MyEtherWallet, Artırılmış Güvenlik için MEW Connect Mobile Uygulamasını Yayınlıyor

İnanılmaz derecede popüler olan MyEtherWallet servisi, çok sayıda kez başarıyla saldırıya uğramış olan sitelerini kullanmanın güvenliğini artırmak için yeni bir mobil uygulama başlatılacağını duyurdu. Uygulamanın amacı ( MEW Connect’in talihsiz adıyla ) sadece kullanıcıları kimlik avı saldırılarına karşı korumak değil, aynı zamanda bir çeşit donanım cüzdanı olarak hareket etmektir. Diğer bir deyişle, kullanıcıların özel anahtarlarını siteye girmelerini gerektirmez, ki bu da genel olarak yapılacak çok riskli bir şeydir.

MEW CONNECT!

Kötü adlandırma seçimine rağmen (ve bizde bu kelimeyi birbirine bağlayan bir kelime kriptosunun  en azından önümüzdeki on yıl için muhtemelen kötü bir fikir olduğunu düşünüyoruz ), fikrin kripto tarihinde kritik bir noktaya geldiğini görüyoruz. çeşitli türlerde sayı saldırıları. Özellikle saldırılar ve cüzdan hizmetleri gibi yüksek profilli hedefleri hedef alan saldırılar.

Eski BitConnect sözcüsü Carlos Matos , şu anki “BitConnect!” Diye bağırıyor ve bize “bağlan” kelimesinin neden bir daha asla bir kripto projesi tarafından kullanılmamasını hatırlatıyor.

MyEtherWallet esas olarak üç farklı şekilde saldırıya uğramıştır.

İlk yol, dolandırıcıların Google reklamları veya benzer bir sayfa için başka reklamlar oluşturacağı siteleri phishing yapmaktı. Bu tür saldırılara en hassas olan kripto yenileri , siteye erişip özel anahtarlarını gireceklerdi. Bu, elbette, ether ve ERC-20 tokenleri gibi tüm hesap içeriğinin toplam kaybına neden oldu. Bu tür bir faaliyete yanıt olarak, çoğu büyük web hizmeti, tüm kripto para birimiyle ilgili reklamlara bir son vermiştir. Ancak, bu trend, Coinbase reklamlarının artık Google, Instagram ve diğer hizmetlerde görünmesiyle tersine dönebilir.

MyEtherWallet’in gördüğü bir sonraki büyük saldırı türü, kullanıcıların doğru URL adresini girdiği veya başka bir şekilde ziyaret ettiği bir DNS hizmetine yönelik bir saldırıya dayanıyordu ve dolandırıcılıkla kimlik avı sitesine yönlendiriliyordu. Saldırı sadece birkaç saat aktif kaldı, ancak tahminler korsanların girişimde adil bir miktar para çaldığını gösteriyor.

Burada bahsettiğimiz son ilginç saldırı vektörü, Hola VPN hizmetinin kullanıcılarının bir phishing sitesine yönlendirilen beş saatlik bir süre boyunca MyEtherWallet’i ziyaret etme isteklerinin olduğu bir yerdir. Bir anlamda, bu saldırı, DNS kesmek için benzer bir sonuca sahipti.

Ancak hizmet henüz yayına girmedi ve yakında katılmak üzere seçtiği şanslı bir dizi insan için kapalı bir betaya girecek. Beta yalnızca iOS olacak, ancak site diyor ve Android sürümü yakında yayınlanacak.

Hizmette bulunan özelliklerin bazıları arasında istemci tarafı şifreleme, işlem doğrulamaları, hesap yedeklemeleri ve elbette bilgisayar korsanları ve kimlik avı korumaları bulunur.

TechCrunch’a göre , sistem çoğu mobil kripto kullanıcısına tanıdık bir şekilde çalışıyor. Bu, taranan QR kodlarını özel anahtarlar girmeye ihtiyaç duyulan yerine kullanır. Muhtemelen, kullanıcı kendi özel anahtarlarını mobil uygulamaya girecek ve o andan itibaren özel anahtarları bir bilgisayara veya tarayıcıya girmeye gerek duymayacaktır.

TechCrunch makalesinde, MEW Connect’in “Apple’ın anahtarlık hizmetlerini uygulamayı şifrelemek için kullandığı – cihazda veriyi sakladığını ve web tabanlı eş ile eşleştirdiğini” doğruladı.

Anahtarsız bir Dünya

Kripto paraların genel kabulüne yönelik önemli bir adım, bir kişinin cüzdanıyla etkileşim kurmanın kolay ve kusursuz olması gerektiğidir. Başka bir deyişle, cüzdanlar, ciddi bir hata yapma ve sonuç olarak tüm fonlarını kaybetme deneyimsiz biri için zor olacak şekilde tasarlanmalıdır.

Örneğin, ortalama kullanıcının büyük olasılıkla kendi özel anahtarları ile etkileşime girmesi gerekmemelidir. Bunun nedeni, özel anahtarın en hassas saldırı noktası olmasıdır. Yeni bir kullanıcı, bir şekilde ne olduğunu bilmeden kendi özel anahtarını bırakmaya ikna olmuş ya da kandırmışsa, o zaman bu tür hackler devam edecektir. Bu, bir cüzdanın ne olduğunu veya ne için olduğunu anladığında bir kullanıcının özel anahtarını almasını zorunlu kılması gerektiği anlamına gelmez, ancak teknik olmayan kullanıcıların çoğu için, özel bir anahtarla doğrudan erişim veya etkileşimin tasarım gereği gereksiz olması gerekir. .

Örneğin, iyi tasarlanmış bir mobil cüzdan, genellikle sadece bir kullanıcı genel adresleriyle ve gönderim ve alma için QR kodlarıyla ilgilenmelidir. MyEtherWallet gibi hizmetler, Ethereum blockchain ile etkileşimde çok fazla esnekliğe izin verir. Ancak, milyonlarca dolarlık bir potansiyelin sadece bir tek hizmetin hack’leri yoluyla kaybedilmesinin zor yolunu öğrendiğimiz için, şu an kurulan şey, ortalama ve potansiyel olarak deneyimsiz kullanıcı için çalışmaz.

Günümüzde insanların kredi kartı ve çevrimiçi bankacılık gibi hizmetleri kul- lanmalarının nedeni, kendilerini güvende hissetmeleridir. Bu kısmen, bu sistemlerin teknik olmayan kullanıcılar tarafından tasarlandığından dolayı. Ayrıca kısmen bir hırsızlık durumunda, herhangi bir kayıpları kapsayacak sigortalı bir banka var. Crypto, sigortalı bankaları kayıpları karşılamak için sigortalamıyor ve böylece, kripto para biriminin güvenli olduğunu düşündüğü ortalama bir kullanıcıyı ikna etmek için, etkileşim kurmak için kullandığımız yazılımın kesinlikle kurşun geçirmez olması gerekiyor.