Хью Карп рассказал как лишился средств
CEO DeFi-проекта Nexus Mutual Хью Карп, потерявший на прошлой неделе $8 млн в результате хакерской атаки, поделился первичными результатами расследования происшествия и выводами.
Карп заявляет, что использовал аппаратный кошелек Ledger, который был подключен к приложению Nexus Mutual через расширение MetaMask на компьютере под управлением операционной системы Windows.
По его словам, во время написания электронного письма 11 декабря экран его компьютера отключился на 2-3 секунды. Он не придал этому значения, однако, как выяснилось позднее, час спустя злоумышленник подменил расширение MetaMask с диска при помощи инфицированной версии.
До 14 декабря Карт не проводил никаких транзакций, пока у него не возникла необходимость получить награду за майнинг в Nexus Mutual. MetaMask отобразил стандартное всплывающее сообщение с запросом на подтверждение. Поскольку транзакция была рутинной, Карп не стал проверять адрес назначения на дисплее кошелька Ledger, а просто подтвердил ее, допустив на данном этапе свою главную ошибку.
После отправки транзакции он обнаружил, что приложение Nexus Mutual все еще ожидает подтверждения, и только тогда, обратившись к обозревателю блокчейна, выяснил, что произошло на самом деле. Хакер подменил транзакцию Карпа своей собственной, чтобы подтолкнуть его одобрить операцию.
«Проверять эту информацию очень сложно, поскольку вы должны быть технически подкованы, особенно если данные представлены в hex-формате, как в случае Nexus, не имеющего прямой поддержки в Ledger. Я считал, что я провожу относительно низкорисковую транзакцию. Тем не менее, этот вектор атаки показывает, что необходимо проверять все транзакции, независимо от их величины», – пишет он.
Карп отмечает, что в большинстве случаев против пользователей MetaMask ведутся фишинговые атаки, направленные на раскрытие их приватных ключей. В его сценарии речь идет о направленной атаке. На это также указывает то, что злоумышленники не забрали весь объем доступных токенов, а только 370 000 NXM, вероятно, подготовив транзакцию заранее. По его словам, существуют и другие жертвы, которые подверглись похожим атакам. При этом он отмечает, что приватные ключи в кошельке Ledger все время оставались в сохранности.
CEO Nexus Mutual вместе с экспертами «Лаборатории Касперского» потратил значительную часть прошлой недели на поиск источника взлома, однако они по-прежнему не знают, как это произошло. Он рекомендует пользователям DeFi все время исходить из того, что их кошелек в MetaMask может быть скомпрометирован, если они не используют отдельное чистое устройство исключительно для подписания транзакций.
«MetaMask – это очевидная цель для многих организаторов атак, поэтому всегда будьте очень внимательны, чтобы скачать его из правильного источника, хотя в моем случае это не помогло», – добавляет он, одновременно рекомендуя разбивать активы по различным кошелькам для снижения возможного ущерба.
Обращаясь к хакеру, Карп пишет:
«Ты использовал продвинутые техники, чтобы украсть много денег не только у меня, но и у других участников сообщества Ethereum. Я не жду, что ты вернешь деньги, поскольку знаю, что ты отправил их тем, на кого работаешь. Но продемонстрированные тобою навыки показывают, что ты стал бы очень весомым дополнением для сообщества этичных хакеров, которые получают награды и признание за свою работу. Я призываю тебя направить эти навыки в правильное русло».