Mae hacwyr yn targedu waledi poeth Bitcoin - dyma sut

Dywedodd sylfaenydd y prosiect Ordinal Rugs fod hacwyr wedi targedu aelodau o weinydd Bitcoin Rock Discord ddydd Mawrth, gan ddwyn $1.47 BTC, tua $103,003, a 4 BTC, tua $208,196, gwerth arysgrifau Ordinal o'u waled.

Ordinals yw'r peth poeth mewn collectibles digidol; mae dros 63 miliwn o arysgrifau wedi'u bathu ar y blockchain Bitcoin, gyda 6388 BTC mewn ffioedd yn unig hyd yn hyn, tua $ 450 miliwn, yn ôl adroddiad Dune Analytics. Mae hyn yn gwneud Bitcoin yn darged demtasiwn i hacwyr.

“Yn ystod y deng mlynedd rydw i wedi’i dreulio mewn crypto, dyma’r tro cyntaf i mi golli swm sylweddol o arian trwy hac / sgam (heb sôn am ddraeniwr waled),” datgelodd y sylfaenydd ffugenw Archon mewn edefyn trydar - gan gyfaddef ei fod wedi bod yn ddiofal, er gwaethaf gweithredu rheolaethau diogelwch cryf.

“Dydw i ddim yn un i gymryd op-sec yn ysgafn,” ysgrifennon nhw. “Mae gen i bob mewngofnodi personol wedi'i ddilysu gyda Yubikeys, ac mae mwyafrif fy asedau / trefnolion crypto yn ddiogel ar galedwedd + waledi aml-sig.”

Mae ymosodiadau seiber sy'n targedu waledi crypto yn gyffredin, ac mae enwogion a chymuned amlwg yn dargedau aml. Ym mis Mai 2022, dioddefodd yr actor Seth Green ymosodiad gwe-rwydo a'i lladrataodd o NFT Clwb Hwylio Bored Ape. Er bod lladron yn draddodiadol wedi canolbwyntio'r blockchain Ethereum a Solana, trefnolion yw'r peth newydd poeth, sy'n denu sgamwyr - ac yn rhoi waledi Bitcoin yn eu croeswallt.

Fel yr eglurodd Archon, dechreuodd yr hac gyda neges a anfonwyd at aelodau'r Bitcoin Rock Discord yn hysbysebu rhodd o'r Runestones Ordinals poblogaidd. Roedd y cyfrif yn cynnwys dolen i glôn gwefan maleisus Magic Eden NFT. Pan gysylltodd Archon ei waled â'r safle a llofnodi'r trafodiad, roedd y lleidr yn gallu dwyn y NFTs.

“Nid wyf yn gwybod a effeithiwyd ar unrhyw un arall,” meddai Archon Dadgryptio. “Sylweddolais [y lladrad] lai na munud ar ôl arwyddo’r [trafodiad].”

Roedd y hacwyr hyd yn oed yn defnyddio un o'r arysgrifau wedi'u dwyn, 53,109,400, i dalu'r ffi trafodiad.

“Ni effeithiwyd ar unrhyw arian/cyfrifon/mewngofnodi yn ymwneud â [Ordinal Rygs]… dim ond fy waled personol fy hun oedd hwn a dim ond fi sydd ar fai yma,” meddai Archon. “Afraid dweud, ni fyddaf yn caniatáu i hyn ddigwydd eto.”

Yn ôl cwmni diogelwch blockchain Halborn, mae diffyg diwydrwydd dyladwy a FOMO yn achosi casglwyr i wneud camgymeriadau na fyddent fel arfer yn eu gwneud.

“Trwy pingio’r gweinydd cyfan, roedd yn meddwl bod y neges honno gan y gweinyddwr felly roedd yn ymddiried yn yr URL hwnnw a’i glicio,” meddai Prif Swyddog Gweithredol Halborn David Schwed Dadgryptio. “Felly dim ond darn o beirianneg gymdeithasol a gwe-rwydo mewn gwirionedd.”

Mae gwe-rwydo yn fath o seiberdroseddu sy'n ceisio dwyn rhywbeth o werth (yn yr achos hwn, NFT) trwy e-byst twyllodrus, gwefannau, neu gyfryngau cymdeithasol.

Tynnodd Schwed sylw at rwyddineb clonio gwefan a dywedodd fod yn rhaid i ddefnyddwyr waledi fod yn wyliadwrus iawn, gan gynnwys gwirio URLau gwefannau ddwywaith.

“Mae yna ategion y gall pobl eu defnyddio a allai eu rhybuddio ei fod yn barth ffug,” meddai Schwed wrth Decrypt. “Byddai’n edrych ar bethau fel pryd roedd y parth wedi’i gofrestru.”

Dywedodd Schwed mai opsiwn arall yw defnyddio estyniadau porwr sy'n rhwystro parthau sydd newydd eu harsylwi a pharthau sydd newydd eu cofrestru.

Heb fod eisiau cael eu gadael allan o ysfa Ordinals, mae diwydiant bwthyn o waledi cydnaws wedi dod ar-lein, ond nid oes ganddyn nhw'r hanes a'r doethineb caled sy'n deillio o ymosodiadau a ddioddefwyd gan waledi hŷn sy'n gyfeillgar i'r NFT fel MetaMask a Phantom. Mae gan ddarparwyr cyn-filwyr y creithiau brwydr i brofi eu hymrwymiad i ddiogelwch, gan frolio nodweddion fel Blockaid a rhybuddion ymosodiad maleisus nad oes gan waledi mwy newydd efallai.

“Mae gan rai waledi rywfaint o ddiogelwch wedi'i ymgorffori, ac nid yw eraill,” meddai Schwed, gan nodi integreiddiad Metamask o Blockaid y llynedd. “Mae llawer ohonyn nhw'n canolbwyntio ar gontractau smart, a dyna efallai pam eu bod wedi targedu BTC.”

Golygwyd gan Ryan Ozawa.