据报道,多梅尼克在推特上发文写道,自己4月15日收到了多条信息,要求重置Apple ID及密码。他起初认为是诈骗,并没有过多理会。
但后来他看到来自苹果公司的“官方”未接来电,于是终于忍不住回拨。
电话另一端的诈骗者说,他的账号出现可疑登入活动,必须重置Apple ID及密码,并且需要他提供收到的一次性验证码。
多梅尼克才刚说完验证码,对方却突然挂断电话。随后他很快发现,两秒钟后,他的电子钱包“MetaMask(小狐狸钱包)”内的加密货币及非同质化货币(NFT)全都没了。
他声称,黑客通过获得他的12个单词的“种子短语(seed phrase)”成功登录了加密钱包,清空了账户。
(编者注:“种子短语”是由数字货币包生成的一系列单词,可让用户访问与之关联的加密账户。它实际上是一组12到24个单词,是加密的关键。可以将数字货币包视为加密货币管理器,而种子短语是允许访问所有加密的密钥。只要保证种子短语安全,就可以访问与生成它的钱包相关的所有加密货币,即使删除了应用程序或丢失了钱包。)
但若开启iCloud自动备份功能,就会存储MetaMask的所有数据,包括“种子短语”文件。
若黑客设法取得Apple ID及密码,就能进去iCloud,窃取APP数据,登入电子钱包,进而盗取加密货币。
愤怒的多梅尼克称:“如果90%的人知道这一点(iCloud自动存储MetaMask的所有数据),我敢打赌,他们中肯定没有人会使用这款应用或iCloud。”
MetaMask目前尚未发表评论,但已在推特上发布建议。该公司警告说:“如果你启用了应用程序数据的iCloud备份,这也将包括密码加密的MetaMask钱包。如果你的密码不够强大,又有人窃取你的iCloud用户验证信息,这可能意味着资金被盗。”
“你可以通过以下选项禁用MetaMask的iCloud备份:Settings > Profile > iCloud > Manage Storage > backups。”
“如果你想避免iCloud用于所有软件备份,可以:Settings > Apple ID/iCloud > iCloud > iCloud Backup。”