• Homepage
  • Articoli
  • Computer
  • Raccolta di notizie quotidiane: uno sviluppatore di portafogli di criptovaluta si è hackerato per salvare i suoi utenti

Raccolta di notizie quotidiane: uno sviluppatore di portafogli di criptovaluta si è hackerato per salvare i suoi utenti

Pubblicato: 2022-01-29

Cosa fai quando scopri una vulnerabilità inserita nella tua app per rubare ai tuoi utenti? La risposta del produttore di portafogli di criptovaluta Komodo: hackerare la sua app e prendere i soldi dei suoi utenti prima degli hacker. Ha anche funzionato.

Komodo è una startup di sviluppatori nota per il suo lavoro in criptovaluta e per la creazione del portafoglio di criptovaluta Agama. Quel portafoglio dipende da una libreria JavaScript gestita in npm (gestore di pacchetti di nodi) e un attore malintenzionato ha cercato di sfruttare la natura open source del codice.

Qualche mese fa un collaboratore anonimo ha fatto un “utile aggiornamento” alla libreria, creando una nuova dipendenza. Hanno aspettato che l'aggiornamento fosse incorporato nell'app Agama, quindi hanno apportato una modifica alla nuova dipendenza per creare una backdoor nell'app.

Lo staff di npm ha notato i cambiamenti, si è reso conto di cosa stava succedendo e ha contattato Komodo. Sfortunatamente, a questo punto, la backdoor era già a posto. Il semplice aggiornamento dell'app per rimuoverla potrebbe non essere sufficiente; chiunque non avesse ricevuto l'aggiornamento prima dell'irruzione dell'hacker avrebbe perso la propria criptovaluta.

Quindi Komodo ha adottato un approccio piuttosto nuovo, si è hackerato da solo. Ha usato la stessa backdoor che l'attore malintenzionato ha piantato per raccogliere 13 milioni di dollari di criptovaluta e spostarla in un luogo che l'hacker non poteva raggiungere.

Annuncio pubblicitario

Komodo ha pubblicato un blog per informare i suoi utenti su cosa ha fatto, perché lo ha fatto e come possono recuperare i loro soldi e trasferirli di nuovo a nuovi portafogli, si spera, più sicuri.

Tutto questo è, ovviamente, una lezione sui pericoli e sui punti di forza che gli sviluppatori incontrano quando utilizzano librerie di terze parti e software aperti che consentono a chiunque di contribuire.

I cattivi attori possono manipolare il software aperto in modi che non sono possibili con il software proprietario. Ma può anche essere esaminato più a fondo per le vulnerabilità. Questi eventi illustrano entrambe le facce di quella medaglia.

Lo diciamo ancora una volta però: forse è meglio stare alla larga dalle criptovalute. [ZDNet]

In altre notizie:

  • Le colonne sonore originali di Final Fantasy sono ora gratuite per lo streaming: con una mossa a sorpresa, Square-Enix ha caricato quasi tutte le colonne sonore originali di Final Fantasy su Spotify e Apple Music. Queste non sono orchestrazioni, ma come suonavano le canzoni nei giochi. Sfortunatamente, la maggior parte dei titoli e delle canzoni con la voce, come Suteki da ne, sono in giapponese. Ma se ami Final Fantasy, ascoltali. [Coinvolgimento]
  • Il nuovo drone di consegna di Amazon è selvaggio: Amazon ha mostrato il suo drone di consegna ieri e ha alcuni bei assi nella manica. Non funziona come i droni che potresti immaginare, e invece cambia posizione per il volo e l'atterraggio/decollo. Il drone può viaggiare per 15 miglia e trasportare un pacco da cinque libbre e Amazon afferma che inizierà a consegnare nei prossimi mesi. Dove consegnerà? Amazon non ha risposto. [TechCrunch]
  • Google sta uccidendo Trips, un'altra app che non hai mai utilizzato: Google continua la sua versione di Thanos Snap cancellando un altro dei suoi prodotti dall'esistenza. Questa volta Trips è sul tagliere, un'app utilizzata per l'organizzazione dei viaggi. La società afferma che Google Travel è il suo sostituto, ma come sottolinea Ars Technica, si tratta di un sito Web, non di un'app. Peggio ancora, è un mucchio di spazzatura di annunci infiniti. [Arte Tecnica]
  • iOS 13 fornisce un controller adeguato all'app Sony Remote Play: ci piace l'app Sony Remote Play, ma la sua rovina sono i controlli touchscreen. Puoi utilizzare un controller di terze parti, ma questa è un'altra cosa da acquistare e i pulsanti potrebbero non corrispondere. iOS13 risolve questo problema aggiungendo il supporto dual-shock per PS4 e include l'app Remote Play. Bei tempi. [MacRumors]
  • Chrome Remote Desktop arriva sul Web: Chrome Remote Desktop è un modo semplice per consentire l'accesso remoto a un computer, utile quando è necessario prestare assistenza tecnica da lontano. Google sta testando Chrome Remote Desktop sul Web da oltre un anno, ma ora è apparentemente fuori dalla versione beta e ufficialmente disponibile per tutti. Molto bello. [9to5Google]
  • Alexa diventerà più colloquiale in futuro: in questo momento, usare Alexa può essere un po' frustrante. Dì un comando, ottieni un risultato, svegliala di nuovo dì un nuovo comando, ricomincia da capo. Presto chiederà di passare all'abilità correlata utilizzando le informazioni precedenti. Hai comprato i biglietti per un film? Può suggerire una prenotazione per la cena vicino al teatro, senza che tu debba chiederle o dirle dove si trova di nuovo il teatro. Roba piuttosto interessante. [VentureBeat]
  • Cadillac aggiunge 70.000 miglia di autostrada compatibile a SuperCruise: il programma di assistenza alla guida di Cadillac, chiamato SuperCruise, adotta un approccio unico alla guida a mani libere. Puoi tenere le mani lontane dal volante più a lungo, ma solo se sei su un'autostrada pre-mappata e continui a guardare la strada. Le telecamere ti osservano per assicurarsi che stai prestando attenzione. Cadillac ha appena ampliato le sue autostrade mappate sui lidar di 70.000 miglia, il che significa che sarai in grado di utilizzare SuperCruise molto più di prima. [Trend digitali]
  • Android Q beta sta causando bootloop: non dovresti mai inserire un sistema operativo beta sul tuo dispositivo principale, che si tratti di un computer, tablet o telefono. Il motivo di questo consiglio è chiaramente dimostrato oggi, poiché Google ha appena sospeso il lancio della versione beta di Android Q dopo aver appreso che i telefoni Android erano bloccati in un bootloop. Apparentemente, l'unica via d'uscita era un ripristino delle impostazioni di fabbrica. Non è carino, ma ehi, è una beta. [Il confine]

In notizie scientifiche accurate, gli astronomi hanno finalmente individuato un disco di accrescimento a lungo teorizzato per circondare il buco nero supermassiccio al centro della nostra galassia.

Come la maggior parte delle galassie, il centro della nostra galassia è un buco nero supermassiccio denominato Sagittario A*. Quanto è supermassiccio? Immagina il sole e poi moltiplica quella dimensione per quattro milioni. È una di quelle dimensioni incredibilmente grandi che è davvero impossibile da comprendere appieno.

Annuncio pubblicitario

La cosa su Sag A* è che è abbastanza silenzioso. In altre galassie, gli astronomi possono individuare prontamente prove di dischi caldi di gas orbitanti, chiamati disco di accrescimento. Quando i programmi TV e le mosse mostrano un buco nero, quella roba vorticosa che tendi a pensare come il buco nero è il disco di accrescimento.

Ma nonostante sia così vicino a Sag A* (rispetto ad altri buchi neri supermassicci), gli scienziati non sono riusciti a trovare il suo disco di accrescimento. A quanto pare, invece di divorare tutto ciò che lo circonda come il mostro che è, Sag A* si nutre più lentamente e i gas che lo circondano sono più freddi. Ciò ha reso il disco molto difficile da individuare.

Le caratteristiche molto insolite al centro della nostra galassia sottolineano quanto c'è ancora da imparare e scoprire quando si tratta della natura del nostro universo. [Notizie scientifiche]