Tarneahela Mürk: Kui usaldusväärsed uuendused muutuvad pahatahtlikuks
Kokkuvõte: Oled super ettevaatlik. Ei külasta kahtlasi saite. Ei piraatle tarkvara. Uuendad ainult seaduslikku tarkvara. Ja ikkagi häkitakse sind. See on 'Ledger Connect Kit' häki õudusunenägu ja kuidas kaitsta end usaldusväärsete allikate eest.
1. Ledger Connect Kiti Intsident
- aasta detsembris hoidis krüptomaailm hinge kinni.
Ledgerit ei häkitud otseselt. Häkiti teek (Library), mida Ledger kasutas.
Endine töötaja langes andmepüügi ohvriks. Häkkerid said ligipääsu tema NPM kontole ja laadisid pahatahtliku koodi teeki @ledgerhq/connect-kit.
Järsku hakkas iga sait (SushiSwap, Revoke.cash jne), mis kasutas selle teegi uusimat versiooni, automaatselt kuvama kasutajatele võltsitud rahakoti hüpikakent.
Kasutajad ei teinud midagi valesti. Nad läksid õigele saidile, kuid sait laadis mürgitatud "Tarneahela" (Supply Chain).
2. Kuidas see töötab
Kaasaegne tarkvara on nagu Lego. Arendajad ei kirjuta kogu koodi ise. Nad tõmbavad "Sõltuvusi" (Dependencies/Teeke) teistelt.
- Sinu rakendus kasutab Teeki A.
- Teek A kasutab Teeki B.
- Teek B on kompromiteeritud.
Häkkerid armastavad seda meetodit, sest ühe teegi häkkimine annab neile korraga miljoneid ohvreid.
3. Kuidas end kaitsta (Kasutajatele)
Kuidas kaitsta end millegi eest, mis hiilib mööda isegi tehnoloogiahiiglastest?
"Oota" Reegel (The Wait Rule)
Kui tuleb välja suur uuendus või uus funktsioon, ära ole esimene, kes uuendab.
Anna kogukonnale (ja Twitteri/X Krüptoturvalisusele) 24-48 tundi kontrollimiseks. Kui on Tarneahela rünnak, levivad uudised nagu kulutuli.
Topeltkontroll
Kui sinu lemmik dApp palub sul Lubada (Enable) või Heaks kiita (Approve) midagi imelikku:
- Kontrolli nende Twitterit.
- Kontrolli nende Discordi.
- Kontrolli turvauurijaid Twitteris (nagu @zachxbt).
Kui igal pool on vaikus... on see tõenäoliselt ohutu. Aga kui kõik karjuvad "ÄRGE ÜHENDAGE" (DO NOT CONNECT), siis sind just päästeti.
Järeldus
Vastastikku seotud maailmas sõltub sinu turvalisus nõrgimast lülist. Mõnikord on turvalisem olla "Hiline Kohaneja" (Late Adopter), kes ei uuenda kohe, kui olla pioneer.
Kas oled valmis oma teadmisi tööle panema?
Alusta kauplemist AI-toega enesekindlusega juba täna
AlustaSeotud artiklid
Paberkilp (The Paper Shield): Kuidas õigesti Seemnefraasi varundada
Ekraanipildid on hukatuslikud. Pilv on kellegi teise arvuti. Ainus turvaline viis privaatvõtmete säilitamiseks on 'Teras' ja 'Paber'.
Pikk Pettus (The Long Con): 'Pig Butchering' psühholoogia
Ta ei saatnud sõnumit valele numbrile. Ja ta ei ole sinusse armunud. Sügav sukeldumine 'Sha Zhu Pan'i', kõige julmemasse krüptopettusesse ja kuidas stsenaariumi ära tunda.
Ära kauple seal, kus mängid: Miks sul on vaja eraldi Krüpto Sülearvutit
Sinu mänguriarvuti on täis tagauksi. Sinu telefon on täis jälgijaid. Miks eraldi 'pangaseadme' ostmine 200 dollari eest on parim kindlustus.