Sta je dovelo do sajber napada?
Prošle godine, Least Authority, firma za bezbednosne provere, izdala je upozorenje u blog objavi da je Atomic Wallet siguran kao kuća napravljena od slame. Kompanija je navela nekoliko ranjivosti, uključujući nemarnu implementaciju kriptografije, dizajn koji je izbegavao najbolje prakse industrije, nedostatak projektnih dokumentacija i netačno korišćenje Electron framework-a. Nakon te objave, Least Authority kompanija je obrisala post sa interneta kao da nikada nije ni postojao.
Izvor: BleepingComputer/Telegram
Nazad u sadašnjost, i Dmytro Budorin, izvršni direktor kompanije Hacken, firme za blockchain bezbednost, pronašao je nekoliko mogućih objašnjenja za nedavni napad. Jedna mogućnost je da proces Atomic Wallet-a za kreiranje fraza za oporavak, poznatih kao seed fraze, nije rezultirao slučajno generisanim sekvencama reči. Ova greška je očigledno omogućila hakerima da lako probiju u novčanike koristeći tehnike grubih sila.
Potencijalne opasnosti
Sa non-custodial novčanicima poput Atomic-a, ljubitelji kriptovaluta mogu zadržati potpunu kontrolu nad svojim digitalnim sredstvima, ne oslanjajući se na centralizovane entitete. Oslobađajući je osećaj znati da su vaša sredstva zaštićena od korporacijskih manipulacija, ali tu postoji kvaka. Ako izgubite uređaj ili zaboravite lozinku, vaša jedina šansa da povratite svoja sredstva je kroz izuzetno važnu seed frazu. Nažalost, ova fraza je poput univerzalnog ključa za vaš novčanik, i svako ko je ima u rukama može otvoriti vaš nalog i uzeti vaše kriptovalute.
Međutim, to nije jedini rizik sa kojim se suočavaju korisnici Atomic-a. Istraživači sa Univerziteta u Kaliforniji izrazili su zabrinutost zbog ranjivosti privatnih ključeva prema matematički veštim hakerima. Osim toga, utvrđeno je da Android verzija Atomic Walleta koristi zastareli softver koji je podložan napadima. Ova saznanja dovela su do povećane pažnje prema lancu snabdevanja, bezbednosti veb stranice i praksi upravljanja podacima na Atomic platformi.
Ukratko, korisnici non-custodial novčanika poput Atomic-a moraju se suočiti s mnogim potencijalnim zamkama. Međutim, za one koji su spremni preuzeti rizik, nagrade su neizmerne. Sa potpunom kontrolom nad svojim digitalnim sredstvima, ljubitelji kriptovaluta mogu doživeti novu vrstu finansijske slobode. Ipak, kripto novčanici koji ne uspostavljaju odgovarajuću arhitekturu i ne prate sigurnosne politike su čak i rizičniji od custodial novčanika, iliti “hot wallet-a”.
Loša praksa
Iako je kripto industrija prihvatila otvoreni kod kao normu, Atomic Wallet se odlučio da zadrži svoj kod pod ključem, čime je onemogućena nezavisna provera njegove sigurnosti. Ovaj pristup, poznat kao closed-source (zatvoreni izvorni kod), često se koristi u kripto projektima kako bi se sprečilo da konkurencija emulira njihov softver. Međutim, nedostatak je što korisnici nisu u mogućnosti da detaljno pregledaju kod radi otkrivanja ranjivosti ili da provere da li funkcioniše kako je predviđeno. Umesto toga, moraju imati poverenje u razvojne timove.
Kritike u vezi sa sigurnosnim praksama Atomic Wallet-a se gomilaju, pri čemu je istaknuta analitičarka sigurnosti kriptovaluta Taylor Monahan osudila platformu zbog neuspeha u rešavanju sigurnosnih problema koji su bili identifikovani u reviziji pre više od godinu dana. Monahan, koja je takođe osnivačica open-source kripto novčanika MyEtherWallet, izrazila je svoje zabrinutosti putem Twitter-a, navodeći da je sigurnosni pristup Atomic Wallet-a nedovoljan i da je kompanija zanemarila upozorenja drugih.
Dodatno raspirujući vatru, firma za web3 sigurnost, Least Authority, otkrila je višestruke sigurnosne ranjivosti u Atomic Wallet-u koje su ozbiljno ugrozile sredstva korisnika. Firma je primetila da dizajn i implementacija Atomic Wallet-a nisu pokazali adekvatan nivo sigurnosti. Monahan je dalje sugerisala da ove sigurnosne slabosti možda omogućavaju da Atomic Wallet slučajno beleži korisničke privatne ključeve koji su potrebni za pristup kripto novčanicima.
Sve više ima loših jabuka
Nažalost, Atomic Wallet nije prvi koji je postao žrtva katastrofalnih posledica sistema zatvorenog izvornog koda. Baš u avgustu prošle godine, Solana Slope Wallet je doživeo katastrofalan sajber napad koji je korisnike koštao otprilike 4,1 milion dolara.
Krivac? Naporan haker koji je uspeo da provali u servere Slope-a. Uprkos opštem razumevanju da kripto novčanici obično ne čuvaju korisničke podatke na svojim serverima, u Slope kodu je postojao neočekivani bag koji je rezultirao skladištenjem korisničkih lozinki za novčanike na lako dostupnom mestu.
Najgori deo? Zbog toga što je kod Slope-a držan u tajnosti, kako korisnici, tako i stručnjaci za sigurnost ostali su u neznanju o ranjivosti.
Opasni tereni
Prema nedavnim podacima sa DefiLlama platforme, lukavi internet prevaranti su samo ove godine ukrali ogromnih 272 miliona dolara iz kripto projekata. Zlobni krivci su izveli drske napade poput pljačke Euler Finance u vrednosti od 197 miliona dolara u martu i prevare Hundred Finance u vrednosti od 7,4 miliona dolara ovog meseca. Prethodne godine, hakeri su ukrali preko 3,2 milijarde dolara iz DeFi protokola, što je zapanjujući udarac za kripto zajednicu. Međutim, sajber kriminalci se ne zaustavljaju samo na tome.
Kriptovalute su postale preferirani način plaćanja za bande koje vrše ransomware napade širom sveta, a prema podacima kompanije SonicWall, zabeleženo je preko 493 miliona ransomware napada i oko 140 miliona cryptojacking napada prošle godine. Ipak, ove statistike ne otkrivaju celokupnu sliku, jer mnoge žrtve su suviše stidljive da istupe i prijave svoje gubitke.
Kako je Meera Sarma, osnivačica i izvršna direktorka istraživačke kompanije za sajber bezbednost Cystel, otkrila za DL News: “Postoji nebrojeno mnogo napada koji nisu prijavljeni, gde su žrtve suviše stidljive ili nisu mogle da se obrate medijima i preuzmu rizik od narušavanja svog ugleda.”
Zaključak
Nakon hakovanja, hakeri su se obratili putem Twittera kako bi pokušali izvesti phishing prevaru, privlačeći nesumnjičave korisnike da otkriju više informacija o svojim novčanicima. Koristili su nalog na Twitteru sa zlatnom kvačicom kako bi promovisali budžet od 1,2 miliona dolara za povraćaj, ali su brzo bili otkriveni od strane kripto zajednice.
Sva aktivnost vezana za ovaj novčanik i naknadne događaje ukazuje na činjenicu da korisnici kriptovaluta trebaju biti uvek oprezni i dobro obrazovani o ovim temama kako bi izbegli prevare, hakovanja ili da budu prevareni da uplate svoja zarađena sredstva na nesigurne novčanike ili novčanike koji imaju sigurnosne propuste.
S tim u vezi, nedavna Ledger kontroverza pokazuje da čak ni velike kompanije nisu izuzete od donošenja loših poteza i odluka. Stoga, čuvanje sredstava na više potencijalno sigurnih “hladnih” novčanika može biti najbolja opcija kako bi se izbegla mogućnost prevare. Pored toga, korisnici mogu ostati informisani o najnovijim razvojima u kripto svetu kako bi pokušali biti korak ispred hakera i pri prvom znaku problema premestili svoja sredstva da bi izbegli rizik od gubitka. Stoga, budite oprezni i ostanite sigurni!
