Хакеры похитили 400.000 долларов у владельцев кибервалютных кошельков Jaxx
Из-за уязвимости в десктопной версии Jaxx пользователи этих кошельков уже потеряли около 400 000 долларов.
Уязвимость
Согласно отчету Vx Labs в кроссплатформенных криптовалютных кошельках Jaxx была обнаружена уязвимость, которая позволяет хакерам похитить криптовалюту у пользователей этих кошельков. Это уже привело к тому, что они потеряли около 400000 долларов.
Этот отчет был опубликован в пятницу, 9 июня. В отчете продемонстрирована возможность, благодаря которой хакеры могут получить доступ к backup фразе владельца кошелька, а затем использовать ее для того, чтобы восстановить кошелек пользователя со всеми частными ключами в нем. Все что остается после этого сделать - перевести деньги с восстановленного кошелька на кошелек хакера.
Из отчета:
Даже если в вашем кошельке Jaxx настроен пин, любой, кто получит к вашему компьютеру удаленный доступ более чем на 20 секунд, сможет извлечь 12-ти словную backup фразу и скопировать ее. Для того чтобы это сделать даже не нужно запускать кошелек Jaxx.
Разработчик Monero Рикардо, известный также как fluffypony, написал об этом отчете у себя в твиттере, предполагая, что если сведения об этой дыре в безопасности станут публичными, то уязвимость будет исправлена до того, как хакеры воспользуются ней.
Altcointrading утверждает, что пользователи уже потеряли около 400.000 долларов в различных криптовалютах включая Bitcoin, Ethereum, Ethereum Classic, and Zcash.
Пользователи, которые пользуются кошельком Jaxx только на смартфонах находятся в относительной безопасности, однако, если вы используете обе версии: смартфон и десктопную, то вы рискуете стать жертвой злоумышленников.
Ответ Jaxx
Технический директор Jaxx Ниланг Ваяз не видит в этой уязвимости большой проблемы так как Jaxx - быстрый кошелек, предполагается, что пользователи не будут хранить там большие суммы. Более того, он считает, что они нашли оптимальный баланс между простотой использования, безопасностью и портативностью.
Он также обратился к пользователям с просьбой не использовать Jaxx кошельки, если их не устраивает их модель безопасности. Он отметил:
"Пожалуйста, пожалуйста, пожалуйста! Если наша система безопасности вас не удовлетворяет - не используете наши продукты."
Согласно этому посту команда Jaxx удовлетворена системой безопасности своих "быстрых кошельков", они не рекомендуют хранить там значительные суммы денег. Он также отметил, что в будущем пользователи смогут обеспечить безопасность своих кошельков используя Trezor или Ledger.
Основываясь на таком ответе, Vx Labs рекомендует пользователям держаться подальше от Jaxx, по крайней мере, до тех пор, пока они не исправит эту уязвимость.