وجود باگ امنیتی در مرورگر گوگل کروم؛ Chrome خود را آپدیت کنید!
برخی گزارشها حاکی از این است که وقوع یک باگ امنیتی در مرورگر گوگل کروم منجر به تحت خطر قرار گرفتن دارایی کاربرانی که کیف پول نرم افزاری خود را به این مرورگر متصل کرده بودند، شده است. تیم توسعهدهنده این مرورگر در تاریخ ۲۲ مارس آپدیت جدیدی را منتشر کرد که این مشکل را برطرف میکند. کارشناسان توصیه کردهاند کاربرانی که از کیف پولهای گرم استفاده میکنند، هرچه زودتر مرورگر کروم خود را بهروزرسانی کنند.
به گزارش میهن بلاکچین و به نقل از Cryptoslate، شرکت گوگل در تاریخ ۲۲ مارس (۲ فروردین) آپدیت جدید و اضطراری از مرورگر محبوب خود (گوگل کروم) را منتشر کرد. این آپدیت برای برطرف کردن مشکل امنیتی گوگل کروم عرضه شد که یکی از تاثیرات آن، تحت خطر گرفتن دارایی کاربران در کیف پولهای گرم (هات والت) متصل به این مرورگر بود. هات والتها انواعی از کیف پول هستند که بر خلاف کیف پولهای سخت افزاری به صورت مستقیم به اینترنت متصل هستند و به ذخیرهسازی دادههای خود مشغول هستند.
این ایراد به موتور جاوا اسکریپت تعبیهشده در مرورگر گوگل کروم مربوط بوده است. بنابر این تمام مرورگرهای مبتنی بر کدبیس کرومیوم (chromium) را شامل میشده است. احتمالا این آپدیت پس از گزارش کاربرانی که کیف پول آنها از طریق این مرورگر هک شده است، تهیه و منتشر شده است.
در اوایل هفته گذشته، آرتور چئونگ (Arthur Cheong) موسس شرکت دیفاینس کپیتال (DeFiance Capital) در توییتی اعلام کرد که کیف پول او هک شده است و بیش از ۱.۵ میلیون دلار دارایی خود که شامل توکنهای مختلف و NFTهای از مجموعه آزوکی (Azuki) را از دست داده است. چئونگ تصویری از یک ایمیل را منتشر کرد که حاوی فایلی با عنوان «خطرات استیبل کوینها» بود. در ظاهر همه چیز این ایمیل طبیعی به نظر میآمد و به نظر میرسید از طرف یک منبع معتبر فرستاده شده است. باز کردن فایل درون این ایمیل منجر به اجرا شدن کدهای مخربی در مرورگر گوگل کروم میشد که ممکن بود دسترسیهای غیرمجازی برای خواندن اطلاعات از این مرورگر در اختیار مهاجمان قرار دهد. به نظر میرسد که در این حمله فیشینگ، هکرها با گرفتن دسترسی به سرویس گوگل داکس (Google Docs) کاربر (برای فرستادن اطلاعات قربانی) و اجرای کد مخرب اشاره شده (برای گرفتن اطلاعات قربانی)، مسیری غیرمجاز برای دستیابی به عبارت بازیابی (seed phrase) کیف پول قربانی فراهم میشده است و بلافاصله داراییهای او به سرقت میرفته است.
با توجه به عجله هکرها برای فروش این NFTها در پلتفرم اوپنسی، برخی از حامیان چئونگ نسبت به خرید برخی از NFTهای به سرقترفته آزوکی زیرقیمت واقعی آنها اقدام کردند و سپس آن را با همین قیمت به وی بازگرداندند. این در حالی است که فروش این داراییها با ارزش واقعی خود در بازار میتوانست سود زیادی را نصیب این خریداران کند.
چئونگ در ادامه در توییتی در مورد این اتفاق نوشت:
هنوز مطمئن نیستم دقیقا چه اتفاقی برای من افتاده است و نیاز به زمان بیشتر دارم تا در مورد آن فکر کنم. اصلا انتظار این را نداشتم که چنین اتفاقی برای من رخ دهد. گمان میکنم که دیگر از کیف پولهای گرم استفاده نکنم.
وقوع این اتفاق تردیدها را در مورد استفاده کاربران از کیف پولهای گرم افزایش خواهد داد. چندی پیش تیم توسعهدهنده کیف پول سخت افزاری لجر (Ledger) به کاربران در مورد استفاده از امضای کور (Blind Signatures) در هنگام استفاده از برنامههای غیرمتمرکز (DApps) هشدار داده بود.
کارشناسان توصیه کردهاند کاربرانی که از کیف پولهای گرم استفاده میکنند، هرچه زودتر مرورگر کروم خود را بهروزرسانی کنند.