Jest takie stare powiedzenie, że lepszy złodziej, którego znamy niż ten, którego nie znamy. Platforma kryptowalutowa Komodo „zhakowała” własnych klientów po wykryciu poważnej luki w zabezpieczeniach jednego ze swoich portfeli.
Zgodnie z oświadczeniem prasowym startupu, zespół cyberbezpieczeństwa Komodo był w stanie „przetoczyć” i odzyskać 8 milionów tokenów Komodo (KMD) i 96 bitcoinów, zanim cyberprzestępcy mogli zgarnąć środki. W trakcie tego działania „uratowano” kryptowaluty o wartości około 13 milionów dolarów.
Film na YouTube pokazuje, jak atakujący mogli potencjalnie uzyskać dostęp do kluczy prywatnych użytkowników Komodo:
„Bezpieczne i scentralizowane”
Zespół Komodo przeniósł w międzyczasie wszystkie środki do dwóch firmowych portfeli:
RSgD2cmm3niFRu2kwwtrEHoHMywJdkbkeF (KMD)
1GsdquSqABxP2i7ghUjAXdtdujHjVYLgqk (BTC)
Właściciele mogą ubiegać się o ich zwrot w nadchodzących tygodniach. Komodo wezwało użytkowników do kontaktowania się za pośrednictwem kanału Discord:
Zespół zachęcił również wszystkich użytkowników portfeli Agama do przeniesienia środków na nowy adres jako środek ostrożności.
Niezwykły charakter działań obronnych Komodo rodzi pytania o tak zwaną „zdecentralizowaną” naturę kryptowalut.
Każdy kij ma dwa końce
Wada bezpieczeństwa została ostatecznie odkryta przez audytorów z npm, menedżera pakietów dla Javascript. Niestety, ten rodzaj ataku staje się coraz bardziej powszechny, ponieważ cyberprzestępcy szukają coraz bardziej wymyślnych sposobów kradzieży kryptowalut.
Atak został przeprowadzony za pomocą wzorca, który staje się coraz bardziej popularny; opublikowanie „użytecznego” pakietu na npm, oczekiwanie, aż zostanie użyty przez cel, a następnie aktualizacja w celu iniekcji szkodliwej zawartości.
Filozofia open-source zrodziła popularne oprogramowanie, takie jak Linux, WordPress i Firefox, ale odbija się to czasem na bezpieczeństwie.
Zasadniczo „zhakowaliśmy hakera”, ale on jest bardzo cierpliwy. Spędził miesiące działając jako normalny współpracownik…
Komodo nieświadomie włączył skompromitowaną bibliotekę JavaScript do swojego portfela Agama, jednak nie wpłynęło to destrukcyjnie na wszystkie wersje.
Jakie jest wasze zdanie w tej sprawie? Zapraszam do dyskusji!