Portfel sprzętowy kryptowalutowy Trezor skompromitowany został już kilka miesięcy wstecz, a teraz znowu się pojawiają kolejne problemy. Jak się prawidłowo przed nimi uchronić?

Bug nienaprawialny oraz wyłudzenie informacji pshishing

Dokładnie kilka miesięcy temu światek kryptowalutowy bezpieczeństwa obiegła informacja o przeprowadzonym skutecznie oraz co najważniejsze, tanim, ataku fizycznym na portfel Trezor.

Oznacza to nic innego, że kradzież fizyczna portfela Trezor, skończyć się może utratą całkowitą środków poprzez ekstrakcję prywatnych kluczy. I okazuje się to tylko przy pomocy sprzętu o wartości grubo poniżej stu dolarów w pięć minut. Jednak okazuje, że nie jest kompletnie tak, jak twórcy zapewniali, że potrzeba stu tysięcy dolarów, aby atak taki w ogóle mógł zostać przeprowadzony.

Twórcy sprzętu w samych projektowych założeniach już wiedzieli rzekomo o bugu nienaprawialnym błędzie, o którym jest tutaj mowa. W związku z tym wychodzi na to, że wszelkie portfele Trezor w przeszłości wyprodukowane i miejmy nadzieję, że to aktualnie już nie posiadają taki właśnie błąd.

A jak się przed nimi w ogóle ustrzec?

Na pewno odpowiedzią na to pytanie jest zabezpieczenie portfela Trezor o minimalnej długości trzydziestu siedmiu losowych znaków.

Nowa metoda na wyłudzenie informacji poprzez skonstruowane identycznie witryny, a więc phishing to sposób najnowszy działania oszustów, przed którymi właśnie chcemy Was możliwie najlepiej ustrzec.

Wydarzyło się zaledwie to zaledwie dwa tygodnie temu, gdy tak naprawdę jeden z użytkowników Trezor kliknął na klasyczną stronę, która takową się tylko wydawała. Nie był to jednak portfel zwykły przeglądarkowy. Został on natychmiast poinformowany o wersji oprogramowania najnowszej, którą należy dokładnie sobie zaktualizować. By tego w ogóle dokonać, jest potrzebne podanie SEED, czyli 12 czy też 24 słów szyfrujących nasz portfel.

Później wszystkie środki już przepadły.

Jaka była tego przyczyna? Okazało się, że przyczyną utraty środków są phishing-owe strony, które występują w formie reklamowej, jaki pozycje pierwsze pozycje w Google. Adresy tychże witryn się nieznacznie różnią od adresu oryginalnego – raz się dodaje literkę więcej, a innym razem kropkę i tym podobne.

Prowadzi w końcu to do wyłudzenia informacji, a potem nierzadko finansowych środków. Złudzeniem największym jest zbudowana identycznie witryna wizualnie, która zawiera nawet identyczne animacje.

A jak się ustrzec tego?

  1. Nikomu oraz nigdy i nigdzie, poza urządzeniem samym, nie wolno udostępniaj SEED-a – dwanaście na dwadzieścia cztery słowa
  2. Adres do wersji przeglądarkowej portfela Trezora należy zawsze wpisywać ręcznie w pasku adresu
  3. Opcjonalnie można zainstalować AdBlocka.

W zasadzie to już tyle. Mamy nadzieję, że przynajmniej jedną osobę nam się uda uratować przed utratą swoich kryptowalut. Naprawdę należy być ostrożnym oraz uważać, szczególnie na strony, które się podszywają bezpośrednio pod strony samych producentów oprogramowania oryginalnego.