แพลตฟอร์มความปลอดภัยบล็อกเชน GoPlus ได้เผยแพร่การแจ้งเตือนเหตุฉุกเฉินเมื่อวันที่ 10 เมษายน โดยระบุว่า EngageLab SDK ซึ่งถูกใช้อย่างแพร่หลายในสื่อแจ้งเตือนแบบพุชสำหรับ Android มีช่องโหว่ด้านความปลอดภัยอย่างร้ายแรง ส่งผลกระทบต่อผู้ใช้ Android มากกว่า 50 ล้านคน โดยประมาณ 30 ล้านคนเป็นผู้ใช้กระเป๋าเงินเข้ารหัส ผู้โจมตีสามารถติดตั้งมัลแวร์ที่ปลอมตัวเป็นแอปพลิเคชันที่ถูกต้องตามกฎหมายบนอุปกรณ์ของเหยื่อ เพื่อขโมยคีย์ส่วนตัวของกระเป๋าเงินเข้ารหัสและข้อมูลรับรองการเข้าสู่ระบบ
หลักการทางเทคนิคของช่องโหว่: แค่อาศัยการทำงานแบบเงียบๆ ของห่วงโซ่การโจมตีข้ามแอป
(ที่มา:GoPlus)
ข้อบกพร่องหลักของช่องโหว่นี้อยู่ที่ว่า EngageLab SDK ไม่ได้มีการตรวจสอบแหล่งที่มาของคำสั่งอย่างเพียงพอสำหรับกลไกการสื่อสาร Intent ของระบบ Android Intent เป็นกลไกที่ถูกต้องตามกฎหมายสำหรับการส่งคำสั่งระหว่างแอปของ Android แต่การนำไปใช้งานของ EngageLab SDK อนุญาตให้คำสั่งจากแหล่งที่ไม่ได้รับอนุญาตข้ามขั้นตอนการตรวจสอบตามปกติได้ ทำให้แอปเป้าหมายถูกกระตุ้นให้ดำเนินการที่อ่อนไหว
ห่วงโซ่การโจมตีครบ 3 ขั้นตอน
การฝังแอปที่เป็นอันตราย:ผู้โจมตีปลอมมัลแวร์ให้เป็นแอปที่ถูกต้องตามกฎหมาย และชักจูงให้เหยื่อติดตั้งบนอุปกรณ์ Android เครื่องเดียวกัน
การแทรก Intent ที่เป็นอันตราย:แอปที่เป็นอันตรายส่ง Intent ที่ถูกออกแบบมาอย่างพิถีพิถัน ไปยังคลังเงินเข้ารหัสหรือแอปการเงินที่ได้ผนวกรวม EngageLab SDK บนเครื่องเดียวกันอยู่แล้ว
การทำงานเกินสิทธิที่ไม่เหมาะสม:หลังจากแอปเป้าหมายได้รับ Intent แอปจะดำเนินการที่ไม่ได้รับอนุญาตโดยที่ผู้ใช้ไม่ทราบ รวมถึงการขโมยคีย์ส่วนตัวของกระเป๋าเงิน ข้อมูลรับรองการเข้าสู่ระบบ และข้อมูลที่อ่อนไหวอื่นๆ
ความอันตรายสูงสุดของห่วงโซ่การโจมตีนี้อยู่ที่ความสามารถในการทำงานแบบเงียบๆ:เหยื่อไม่จำเป็นต้องมีการดำเนินการใดๆ เพียงแต่อุปกรณ์มีแอปที่เป็นอันตรายร่วมกับแอปที่มี EngageLab SDK เวอร์ชันที่มีช่องโหว่ การโจมตีจะเสร็จสิ้นได้ในเบื้องหลัง
ขนาดผลกระทบ:ผู้ใช้เข้ารหัสเผชิญความเสี่ยงการสูญเสียสินทรัพย์ที่แก้ไขไม่ได้
EngageLab SDK ซึ่งเป็นองค์ประกอบพื้นฐานของการแจ้งเตือนแบบพุชที่ถูกใช้งานอย่างแพร่หลาย ถูกผนวกรวมเข้ากับแอป Android หลายพันรายการ ทำให้ขอบเขตการแพร่กระจายของช่องโหว่นี้อยู่ในระดับขนาดของ 50 ล้านเครื่อง โดยที่ผู้ใช้กระเป๋าเงินเข้ารหัสมีประมาณ 30 ล้านคน
เมื่อคีย์ส่วนตัวของกระเป๋าเงินเข้ารหัสถูกเปิดเผย ผู้โจมตีจะสามารถควบคุมสินทรัพย์บนเชนของเหยื่อได้อย่างสมบูรณ์ และเนื่องจากลักษณะการทำธุรกรรมบนบล็อกเชนที่ย้อนกลับไม่ได้ ทำให้การสูญเสียประเภทนี้แทบจะไม่สามารถเรียกคืนได้ ความเสี่ยงจึงสูงกว่ากรณีเหตุข้อมูลรั่วไหลของแอปทั่วไปอย่างมาก
มาตรการตอบสนองฉุกเฉิน:รายการการดำเนินการแบบทันทีของนักพัฒนาและผู้ใช้
คำแนะนำด้านความปลอดภัยแบบแบ่งกลุ่ม
- นักพัฒนาและผู้ให้บริการแอปพลิเคชัน
· ตรวจสอบทันทีว่าผลิตภัณฑ์ของคุณได้ผนวกรวม EngageLab SDK หรือไม่ และยืนยันว่าเวอร์ชันปัจจุบันต่ำกว่า 4.5.5 หรือไม่
· อัปเกรดเป็น EngageLab SDK 4.5.5 หรือเวอร์ชันที่ได้รับการแก้ไขอย่างเป็นทางการที่สูงกว่า (โปรดดูเอกสารอย่างเป็นทางการของ EngageLab)
· เผยแพร่อัปเดตเวอร์ชันใหม่อีกครั้ง และแจ้งให้ผู้ใช้ทำการอัปเดตโดยเร็วที่สุด
- ผู้ใช้ Android ทั่วไป
· ไปที่ Google Play ทันทีเพื่ออัปเดตแอปทั้งหมด โดยให้ความสำคัญกับแอปกระเป๋าเงินเข้ารหัสและแอปการเงินเป็นอันดับแรก
· ระมัดระวังแอปที่ดาวน์โหลดจากแหล่งที่ไม่ทราบที่มา หรือช่องทางที่ไม่ใช่ทางการ และหากจำเป็นให้ลบออกทันที
· หากสงสัยว่าคีย์ส่วนตัวถูกเปิดเผยแล้ว ควรสร้างกระเป๋าเงินใหม่บนอุปกรณ์ที่ปลอดภัย ย้ายสินทรัพย์ และปิดใช้งานที่อยู่เดิมอย่างถาวร
คำถามที่พบบ่อย
EngageLab SDK คืออะไร และเหตุใดจึงถูกผนวกรวมอย่างแพร่หลายในกระเป๋าเงินเข้ารหัส?
EngageLab SDK เป็นชุดซอฟต์แวร์จากบุคคลที่สามที่ให้ฟังก์ชันการแจ้งเตือนแบบพุชสำหรับ Android เนื่องจากความสะดวกในการนำไปใช้งาน จึงถูกเลือกใช้โดยแอปเป็นจำนวนมาก การแจ้งเตือนแบบพุชแทบเป็นฟีเจอร์มาตรฐานของแอปบนมือถือทั้งหมด ซึ่งทำให้ EngageLab SDK มีอยู่ในกระเป๋าเงินเข้ารหัสและแอปการเงินอย่างแพร่หลาย จนส่งผลให้ขอบเขตการแพร่กระจายของช่องโหว่นี้อยู่ที่ระดับผู้ใช้ 50 ล้านคน
จะยืนยันได้อย่างไรว่าระบบของฉันได้รับผลกระทบจากช่องโหว่นี้หรือไม่?
หากอุปกรณ์ Android ของคุณติดตั้งกระเป๋าเงินเข้ารหัสหรือแอปการเงิน และยังไม่ได้อัปเดตเป็นเวอร์ชันล่าสุด ก็มีความเสี่ยงที่จะได้รับผลกระทบ แนะนำให้อัปเดตแอปทั้งหมดทันทีใน Google Play Store นักพัฒนาสามารถตรวจสอบหมายเลขเวอร์ชันของ SDK ภายในแอป เพื่อยืนยันว่าใช้ EngageLab SDK เวอร์ชันที่ต่ำกว่า 4.5.5 หรือไม่
หากคีย์ส่วนตัวถูกเปิดเผยแล้ว ควรจัดการฉุกเฉินอย่างไร?
ควรสร้างที่อยู่กระเป๋าเงินใหม่ทั้งหมดบนอุปกรณ์ที่ไม่ได้รับการติดเชื้อทันที ย้ายสินทรัพย์ทั้งหมดจากกระเป๋าเงินเดิมไปยังที่อยู่ใหม่ และปิดใช้งานที่อยู่เดิมอย่างถาวร จากนั้นให้เปลี่ยนรหัสผ่านสำหรับการเข้าสู่ระบบของแพลตฟอร์มที่เกี่ยวข้องทั้งหมดพร้อมกัน และเปิดใช้งานการยืนยันตัวตนแบบสองขั้นตอนสำหรับบัญชีเพื่อลดความเสี่ยงที่จะถูกบุกรุกเพิ่มเติมในภายหลัง
btc.bar.articles
การโจมตีผ่านบริดจ์ของ Kelp DAO ส่งผลให้เกิด $293M Mint และทิ้ง Aave ไว้กับหนี้เสียมากกว่า $200M
ผู้โจมตีได้ใช้ประโยชน์จากช่องโหว่ในบริดจ์ข้ามเชนของ Kelp DAO โดยขโมย $293 ล้านดอลลาร์ของ rsETH ที่ไม่ได้รับการหนุนหลัง The incident ทำให้เกิดความสูญเสียอย่างมีนัยสำคัญสำหรับแพลตฟอร์ม DeFi โดย Aave ต้องเผชิญหนี้เสียสูงสุดถึง $236 ล้านดอลลาร์ และผลกระทบที่สำคัญต่อตลาด
GateNews2 ชั่วโมง ที่แล้ว
ผู้เชี่ยวชาญกล่าวหาว่า ตัวชี้วัดของเหรียญทางเลือกกำลังถูก “จัดฉาก” เพื่อหลอกลือนักลงทุน
นักวิจัยคริปโต Orbion แสดงความกังวลเกี่ยวกับความเป็นไปได้ที่ตัวชี้วัดสำคัญของตลาดอาจถูกบิดเบือน รวมถึงดัชนี Altseason และดัชนี Crypto Fear and Greed โดยระบุว่าตัวเลขที่ถูกทำให้สูงเกินจริงสร้างความมั่นใจที่เทียมขึ้นและทำให้นักลงทุนเข้าใจผิดเกี่ยวกับการเริ่มต้นของฤดูกาลอัลต์คอยน์
Coinpedia5 ชั่วโมง ที่แล้ว
Curve Finance ระงับโครงสร้างพื้นฐานของ LayerZero หลังเหตุแฮ็ก rsETH
Curve Finance ได้ระงับโครงสร้างพื้นฐานของ LayerZero ชั่วคราว เนื่องจากเหตุการณ์ด้านความปลอดภัยที่เกี่ยวข้องกับ rsETH โดยโปรโตคอลกำลังตรวจสอบปัญหานี้ ซึ่งส่งผลต่อการเชื่อมโยงข้ามสาย (cross-chain bridging) บางส่วน ขณะที่รายการอื่นยังคงดำเนินการตามปกติ
GateNews6 ชั่วโมง ที่แล้ว
ผู้ก่อเหตุเอ็กซ์พลอยต์ของ KelpDAO กู้ยืม $195M ETH จาก Aave, TVL ลดลง $6.28B ขณะที่วาฬถอนเงิน
ข้อความจาก Gate News ว่าผู้ก่อเหตุเอ็กซ์พลอยต์ของ KelpDAO ได้กู้ยืมมากกว่า 82,600 ETH ($195M) จาก Aave โดยใช้ RSETH เป็นหลักประกัน ส่งผลให้หนี้เสียปรากฏบน Aave หลังจากเหตุการณ์นี้ วาฬจำนวนมากได้ถอนเงินออกจาก Aave ทำให้ TVL ลดลงจาก $26.396B เหลือ $20.114B ลดลง $6.28B
GateNews9 ชั่วโมง ที่แล้ว
ผู้ร่วมก่อตั้ง Monad เสนอการกำหนดเพดานแบบไดนามิกสำหรับการฝากหลักประกัน เพื่อบรรเทาความเสี่ยงจากการถูกแฮ็ก
Keone Hon เสนอว่าโปรโตคอลการให้กู้แบบรวม (pooled lending) ควรนำไปใช้การจำกัดอัตราแบบค่อยเป็นค่อยไปกับการเพิ่มขึ้นของสินทรัพย์เป็นหลักประกัน เพื่อลดความเสี่ยงในช่วงที่เกิดการโจมตี เขาให้เหตุผลว่าวิธีนี้อาจช่วยป้องกันความสูญเสียจำนวนมากได้ ดังที่เห็นได้จากผู้ฝาก rsETH
GateNews12 ชั่วโมง ที่แล้ว
ตำรวจฮ่องกงเตือนภัยสแกมคริปโต 'AI Quantitative Trading' หญิงเสียเงิน HK$7.7 ล้าน
ตำรวจฮ่องกงเปิดเผยคดีฉ้อโกงสกุลเงินดิจิทัล โดยหญิงคนหนึ่งสูญเสียเงิน HK$7.7 ล้านให้กับมิจฉาชีพที่แอบอ้างเป็นผู้เชี่ยวชาญด้านการลงทุน ผ่าน Telegram โดยสัญญาผลตอบแทนสูงผ่านการเทรดด้วย AI ตำรวจได้เตือนประชาชนถึงความเสี่ยงที่เกี่ยวข้องกับการลงทุนในสกุลเงินดิจิทัล
GateNews13 ชั่วโมง ที่แล้ว
