości poniżej 100 dolarów w 5 minut. Okazuje się, że nie jest tak, jak zapewniali twórcy, że potrzeba 100 tysięcy dolarów, aby taki atak w ogóle móc przeprowadzić.
Twórcy sprzętu w założeniach projektowych już rzekomo wiedzieli o nienaprawialnym bugu, błędzie, o którym tu mowa. Wychodzi więc na to, że wszystkie portfele Trezor wyprodukowane w przeszłości i miejmy nadzieję, że to obecnie już nie, posiadają taki błąd.
Jak się przed nimi ustrzec?
Odpowiedzią jest zabezpieczenie portfela Trezor o długości co najmniej 37 losowych znaków.
Nowe „kwiatki„
Nowa metoda wyłudzania informacji poprzez identycznie skonstruowane witryny, czyli phishing to najnowszy sposób działania oszustów, przed którym chcemy Was ustrzec.
Wydarzyło się to zaledwie 2 tygodnie temu, kiedy jeden z użytkowników Trezora kliknął na, wydawałoby się, klasyczną stronę przeglądarkową portfela. Natychmiast został poinformowany o najnowszej wersji oprogramowania (firmware), które należy zaktualizować. Aby to zrobić trzeba podać SEED, czyli 12 lub 24 słowa szyfrujące nasz portfel. Potem…
Wszystkie środki przepadły.
Przyczyną utraty środków są strony phishing-owe, które najczęściej występują w formie reklamy, jako pierwsze pozycje w Google. Adresy tych witryn nieznacznie się różnią od oryginalnego adresu: raz dodaje się literkę więcej, innym razem kropkę itp.
W końcu prowadzi to do wyłudzenia informacji, a potem nierzadko środków finansowych. Największym złudzeniem jest identycznie zbudowana wizualnie witryna, zawierająca nawet te same animacje.
- Nikomu, nigdy i nigdzie, poza samym urządzeniem (wpisywaniu ręcznym), nie udostępniaj SEED-a (12/24 słów).
- Adres do przeglądarkowej wersji portfela Trezora zawsze wpisuj ręcznie w pasku adresu (właściwy adres na pudełku/instrukcji urządzenia).
- (Opcjonalnie). Zainstaluj AdBlocka.
To tyle, mamy nadzieję, że może choć jedną osobę uda nam się uratować przed utratą kryptowalut. Powtarzam: UWAŻAJCIE! na strony podszywające się pod strony producentów oryginalnego oprogramowania.