Мошенничество с видеозвонками в Zoom
Хакеры из Северной Кореи активно используют поддельные видеозвонки в Zoom для мошенничества, что уже привело к похищению более 300 миллионов долларов у пользователей криптовалюты. Эти злоумышленники используют доверие на платформах, таких как Telegram, чтобы заманить жертв.
Ошибка в Prysm и ее последствия
Недавно разработчики Ethereum сообщили о ранее не обнаруженной ошибке в Prysm, которая была введена перед обновлением Fusaka. Эта ошибка вызвала временное замедление валидации 4 декабря, что привело к пропущенным слотам и потерянным вознаграждениям, но не сказалось на финальности транзакций. Оба инцидента подчеркивают наличие серьезных угроз безопасности в сфере криптовалют.
Предупреждение от Security Alliance
Неправительственная организация по кибербезопасности Security Alliance (SEAL) выпустила предупреждение о множестве ежедневных попыток мошенничества, связанных с группами хакеров из Северной Кореи. Согласно SEAL и исследователю безопасности Тейлору Монахану, кампания уже привела к краже более 300 миллионов долларов, при этом основными целями стали пользователи криптовалюты, разработчики и команды протоколов.
Методы мошенничества
Мошенничество обычно начинается в Telegram, где жертва получает сообщение от аккаунта, который, как кажется, принадлежит знакомому человеку. Поскольку аккаунт выглядит знакомым, жертвы менее склонны к подозрениям. После непринужденной беседы злоумышленник предлагает встретиться на звонке в Zoom. Перед встречей жертве отправляется ссылка, которая выглядит легитимной, но часто замаскирована или слегка изменена.
Когда звонок начинается, жертва видит реальное видео с изображением подделываемого человека или их предполагаемых коллег. Монахан объяснил, что эти видео не являются дипфейками, а переработанными записями, взятыми из прошлых взломов или общедоступных источников, таких как интервью или подкасты, что делает установку очень убедительной.
Как только звонок начинается, злоумышленники делают вид, что у них есть проблемы со звуком или технические неполадки, и просят жертву установить патч или обновление, чтобы исправить проблему. Этот файл является ключом к атаке. Открытие его устанавливает вредоносное ПО на устройство жертвы, предоставляя хакерам доступ к конфиденциальной информации. Вскоре после этого злоумышленники резко заканчивают звонок, обычно утверждая, что им нужно перенести встречу, стараясь не вызвать подозрений.
Рекомендации для жертв
Монахан посоветовал, что любой, кто кликнул на подозрительную ссылку, связанную с Zoom, должен немедленно отключиться от Wi-Fi и выключить затронутое устройство. Используя отдельное, не скомпрометированное устройство, жертвы должны переместить криптоактивы в новые кошельки, изменить все пароли, включить двухфакторную аутентификацию и защитить свой аккаунт Telegram, завершив все другие сессии и обновив настройки безопасности. Полное стирание памяти зараженного устройства рекомендуется перед его повторным использованием. Если аккаунт Telegram скомпрометирован, жертвы должны срочно предупредить своих контактов, так как молчание увеличивает вероятность того, что друзья и коллеги также станут жертвами мошенничества.
Инцидент с Prysm
Тем временем разработчики Prysm подтвердили, что ошибка программного обеспечения, введенная перед обновлением Fusaka Ethereum, была причиной проблемы с валидацией узлов, которая нарушила работу сети в начале этого месяца. В послесловии, опубликованном в воскресенье, разработчик Ethereum Терренс Цао объяснил, что инцидент, который произошел 4 декабря, возник из-за недостатка, который был внедрен в тестовые сети примерно за месяц до того, как Fusaka был запущен в основной сети.
Хотя ошибка существовала в тестовых средах, она никогда не была активирована до обновления, что позволило ей незамеченной достичь производства. Проблема возникла из-за конкретного изменения кода Prysm, которое изменило способ обработки клиентом определенных крайних случаев, связанных с несинхронизированными узлами. Когда ошибка была активирована в основной сети, узлы Prysm начали испытывать серьезное исчерпание ресурсов при обработке аттестаций.
Влияние было измеримым, но локализованным. В течение более чем 42 эпох Ethereum испытал повышенный уровень пропущенных слотов примерно 18,5%, в то время как участие валидаторов упало до около 75%.
Prysm оценил, что валидаторы, использующие его клиент, в совокупности потеряли около 382 Ether в пропущенных вознаграждениях за аттестацию во время сбоя. Несмотря на эти неудачи, Ethereum продолжал работать без полной потери финальности, и сеть восстановилась, как только были предприняты меры по смягчению последствий.
Заключение
Разработчики подчеркнули, что инцидент мог бы быть гораздо более серьезным, если бы он затронул доминирующий клиент консенсуса Ethereum, Lighthouse. В настоящее время Prysm составляет около 17,6% сети, что делает его вторым по величине клиентом по доле. Поскольку ни один клиент не контролировал более одной трети валидаторов в то время, Ethereum избежал временной потери финальности или широкомасштабных сбоев в производстве блоков. Тем не менее, этот эпизод вновь вызвал опасения по поводу концентрации клиентов. Lighthouse по-прежнему представляет более половины консенсусного слоя Ethereum, оставляя сеть неудобно близкой к порогу, при котором ошибка одного клиента могла бы иметь системные последствия.
