کوین استتز پس از هک اپلیکیشن خود را به طور موقت تعلیق کرد
کاربران کوین استتز پس از اینکه اعلان جعلی برنده شدن جایزه، نقص های امنیتی را فاش کرد، تشویق شدند تا کلیدهای خصوصی خود را صادر کرده و از آنها استفاده کنند.
کوین استتز (CoinStats)، اپلیکیشن پورتفولیوی ارز دیجیتال، برای رسیدگی به یک حادثه امنیتی، برنامه خود را به طور موقت تعطیل کرده است. این شرکت اعلام کرد که این نقض به ۱،۵۹۰ کیف پول یا ۱.۳٪ از کل کیف پول های کوین استتزمحدود شده است. این شرکت گزارش داد که کیف پول های متصل و صرافی های متمرکز (CEX) تحت تأثیر قرار نگرفته اند. کوین استتز همچنین در حال بررسی اعلان جعلی برنده شدن جایزه است که برخی از کاربران iOS و Android دریافت کرده اند.
یادداشت نویسنده: به عنوان یک حامی قدیمی کوین استتز، من شخصاً وجوه کمی در یک کیف پول کوین استتزکه در حدود سال ۲۰۲۲ ایجاد شده بود، داشتم. این وجوه حدود ۱.۵ ساعت قبل از ارسال اعلان جعلی برنده شدن جایزه به کاربران، از کیف پولی که به هیچ برنامه خارجی متصل نبود، خارج شد. وجوه حاصل از هر دو کیف پول اتریوم و پالیگان اکنون در اختیار مهاجم است.
کوین استتز اعلام کرد که لیست کیف پول های آسیب دیده ممکن است با پیشرفت تحقیقات به روز شود، اما تغییرات قابل توجهی انتظار نمی رود. به کاربران با کیف پول های آسیب دیده توصیه می شود در صورت امکان، وجوه خود را با استفاده از کلیدهای خصوصی صادر شده خود، فوراً انتقال دهند. کوین استتز پیوندی به لیست کیف پول های آسیب دیده ارائه کرد.
اعلان جعلی برنده شدن جایزه ۱۴.۲ اتریوم برای کاربران
این اعلان جعلی، کاربران را از دریافت جایزه مطلع کرده و از آنها خواست تا وارد کیف پول CoinStats AirScout شوند. این لینک کاربران را به یک وب سایت فریبنده هدایت می کرد که از طریق اعلان فشاری کوین استتز و اعلان درون برنامه ای رسمی در صفحه اصلی برنامه تبلیغ می شد. این شرکت در حال بررسی این موضوع است و از بابت این مشکل عذرخواهی کرده و به کاربران اطمینان داده است که در اسرع وقت به روزرسانی هایی ارائه خواهد شد.
این پیام همچنین به دروغ اعلام کرد که این رویداد برای جشن گرفتن عبور از مرز ۲ میلیون کاربر کوین استتز او راه اندازی CoinStats AirScout بوده است و به دروغ بیان کرد که ارز دیجیتال کاربران به کیف پول CoinStats AirScout منتقل شده است.
این شرکت در حال بررسی فعالانه میزان وجوه به خطر افتاده است و با در دسترس قرار گرفتن اطلاعات بیشتر، به روزرسانی هایی را ارائه خواهد کرد. تلاش ها برای بازیابی عملکرد برنامه در اسرع وقت در حال انجام است و کوین استتز از صبر کاربران در این مدت قدردانی کرده است.
کریپتو اسلیت لحظاتی پس از ارسال این اعلان با کوین استتز تماس گرفت اما پاسخی دریافت نکرد.
علل احتمالی نقض کلید خصوصی
در حالی که کوین استتز هنوز به طور علنی اطلاعاتی در مورد علت حمله فاش نکرده است، این حادثه ممکن است نگرانی هایی را در مورد اینکه آیا کلیدهای خصوصی روی سرور آنها ذخیره شده اند و تصادفی بودن کیف پول های ایجاد شده از درون برنامه را ایجاد کند، به ویژه از آنجایی که به نظر می رسد تنها کیف پول های ایجاد شده توسط کوین استتز به طور خاص هدف قرار گرفته و خالی شده اند.
توانایی مهاجمان برای دسترسی به سرور و ارسال اعلان فشاری مخرب نشان می دهد که آنها ممکن است همچنین در مورد فرآیند ایجاد کیف پول نیز به اطلاعاتی دست یافته باشند. هر گونه ضعف احتمالی در تولید اعداد تصادفی که در آن زمان استفاده می شد، می توانست به مهاجمان اجازه دهد تا کلیدهای خصوصی را پیش بینی کرده و وجوه کاربران را به خطر بیندازند.
به نظر می رسد تا این لحظه هیچ کیف پول یا اتصالی از طریق API که با برنامه پورتفولیوی کوین استتز به اشتراک گذاشته شده است تحت تأثیر قرار نگرفته اند. با این حال، برخی از کاربران گزارش داده اند که سایر کیف پول هایی که برای استفاده از ویژگی های دیفای متصل شده اند، خالی شده اند. این موارد در حال حاضر توسط کوین استتز تأیید نشده است.
کوین استتز به سرعت عمل کرد و ظرف چند ساعت پس از حادثه، دسترسی به برنامه را حذف کرد. در زمان چاپ این مطلب، برنامه همچنان به دلیل ادامه تحقیقات غیرفعال است.
منبع: کریپتو اسلیت