MyEtherWallet hiện đang là chủ đề ‘hot’ trong một vài ngày trở lại đây do các cuộc tấn công lừa đảo, nơi có gần 216 ETH đã bị đánh cắp. Nhóm nghiên cứu đã nói về cuộc tấn công lừa đảo trên Twitter và cung cấp thông tin chi tiết hơn về những gì thực sự đã xảy ra. Nhóm cũng làm rõ rằng trang web không bị tấn công và đó là một cuộc tấn công lừa đảo xảy ra khi DNS công cộng của Google bị xâm nhập.
Bài đăng trên Twitter gần đây của MyEtherWallet cho biết:
“Máy chủ đăng ký hệ thống tên miền của Google đã bị xâm nhập để người dùng MEW được chuyển hướng đến trang web lừa đảo… Bảo mật và quyền riêng tư của bạn luôn được ưu tiên. Chúng tôi không lưu trữ bất kỳ chi tiết cá nhân nào của bạn, bao gồm cả khóa”.
Họ cũng nói thêm rằng phần lớn những người bị ảnh hưởng bởi cuộc tấn công đang sử dụng máy chủ DNS của Google và người dùng bỏ qua cửa sổ cảnh báo thể hiện rõ rằng trang web đang làm giả cổng MEW.
Nhóm cũng khuyên người dùng phải đảm bảo rằng có chứng chỉ SSL thanh màu xanh lá cây có nội dung ‘MyEtherWallet Inc [US]’ và đã yêu cầu bỏ qua bất kỳ cổng hoặc bài đăng Reddit nào thay mặt họ tuyên bố rằng sẽ hoàn trả ETH bị đánh cắp.
Trong một cuộc phỏng vấn với Finance Magnets, CEO của MyEtherWallet, Kosala Hemachandra, đã nói về vụ tấn công lừa đảo và cho biết MEW không chịu trách nhiệm về vụ tấn công và người dùng bỏ qua dấu hiệu cảnh báo. Ông nói rằng nếu không có dấu hiệu cảnh báo và nếu cộng đồng nghĩ rằng MEW chịu trách nhiệm về vụ tấn công, thì họ sẽ xem xét hoàn trả số tiền bị đánh cắp.
Ông cho biết thêm rằng MyEtherWallet đang có một lượng lớn các cuộc tấn công lừa đảo mỗi ngày. Có hơn 6500 tên miền tương tự như MyEtherWallet. Để tránh những cuộc tấn công này, họ đang có kế hoạch tạo ra một ví phần cứng mà sẽ được miễn phí để tải về và sử dụng. Nó sẽ giúp tạo kết nối P2P với MEW và khóa cá nhân của người dùng sẽ không rời khỏi điện thoại của họ.
Daniel Vernaza, một Twitterati nói:
“Google hay không google dns, trang web của bạn đã bị trùng lặp và do đó nhiều người trong chúng ta đã mất ETH. “Có khả năng” không có nghĩa là tất cả chúng ta đã làm điều đó. Tôi không có tin nhắn hay lỗi. Theo ý kiến của tôi, đổ lỗi cho người dùng không phải là cách tiếp cận đúng. Nó rất dễ dàng để đổ lỗi cho ai đó, nhưng tôi bị mất tiền…”
Ông tiếp tục bổ sung:
“Không chỉ vậy, khi tôi nhắn tin cho các bạn rằng chiếc ví cụ thể đó ở mức 60+ ETH và không có phản ứng nào cho đến khi họ lấy trộm hơn 200 ETH. Vẫn đổ lỗi cho người dùng khi điều này có thể đã được dừng lại sớm hơn nhiều?”
Dawid Pietrzak, một Twitterati khác cho biết:
“Họ có thể làm được gì? Đây là sự thất bại của một phần duy nhất của cơ sở hạ tầng Internet nhưng ai đó đã điều khiển để tráo đổi một bản ghi trong DNS của Google và các chứng chỉ phải ngăn chặn điều đó nhưng chúng không có. MEW không thể làm được gì khi cuộc tấn công đang diễn ra”.
Theo TapchiBitcoin/Ambcrypto
Xem thêm:
- MyEtherWallet sẽ không trả lại tiền cho nạn nhân bị Hack vì không phải lỗi của họ.
- MyEtherWallet lại tiếp tục bị tấn công từ bên thứ 3
