Ledger แบรนด์ฮาร์ดแวร์วอลเล็ต หรืออุปกรณ์ความปลอดภัยเพื่อเข้าใช้งานกระเป๋าเก็บเหรียญคริปโต ถูกเจาะข้อมูลเมื่อเดือนธันวาคมปี 2020 ทำให้อีเมลและที่อยู่ของผู้ใช้กว่า 27,000 ราย ถูกเผยแพร่บนเว็บบอร์ดแห่งหนึ่ง อย่างไรก็ตาม แค่อีเมลและที่อยู่ ยังไม่พอที่จะให้แฮกเกอร์แฮกฮาร์ดแวร์วอลเล็ตได้
แต่แฮกเกอร์หัวใส เกิดไอเดียฟิชชิ่งสุดบรรเจิด นำ Ledger Nano X หนึ่งในฮาร์ดแวร์วอลเล็ตรุ่นยอดนิยม มาดัดแปลงนำไดรฟ์ USB ฝังลงไป พร้อมโหลดแอป Ledger Live แอปสำหรับเชื่อมวอลเล็ตปลอมใส่ไว้ แล้วแพ็กใส่กล่องส่งไปตามที่อยู่ผู้ใช้ที่หลุดออกมา
แฮกเกอร์แนบจดหมายระบุว่า Ledger Nano X ชิ้นนี้เป็นฮาร์ดแวร์วอลเล็ตอันใหม่ที่อุดช่องโหว่ความปลอดภัยแล้ว และให้ผู้ใช้ใส่ 24-word recovery phrase ชุดคีย์เวิร์ด 24 คำที่ใช้เพื่อกู้กระเป๋าคริปโต ในแอป Ledger Live ปลอม ซึ่งคาดว่าหลังจากนั้นคงส่งข้อมูลกลับไปยังแฮกเกอร์
Ledger Nano X
Ledger ยืนยันว่ามี Ledger Nano X ปลอมถูกส่งไปตามบ้านจริง และระบุว่า Ledger Nano X ของจริงไม่ใช่ไดรฟ์ USB จะไม่มีแอปอะไรอยู่ภายใน และบริษัทจะไม่ขอให้ผู้ใช้แชร์ 24-word recovery phrase กับบริการใดๆ ก็ตาม ส่วนแอป Ledger Live ดาวน์โหลดได้จากหน้าเว็บทางการของบริษัทเท่านั้น
ถือเป็นอีกเรื่องที่ผู้ใช้ต้องระวัง เพราะแม้ตามหลักการณ์แล้ว กระเป๋าคริปโตจะถูกแฮกได้ยาก แต่ช่องโหว่ความปลอดภัยอื่นๆ ก็สามารถเกิดขึ้นได้จากการฟิชชิ่ง หลอกขอข้อมูลต่างๆ หรือการนำไฟล์ชุดคำศัพท์ไปเก็บไว้ในที่ที่ไม่ปลอดภัย รวมถึงยังมีไวรัสคอมพิวเตอร์บางชนิดที่เปลี่ยนที่อยู่กระเป๋าเงินของผู้ใช้ ให้เป็นกระเป๋าของแฮกเกอร์ เมื่อผู้ใช้ก็อปปี้ที่อยู่จากแอปกระเป๋าเงินเช่น Metamask อยู่ด้วย ซึ่งควรเช็คให้ถี่ถ้วนทุกครั้ง
ที่มา - Hot For Security
Comments
ขโมย ครับ แก้พาดหัวนิดนึง
เรียบร้อยครับ
นึกถึงเรื่องเล่าตามเวบสมัยก่อนที่แฮกเกอร์จ้าง แม่บ้านบ.ให้เอา usb ที่ใส่โปรแกรมของตน ไปเสียบ pc บริษัทให้ที
พริ้นใส่กระดาษ เขียนมือเผื่อไว้อีกใบ ใส่ไห ฝังดินสิ :-D
น่ำท่วมนี้หายแน่นอนครับ
เดียวนี้เก็บseedในแผ่นไททาเนียมกัน กดไฟ กันน้ำ กันกรด กันกระแทก
ถ้าเกิดลืมมาจริง ๆ นี่.....
ระหว่างส่งร้านกัดแผ่น เด็กในร้านก็จดออกไป.....
lewcpe.com, @wasonliw
ซื้อเครื่องมาทำเอง
เครื่องที่ซื้อมาทำเอง แอบส่งข้อมูลออกไป...
ผมจดไว้ใน /dev/null ก็ได้ครับถ้าถึงขนาดนั้น
ตอกเองครับ
Security practices in the nutshell:
ถ้าลืมรหัส wallet หรือโดนแฮก จะเอากลับมายังไง สมมติมี btc มูลค่า 5 ล้านอยุ่ในนั้น
ถ้าไม่ใหญ่ระดับ FBI น่าจะเอากลับมายากน่ะครับ