【戶口清零】助記詞自動備份iCloud出事 MetaMask電子錢包用家痛失65萬美元
愈來愈多人加入加密貨幣及非同質化代幣 (NFT) 市場,不過在投資之餘,用家卻未必擁有相關的網絡保安知識,例如未有好好保管電子錢包帳戶的助記詞 (seed phrase),導致錢包帳戶被清空。其中一個加密貨幣電子錢包供應商 MetaMask 用家最近就成為受害者,供應商因未有知會用家儲存在 app 內的 seed phrase 會自動備份到 iCloud 帳戶上,因此有用家在釣魚攻擊下痛失存款,最慘烈的個案更損失價值 65 萬美元儲存的資產,似乎使用 cold wallet 會較安全。
擁有 2,100 萬用家的 MetaMask 在週初發出警告,指出有使用其 iPhone、iPad 及 Mac 版本加密貨幣電子錢包用家遭受釣魚攻擊,導致 Apple iCloud 帳戶被奪,而由於這批用家啟動了 MetaMask app 的自動備份功能,因此黑客在登入其 iCloud 帳戶後,便可從中找到用家帳戶的 seed phrase 或加密密碼,繼而將帳戶內的資產轉走。MetaMask 指出如用家的 Apple 帳戶密碼過於簡單,便有可能成為下一個受害者,呼籲用家盡早關閉 app 內的自動備份功能。
公司發出警告的原因,在於有參與 NFT 投資的 MetaMask 用家 revive-dom,上星期五在 Twitter 貼出受害經歷,指帳戶內的 65 萬美元資產被掏空。而另一 NFT 計劃創辦人 Serpent 亦將相關個案跟 27 萬 followers 分享,從而令 MetaMask 要及早回應。根據受害者所說,他們早前收到訊息要求重設 Apple ID 密碼,同時亦收到來自 Apple 的電話,要求對方在重設密碼後說出 6 位數驗證碼。部分人不虞有詐,結果在交出驗證碼後,騙徒即闖入受害者 iCloud 帳戶,並於 MetaMask 的備份內找出 seed phrase,導致這次慘劇的出現。
對於 MetaMask 的警告,revive-dom 表示非常混亂,他說公司在備份 seed phrase 或加密密碼時應清楚向用家說明,又說如一早知道相關做法,相信 90% 現有用家不會選擇 MetaMask 服務或直接關閉自動備份功能。另外,亦有網民說通過這次事件便可明白冷錢包 (cold wallet) 的重要性,因為它會被離線儲存 seed phrase 或密碼,因此不用擔心發生上述個案。不過,冷錢包有利亦有弊,如用家不小心遺失,便有可能無法再登入帳戶,對失魂用家來說風險可能更大!
相關文章:【Green Radar電郵威脅指數】NFT成釣魚目標 迂迴騙取助記詞
https://www.wepro180.com/greti220119/