Kryptosikkerhedstrusler og svindelmetoder
Denne metode har allerede udtømt mere end 300 millioner dollars fra kryptobrugere ved at udnytte tillid på platforme som Telegram. Samtidig afslørede Ethereum-udviklere, at en tidligere uopdaget fejl i Prysm, der blev introduceret før Fusaka-opgraderingen, forårsagede en midlertidig valideringsnedgang den 4. december. Dette førte til mistede slots og tabte belønninger, men stoppede kort før et tab af endelighed. Selvom begge hændelser i sidste ende blev indeholdt, beviser de, at der stadig er en række bekymrende trusler mod kryptosikkerhed.
Nordkoreanske hackinggrupper og Zoom-svindel
Cybersecurity nonprofit Security Alliance (SEAL) udsendte en ny advarsel efter at have opdaget flere daglige svindelforsøg knyttet til nordkoreanske hackinggrupper, der er afhængige af falske Zoom-møder for at kompromittere ofre.
Ifølge SEAL og sikkerhedsforsker Taylor Monahan har kampagnen allerede resulteret i mere end 300 millioner dollars i stjålne midler, med kryptobrugere, udviklere og protokolhold blandt de primære mål. Svindlen begynder typisk på Telegram, hvor et offer kontaktes af en konto, der ser ud til at tilhøre nogen, de allerede kender. Fordi kontoen ser bekendt ud, er ofrene mindre tilbøjelige til at være mistænksomme.
Svindelmetoden
Efter en afslappet samtale foreslår angriberen at tage en Zoom-samtale. Før mødet sendes offeret et link, der ser legitimt ud, men ofte er maskeret eller subtilt ændret. Når opkaldet starter, ser offeret ægte videooptagelser af den påståede person eller deres angivelige kolleger. Monahan forklarede, at disse videoer ikke er deepfakes, men genbrugte optagelser taget fra tidligere hacks eller offentligt tilgængelige kilder som interviews eller podcasts, hvilket gør opsætningen meget overbevisende.
Når opkaldet er i gang, lader angriberne som om, de har lyd- eller tekniske problemer og beder offeret om at installere en patch eller opdatering for at løse problemet. Den fil er nøglen til angrebet. At åbne den installerer malware på offerets enhed, hvilket giver hackerne adgang til følsomme oplysninger.
Konsekvenser og anbefalinger
Kort efter afslutter angriberne brat opkaldet, normalt med påstanden om, at de skal omplanlægge, alt imens de forsøger at undgå at vække mistanke. Når offeret indser, at noget er galt, kan deres enhed allerede være fuldstændig kompromitteret. Malware giver angriberne mulighed for at stjæle private nøgler, adgangskoder, virksomhedsdata og adgang til messaging-apps som Telegram.
Kontrol over Telegram-konti er især farligt, da hackere derefter bruger gemte kontakter til at udgive sig for offeret og målrette venner, kolleger og forretningspartnere. Monahan rådede, at enhver, der har klikket på et mistænkeligt Zoom-relateret link, straks bør afbryde forbindelsen til WiFi og slukke for den berørte enhed. Ved at bruge en separat, ikke-kompromitteret enhed bør ofrene flytte kryptovalutaaktiver til nye tegnebøger, ændre alle adgangskoder, aktivere to-faktor-godkendelse og sikre deres Telegram-konto ved at afslutte alle andre sessioner og opdatere sikkerhedsindstillingerne.
Prysm-fejl og konsekvenser for Ethereum-netværket
I mellemtiden bekræftede Prysm-udviklere, at en softwarefejl, der blev introduceret før Ethereums Fusaka-opgradering, var ansvarlig for et nodevalideringsproblem, der forstyrrede netværket tidligere på måneden. I et post-mortem, der blev offentliggjort søndag, forklarede Ethereum-udvikler Terence Tsao, at hændelsen, der fandt sted den 4. december, stammede fra en fejl, der blev implementeret på testnetværk cirka en måned før Fusaka gik live på mainnet.
Selvom fejlen eksisterede i testmiljøer, blev den aldrig aktiveret før opgraderingen, hvilket gjorde det muligt for den at nå produktion uden at blive opdaget. Problemet stammede fra en specifik ændring i Prysm-koden, der ændrede, hvordan klienten håndterede visse kanttilfælde, der involverede ud-af-synk-noder.
Da fejlen blev aktiveret på mainnet, begyndte Prysm-noder at opleve alvorlig ressourceudtømning, mens de behandlede attesteringer. I stedet for at stole på den nuværende hovedtilstand af kæden, forsøgte de berørte noder at regenerere ældre tilstande fra bunden. Dette tvang Prysm til at genafspille historiske epokeblokke og genberegne beregningsmæssigt dyre tilstandsovergange, hvilket dramatisk øgede arbejdsbyrden og forringede ydeevnen på tværs af de berørte validatorer.
Afsluttende bemærkninger
Indvirkningen var målbar, men indeholdt. I en periode på mere end 42 epoker oplevede Ethereum en forhøjet rate af mistede slots på cirka 18,5%, mens validatorernes deltagelse faldt til omkring 75%. Prysm estimerede, at validatorer, der kørte sin klient, samlet set mistede omkring 382 Ether i mistede attestationsbelønninger under forstyrrelsen. På trods af disse tilbageslag fortsatte Ethereum med at operere uden et fuldt tab af endelighed, og netværket genvandt sig, når afbødningsforanstaltninger blev implementeret.
Nodeoperatører blev hurtigt instrueret i at anvende en midlertidig løsning, mens Prysm-udviklere arbejdede på og frigav en patch for permanent at løse problemet. Løsningen sikrede, at Prysm ikke længere unødigt regenererede tidligere tilstande, hvilket eliminerede den overflødige beregningsmæssige byrde, der forårsagede nedgangen. Udviklerne understregede, at hændelsen kunne have været meget mere alvorlig, hvis den havde påvirket Ethereums dominerende konsensusklient, Lighthouse. Prysm tegner i øjeblikket for cirka 17,6% af netværket, hvilket gør det til den næststørste klient efter andel. Fordi ingen enkelt klient kontrollerede mere end en tredjedel af validatorerne på det tidspunkt, undgik Ethereum et midlertidigt tab af endelighed eller udbredte blokproduktionsfejl. Episoden genoplivede dog bekymringer omkring klientkoncentration. Lighthouse repræsenterer stadig mere end halvdelen af Ethereums konsensuslag, hvilket efterlader netværket ubehageligt tæt på den tærskel, hvor en enkelt klientfejl kunne have systemiske konsekvenser.
