وجود باگ امنیتی در مرورگر گوگل کروم؛ Chrome خود را آپدیت کنید!

برخی گزارش‌ها حاکی از این است که وقوع یک باگ امنیتی در مرورگر گوگل کروم منجر به تحت خطر قرار گرفتن دارایی کاربرانی که کیف پول نرم افزاری خود را به این مرورگر متصل کرده بودند، شده است. تیم توسعه‌دهنده این مرورگر در تاریخ ۲۲ مارس آپدیت جدیدی را منتشر کرد که این مشکل را برطرف می‌کند. کارشناسان توصیه کرده‌اند کاربرانی که از کیف پول‌های گرم استفاده می‌کنند، هرچه زودتر مرورگر کروم خود را به‌روزرسانی کنند.

به گزارش میهن بلاکچین و به نقل از Cryptoslate، شرکت گوگل در تاریخ ۲۲ مارس (۲ فروردین) آپدیت جدید و اضطراری از مرورگر محبوب خود (گوگل کروم) را منتشر کرد. این آپدیت برای برطرف کردن مشکل امنیتی گوگل کروم عرضه شد که یکی از تاثیرات آن، تحت خطر گرفتن دارایی کاربران در کیف پول‌های گرم (هات والت) متصل به این مرورگر بود. هات والت‌ها انواعی از کیف پول هستند که بر خلاف کیف پول‌های سخت افزاری به صورت مستقیم به اینترنت متصل هستند و به ذخیره‌سازی داده‌های خود مشغول هستند.

این ایراد به موتور جاوا اسکریپت تعبیه‌شده در مرورگر گوگل کروم مربوط بوده است. بنابر این تمام مرورگرهای مبتنی بر کدبیس کرومیوم (chromium) را شامل می‌شده است. احتمالا این آپدیت پس از گزارش کاربرانی که کیف پول آن‌ها از طریق این مرورگر هک شده است، تهیه و منتشر شده است.

در اوایل هفته گذشته، آرتور چئونگ (Arthur Cheong) موسس شرکت دی‌فاینس کپیتال (DeFiance Capital) در توییتی اعلام کرد که کیف پول او هک شده است و بیش از ۱.۵ میلیون دلار دارایی خود که شامل توکن‌های مختلف و NFTهای از مجموعه آزوکی (Azuki) را از دست داده است. چئونگ تصویری از یک ایمیل را منتشر کرد که حاوی فایلی با عنوان «خطرات استیبل کوین‌ها» بود. در ظاهر همه چیز این ایمیل طبیعی به نظر می‌آمد و به نظر می‌رسید از طرف یک منبع معتبر فرستاده شده است. باز کردن فایل درون این ایمیل منجر به اجرا شدن کدهای مخربی در مرورگر گوگل کروم می‌شد که ممکن بود دسترسی‌های غیرمجازی برای خواندن اطلاعات از این مرورگر در اختیار مهاجمان قرار دهد. به نظر می‌رسد که در این حمله فیشینگ، هکرها با گرفتن دسترسی به سرویس گوگل داکس (Google Docs) کاربر (برای فرستادن اطلاعات قربانی) و اجرای کد مخرب اشاره شده (برای گرفتن اطلاعات قربانی)، مسیری غیرمجاز برای دستیابی به عبارت بازیابی (seed phrase) کیف پول قربانی فراهم می‌شده است و بلافاصله دارایی‌های او به سرقت می‌رفته است.

با توجه به عجله هکرها برای فروش این NFTها در پلتفرم اوپن‌سی، برخی از حامیان چئونگ نسبت به خرید برخی از NFTهای به سرقت‌رفته آزوکی زیرقیمت واقعی آن‌ها اقدام کردند و سپس آن را با همین قیمت به وی بازگرداندند. این در حالی است که فروش این دارایی‌ها با ارزش واقعی خود در بازار می‌توانست سود زیادی را نصیب این خریداران کند.

چئونگ در ادامه در توییتی در مورد این اتفاق نوشت:

هنوز مطمئن نیستم دقیقا چه اتفاقی برای من افتاده است و نیاز به زمان بیشتر دارم تا در مورد آن فکر کنم. اصلا انتظار این را نداشتم که چنین اتفاقی برای من رخ دهد. گمان می‌کنم که دیگر از کیف پول‌های گرم استفاده نکنم.

وقوع این اتفاق تردیدها را در مورد استفاده کاربران از کیف پول‌های گرم افزایش خواهد داد. چندی پیش تیم توسعه‌دهنده کیف پول سخت افزاری لجر (Ledger) به کاربران در مورد استفاده از امضای کور (Blind Signatures) در هنگام استفاده از برنامه‌های غیرمتمرکز (DApps) هشدار داده بود.

کارشناسان توصیه کرده‌اند کاربرانی که از کیف پول‌های گرم استفاده می‌کنند، هرچه زودتر مرورگر کروم خود را به‌روزرسانی کنند.