Gm. Po měsíční odmlce tu máme zpátky náš newsletter. Pojďme na to!

🌐 Mezinárodní media nody rostou rychle

V březnu překonalo celkové publikum IMN projektu 35,000 členů s mezi měsíčním růstem 17.5 %. S přidáním třech národů se celkový počet nodes v IMN projektu rozšířil na 22. Přidala se Arabská, Nizozemská a Bengálská node. Česká mezi nimi samozřejmě nechybí. Projekt také ve třetí sezóně překonal svůj cíl příjmů 10,000 dolarů z externích zdrojů!

🏦 Dva nové Fuse Pooly se spustili na Rari Capital

Dva nové fuse pooly, GMI Hot Tub a Bank Vault, byly před dvěma týdny spuštěny. GMI Hot Tub pool vám umožní použít tokeny v GMI indexu jako kolaterál pro půjčku stablecoinů. Bank Vault tvoří základ pro Fuse model pokladny navrhnutý @delitzer. Společně tyto pooly pomohou zlepšit kapitálovou efektivitu a dovolí členům DAO půjčování proti jejich aktivům.

Coinbase představí BAYC v nové filmové trilogii

Společnost Coinbase oznámila, že připravují sérii filmů s motivem Bored Apes Yacht Club s názvem “Degen trilogie.” Tyto filmy by měly být oslava NFT průmyslu. Součástí budou také další nejmenované NFT projekty.

Držitelé BAYC mohou svoje opice přihlásit pro účast ve filmu přes webové stránky Degen Trilogy. Pokud budou vybráni budou kompenzováni ve výši deseti tisíc dolarů v ApeCoinu nebo v Bitcoinu. Držitelé BAYC také budou moct vybírat jakým směrem se bude projekt ubírat. Toto je první větší film, který umožňuje tak velkou decentralizovanou kolaboraci!

Autoři Axi Infinity navrhují zahájení bug bounty programu

Potom, co se Axi Infinity staly obětí největší krypto loupeže v historii kryptoměn, se společnost rozhodla uvést nový bug bounty program. Loupež je spojená se skupinou hackerů ze severní Koreji říkající si Lazarus Group. Tento program nabízí $1k až $1M každému, co najde v chybu v ekosystému. K tomu se také bugy ve webovém rozhraní budou obměňovat částkou ve výši $50 až $15k. Všechny tyto odměny budou placeny v AXS tokenech.

Něco nového o 2FA

Už dříve jsme v newsletterech mluvili o dvoufázovém ověření (2FA). Ale i s touto přidanou bezpečností nad našimi online účty nemůžeme zlenivět a předpokládat, že jsou naše účty plně chráněny.

Bezpečnost našich účtů je na konci dne sdílená mezi nás a poskytovatele služby. Odhodlaný útočník stále překoná 2FA, pokud jakákoliv strana poleví a bude neopatrná.

Podívejme se na to, jak může být váš účet kompromitován.

Spam notifikací k přihlášení

Když má služba webovou a mobilní aplikace, může používat mobilní aplikaci k přihlášení do té webové. Google je nejpopulárnější příklad, kdy většina mobilních aplikací dává notifikace k potvrzení pokusu o přihlášení.

Jsou dvě možnosti, jak tyto potvrzení mohou přes notifikace fungovat:

  • Notifikace mají kód podobný tomu, který najdete v authenticator aplikaci, jako Authy.
  • Notifikace vás vyzve k přijetí nebo zamítnutí pokusu o přihlášení v aplikaci.

V druhém případě se dá říct, že většina aplikací funguje velmi podobně, čehož útočníci využívají. Aby byl tento útok co nejefektivnější musí útočník vědět, že používáte aplikaci jako druhou fázi ověření a ideálně taky v jaké časové zóně jste v době útoku.

  1. Útočník kompromituje váš účet do fáze, kdy potřebuje druhou fázi ověření k dalšímu postupu.
  2. Bude opakovaně posílat požadavek, který spustí vaši mobilní aplikaci, jenž po vás bude chtít potvrzení k přihlášení.

Můžete si říct, že budete tyto notifikace prostě ignorovat nebo je i explicitně odmítnete pokud to vaše aplikace dovoluje. Může se ale stát, že budete přehlcení notifikacemi a raději je potvrdíte, abyste měli klid. Toto se stává více nebezpečné, když do hry vstoupí časové zóny. Útočník může útok přizpůsobit a zajistit, abyste byli rozespalí, a tím pádem více náchylní k tomu udělat chybu.

Sociální inženýrství

Sociální inženýrství může být použito, když vám aplikace posílá ověřovací kód přes SMS, email nebo třeba v mobilní aplikaci.

V tomto případě po vás útočník bude chtít kód hned potom, co jste jej obdrželi. K úspěchu těmto útočníkům pomáhá, pokud mají vaše telefonní číslo a jméno.

  1. Útočník kompromituje váš účet do fáze, kdy potřebuje druhou fázi ověření k dalšímu postupu.
  2. Poté zajistí, aby vám přišel kód a v tom okamžiku vám zavolá s tím, že kód potřebuje. Bude mít celý příběh a přesvědčivé důvody, proč byste mu měli kód dát.

Přestože se toto může zdát nepravděpodobné, tak se přesně toto stalo alespoň jednomu členovi BanklessDAO v posledních týdnech. Příběhy, které si útočníci tvoří se budou většinou lišit. Populární je ale ten, kdy útočník tvrdí, že se vám zablokoval účet a že je zaměstnanec firmy, která poskytuje danou aplikaci a k odblokování vašeho účtu potřebuje kód.

Vojtch

Jsem poměrně mladý programátor a voluntarista. Píšu tady na web o novinkách, které mě zaujmou nebo občas třeba napíšu i něco spíše filozofického :)

Jsem poměrně mladý programátor a voluntarista. Píšu tady na web o novinkách, které mě zaujmou nebo občas třeba napíšu i něco spíše filozofického :)