MyEtherWallet om MEW Connect Mobile App te starten voor meer veiligheid

MEWConnect

De ongelooflijk populaire MyEtherWallet-service heeft aangekondigd dat ze een nieuwe mobiele app zullen lanceren om de veiligheid te vergroten van het gebruik van hun site die al meerdere keren met succes is aangevallen. Het doel van de app (met de ongelukkige naam van MEW Connect) is niet alleen om gebruikers te beschermen tegen phishing-aanvallen, maar ook om op te treden als een soort hardware wallet. Met andere woorden, het vereist niet dat gebruikers hun privésleutel op de site invoeren, wat in het algemeen erg riskant is..

MEWConnect

MEW CONNEEEEECT!

Ondanks de slechte naamgeving (en we denken dat alles wat crypto gerelateerd is aan het woord connect erin waarschijnlijk een slecht idee is voor de komende tien jaar of zo), het idee komt op een kritiek punt in de cryptogeschiedenis waar we een toenemende aantal aanvallen van verschillende typen. Vooral aanvallen gericht op spraakmakende doelen zoals uitwisselingen en portefeuillediensten.

Carlos Matos

Voormalig BitConnect-woordvoerder Carlos Matos voert zijn nu beruchte “BitConnect!” schreeuw en herinnert ons er allemaal aan waarom het woord “connect” nooit meer door een cryptoproject mag worden gebruikt

MyEtherWallet is voornamelijk op drie verschillende manieren aangevallen.

De eerste manier was om phishing-sites te gebruiken waarop fraudeurs Google-advertenties of andere advertenties voor een look-alike-pagina zouden maken. Crypto-nieuwelingen die het meest vatbaar zijn voor dit soort aanvallen, zouden dan de site bezoeken en hun privésleutels invoeren. Dit resulteerde natuurlijk in het totale verlies van al hun accountinhoud, zoals ether en ERC-20-tokens. Als reactie op dit soort activiteiten hebben de meeste grote webservices een einde gemaakt aan alle cryptocurrency-gerelateerde advertenties. Die trend kan echter omkeren, aangezien Coinbase-advertenties nu op Google, Instagram en andere services verschijnen.

Het volgende grote aanvalstype dat MyEtherWallet zag, was gebaseerd op een aanval op een DNS-service waarbij gebruikers de juiste URL intypt of anderszins bezochten, op frauduleuze wijze werden omgeleid naar een phishing-site. De aanval bleef maar een paar uur actief, maar schattingen suggereren dat de hackers bij de poging behoorlijk wat geld hebben gestolen.

De laatste interessante aanvalsvector die we hier gaan noemen, is er een waarbij gebruikers van de Hola VPN-service alle verzoeken om MyEtherWallet voor een periode van vijf uur te bezoeken kregen doorgestuurd naar een phishing-site. In zekere zin had deze aanval een vergelijkbaar resultaat als de DNS-hack.

Het is in het licht van dit soort aanvallen dat MEW Connect op de markt komt.

De bèta lanceren

De service is echter nog niet live gegaan en zal binnenkort een gesloten bèta ingaan voor een gelukkige groep mensen die is gekozen om deel te nemen. De bèta is alleen iOS, maar de site zegt dat de Android-versie binnenkort beschikbaar zal zijn.

Enkele van de functies die beschikbaar zijn in de service zijn versleuteling aan de clientzijde, transactieverificaties, accountback-ups en natuurlijk bescherming tegen hackers en phishing.

Volgens TechCrunch, het systeem werkt op een manier die bekend is bij de meeste mobiele crypto-gebruikers. Dat wil zeggen, het gebruikt gescande QR-codes in plaats van privésleutels in te voeren. Vermoedelijk zal de gebruiker zijn privésleutels invoeren in de mobiele app, en vanaf dat moment hoeft hij nooit meer privésleutels in een computer of browser in te voeren.

Het TechCrunch-artikel bevestigt dat MEW Connect gebruik zal maken van “Apple’s sleutelhangerservices om de app te versleutelen – waarvan gezegd werd dat deze gegevens op het apparaat bewaart – en deze te koppelen met de webgebaseerde peer.”

Een sleutelvrije wereld

Een belangrijke stap in de richting van algemene acceptatie van cryptocurrencies is dat interactie met iemands portemonnee eenvoudig en onfeilbaar moet zijn. Met andere woorden, portefeuilles moeten zo worden ontworpen dat het moeilijk is voor iemand die onervaren is om een ​​ernstige fout te maken en als gevolg daarvan al zijn geld te verliezen..

De gemiddelde gebruiker hoeft bijvoorbeeld hoogstwaarschijnlijk nooit interactie te hebben met zijn privésleutels. Dit komt doordat de privésleutel het meest kwetsbare aanvalspunt is. Als een nieuwe gebruiker op de een of andere manier wordt overtuigd of misleid om zijn privésleutel op te geven zonder te weten wat het is, dan zullen dit soort hacks doorgaan. Dit betekent niet dat een portemonnee een gebruiker noodzakelijkerwijs moet beperken bij het verkrijgen van zijn privésleutel als hij begrijpt waarvoor het is of waarvoor het dient, maar voor de meeste niet-technische gebruikers zou directe toegang of interactie met een privésleutel per definitie niet nodig moeten zijn.

Een goed ontworpen mobiele portemonnee moet bijvoorbeeld over het algemeen alleen betrekking hebben op openbare adressen van gebruikers en QR-codes voor verzenden en ontvangen. Diensten zoals MyEtherWallet bieden veel flexibiliteit bij de interactie met de Ethereum-blockchain. Maar aangezien we op de moeilijke manier hebben geleerd dat mogelijk miljoenen dollars verloren gaan door hacks van slechts die ene service, werkt de manier waarop de zaken nu zijn ingesteld gewoon niet voor de gemiddelde en potentieel onervaren gebruiker.

De reden waarom mensen tegenwoordig diensten zoals creditcards en internetbankieren gebruiken, is omdat ze zich daar veilig bij voelen. Dat komt deels doordat deze systemen zijn ontworpen met niet-technische gebruikers in gedachten. Het is ook gedeeltelijk omdat er bij diefstal een verzekerde bank is die eventuele verliezen zal dekken. Crypto heeft geen verzekerde banken om verliezen te dekken, en dus om een ​​gemiddelde gebruiker ervan te overtuigen dat cryptocurrency veilig is, moet de software die we gebruiken om ermee te communiceren absoluut kogelvrij zijn.

Misschien is MEW Connect een stap in de richting van dat verheven maar essentiële doel.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me