Advertisement
Công ty cảnh báo rằng nếu người dùng Apple cho phép sao lưu tự động dữ liệu của ví MetaMask trên iCloud thì seed phrase của họ cũng đang được lưu trữ trực tuyến.
MetaMask, nhà cung cấp ví tiền mã hóa sở hữu bởi ConsenSys, đã đưa ra một cảnh báo tới cộng đồng về các cuộc tấn công giả mạo trên iCloud.
Vấn đề bảo mật cho người dùng iPhone, Mac và iPad liên quan đến những cài đặt thiết bị mặc định. Theo đó, seed phrase của người dùng, hay “kho tiền MetaMask được mã hóa bằng mật khẩu”, được lưu trữ trên iCloud nếu người dùng cho phép sao lưu tự động dữ liệu ứng dụng của họ.
(*seed phrase: là một chuỗi các từ được tạo ra bởi ví tiền mã hóa, cung cấp cho bạn quyền truy cập vào tài sản mã hóa chứa trong ví. Seed phrase có thể được hiểu đơn giản là mật khẩu cho ví tiền mã hóa của bạn)
Trong một bài đăng trên Twitter hôm thứ Hai (18/4), MetaMask lưu ý rằng người dùng có nguy cơ mất tiền nếu mật khẩu Apple “không đủ khỏe” và kẻ tấn công có thể đánh cắp thông tin đăng nhập của họ. Để khắc phục vấn đề này, người dùng có thể tắt sao lưu tự động dữ liệu MetaMask trên iCloud.
🔒 If you have enabled iCloud backup for app data, this will include your password-encrypted MetaMask vault. If your password isn’t strong enough, and someone phishes your iCloud credentials, this can mean stolen funds. (Read on 👇) 1/3
— MetaMask 🦊💙 (@MetaMask) April 17, 2022
Cảnh báo từ MetaMask là phản hồi đối với trường hợp một người sưu tầm NFT có tên “revive_dom” trên Twitter báo cáo rằng ví tiền chứa 650.000 đô tài sản số và NFT của anh đã bị đánh cắp vì vấn đề bảo mật này.
Trong bài đăng trên Twitter hôm 19/4, người dùng có tên “Serpent”, người sáng lập dự án DAPE NFT, giải thích chuyện gì đã xảy ra với nạn nhân, giúp gây sự chú ý tới MetaMask với 277.000 người theo dõi của họ.
Họ cho biết rằng nạn nhân đã nhận được nhiều tin nhắn yêu cầu cài đặt lại mật khẩu cho Apple ID và một cuộc gọi được cho là từ Apple nhưng thực chất là ID giả mạo.
Không có sự nghi ngờ với người gọi, “revive_dom” đã đưa ra một mã code xác minh 6 chữ số để chứng minh rằng họ sở hữu tài khoản Apple này. Sau đó, kẻ lừa đảo dập máy và truy cập vào tài khoản MetaMask của họ thông qua dữ liệu được lưu trữ trên iCloud.
Key takeaways
– ALWAYS use a cold wallet to store your valuables
– Never give out verification codes to ANYONE
– Protect your information, don't give out your phone number or your personal email
– Caller information is easy to spoof. Companies like Apple will never call you— Serpent (@Serpent) April 17, 2022
Sau cảnh báo của MetaMask, “revive_dom” đã thể hiện sự tức giận với công ty: “Tôi không nói là họ không nên làm vậy nhưng họ nên nói với chúng ta. Đừng bảo chúng tôi không bao giờ được lưu trữ seed phrase dưới dạng kỹ thuật số nhưng rồi lại làm thế sau lưng chúng tôi. Nếu 90% người dùng biết về điều này từ trước thì tôi cá là chẳng có ai sẽ sử dụng ứng dụng này hay bật iCloud lên”.
Trong khi phản ứng của cộng đồng phần lớn là tích cực, nhiều người nhấn mạnh tầm quan trọng của việc giữ ví tiền số ngoại tuyến và điều tra kỹ càng trước khi lưu trữ tài sản số trong ví nóng.
