MyEtherWallet uruchomi aplikację mobilną MEW Connect w celu zwiększenia bezpieczeństwa

MEWConnect

Niezwykle popularna usługa MyEtherWallet ogłosiła, że ​​uruchomi nową aplikację mobilną, aby zwiększyć bezpieczeństwo korzystania z witryny, która była już wielokrotnie skutecznie atakowana. Cel aplikacji (z niefortunną nazwą MEW Connect) ma nie tylko chronić użytkowników przed atakami phishingowymi, ale także działać jako swego rodzaju portfel sprzętowy. Innymi słowy, nie będzie wymagać od użytkowników wprowadzania ich klucza prywatnego do witryny, co jest ogólnie bardzo ryzykowne.

MEWConnect

MEW CONNEEEEECT!

Pomimo złego wyboru nazewnictwa (i uważamy, że wszystko, co kryptograficzne związane ze słowem connect, jest prawdopodobnie złym pomysłem na co najmniej następną dekadę), pomysł pojawia się w krytycznym punkcie historii kryptografii, w którym obserwujemy coraz większą liczba ataków różnego typu. W szczególności ataki wymierzone w znane cele, takie jak giełdy i usługi portfeli.

Carlos Matos

Były rzecznik BitConnect Carlos Matos wykonał swój niesławny „BitConnect!” krzyczeć i przypominając nam wszystkim, dlaczego słowo „connect” nie powinno być nigdy więcej używane w projekcie kryptograficznym

MyEtherWallet był atakowany głównie na trzy różne sposoby.

Pierwszy sposób polegał na wyłudzaniu informacji na stronach, na których oszuści tworzyli reklamy Google lub inne reklamy podobnej strony. Początkujący użytkownicy kryptowalut, którzy są najbardziej podatni na tego rodzaju atak, uzyskaliby wówczas dostęp do witryny i wprowadzili swoje klucze prywatne. Spowodowało to oczywiście całkowitą utratę całej zawartości ich kont, takich jak eter i tokeny ERC-20. W odpowiedzi na tego rodzaju działania większość głównych usług internetowych położyła kres wszelkim reklamom związanym z kryptowalutami. Jednak ten trend może się odwrócić, ponieważ reklamy Coinbase pojawiają się teraz w Google, Instagramie i innych usługach.

Kolejny poważny typ ataku, jaki zobaczył MyEtherWallet, był oparty na ataku na usługę DNS, w której użytkownicy wpisywali lub w inny sposób odwiedzali prawidłowy adres URL, byli nieuczciwie przekierowywani na stronę phishingową. Atak pozostawał aktywny tylko przez kilka godzin, ale szacunki sugerują, że podczas próby hakerzy ukradli sporo pieniędzy.

Ostatnim interesującym wektorem ataku, o którym tutaj wspomnimy, jest ten, w którym użytkownicy usługi Hola VPN mieli wszystkie żądania odwiedzenia MyEtherWallet przez pięć godzin i były kierowane na stronę phishingową. W pewnym sensie ten atak miał podobny wynik do włamania do DNS.

W świetle tego typu ataków MEW Connect wchodzi na rynek.

Uruchomienie wersji beta

Usługa nie została jeszcze uruchomiona i wkrótce wejdzie do zamkniętej bety dla szczęśliwej grupy osób wybranych do udziału. Wersja beta będzie dostępna tylko na iOS, ale strona mówi, że wkrótce pojawi się wersja na Androida.

Niektóre z funkcji dostępnych w usłudze obejmują szyfrowanie po stronie klienta, weryfikacje transakcji, kopie zapasowe kont i oczywiście ochronę przed hakerami i phishingiem.

Według TechCrunch, system działa w sposób znany większości mobilnych użytkowników kryptowalut. W związku z tym używa zeskanowanych kodów QR zamiast konieczności wprowadzania kluczy prywatnych. Przypuszczalnie użytkownik wprowadzi swoje klucze prywatne do aplikacji mobilnej i od tej pory nigdy nie będzie musiał wprowadzać kluczy prywatnych do komputera lub przeglądarki.

Artykuł TechCrunch potwierdza, że ​​MEW Connect użyje „usług pęku kluczy Apple do zaszyfrowania aplikacji – która, jak twierdzi, zachowuje dane na urządzeniu – i sparuje ją z równorzędnym partnerem internetowym”.

Świat bez kluczy

Jednym z ważnych kroków w kierunku powszechnego przyjęcia kryptowalut jest to, że interakcja z portfelem użytkownika powinna być łatwa i niezawodna. Innymi słowy, portfele powinny być zaprojektowane tak, aby komuś niedoświadczonemu trudno było popełnić poważny błąd iw konsekwencji stracić wszystkie swoje środki.

Na przykład przeciętny użytkownik najprawdopodobniej nie powinien nigdy potrzebować interakcji ze swoimi kluczami prywatnymi. Dzieje się tak, ponieważ klucz prywatny jest najbardziej wrażliwym punktem ataku. Jeśli nowy użytkownik zostanie w jakiś sposób przekonany lub oszukany do porzucenia swojego klucza prywatnego, nie wiedząc, co to jest, tego rodzaju ataki będą kontynuowane. Nie oznacza to, że portfel powinien koniecznie ograniczać użytkownikowi dostęp do klucza prywatnego, jeśli wie, co to jest lub do czego służy, ale dla większości użytkowników nietechnicznych bezpośredni dostęp lub interakcja z kluczem prywatnym powinny być niepotrzebne z założenia.

Na przykład dobrze zaprojektowany portfel mobilny powinien generalnie obsługiwać tylko publiczne adresy użytkowników i kody QR do wysyłania i odbierania. Usługi takie jak MyEtherWallet zapewniają dużą elastyczność w interakcji z łańcuchem bloków Ethereum. Ale kiedy nauczyliśmy się na własnej skórze, że potencjalnie miliony dolarów zostały utracone w wyniku włamań do tej jednej usługi, sposób, w jaki teraz wszystko jest skonfigurowane, po prostu nie działa dla przeciętnego i potencjalnie niedoświadczonego użytkownika.

Powodem, dla którego ludzie korzystają obecnie z usług takich jak karty kredytowe i bankowość online, jest poczucie bezpieczeństwa. Dzieje się tak częściowo dlatego, że te systemy zostały zaprojektowane z myślą o użytkownikach nietechnicznych. Po części dzieje się tak również dlatego, że jeśli dojdzie do kradzieży, istnieje ubezpieczony bank, który pokryje wszelkie straty. Kryptowaluta nie ma ubezpieczonych banków na pokrycie strat, więc aby przekonać przeciętnego użytkownika, że ​​kryptowaluta jest bezpieczna, oprogramowanie, którego używamy do interakcji z nią, musi być absolutnie kuloodporne.

Być może MEW Connect będzie krokiem w kierunku tego wzniosłego, ale zasadniczego celu.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
map