• 發布單位:TWCERT/CC
• 更新日期:2023-11-17
• 點閱次數:124

區塊鏈專家 ZachXBT 與區塊鏈錢包 MetaMask 的開發者 Taylor Monahan，近期發現日前密碼儲存工具服務 LastPass 於 2022 年發生駭侵事件中外洩的資訊，疑已遭駭侵者用以竊取受害者的加密貨幣資產，損失達 440 萬美元。

該起加密貨幣竊案發生於 2023 年 10 月 25 日，共有 25 名受害者，其加密貨幣錢包中合計約 440 萬美元的各種加密貨幣資產，同時遭駭侵者盜領一空。

ZachXBT 指近期頻繁接獲用戶回報，表示自己的加密資產遭到竊取；在深入追蹤多個案例後，發現這些受害者的共同點，就是都使用了 LastPass 服務。

ZachXBT 表示，如果使用者將自己加密貨幣錢包的復原短語或密碼存在 LastPass 中，而又未曾於 LastPass 遭駭後更改復原短語與密碼，錢包內的數位資產就極可能在一瞬間遭到駭侵者盜領一空。

LastPass 是一個使用者眾多的密碼儲存管理服務，在 2022 年曾兩度發生駭侵事件，當時該服務的程式原始碼、顧客資料、經過加密的使用者儲存密碼、正式版網站備份等資訊都遭到駭侵者竊取。

LastPass 當時指出，雖然使用者儲存在該服務的密碼資訊經過加密儲存，且只有使用者本人擁有可解密的密碼，但如果使用者密碼本身強度不足，或使用與其他服務相同的密碼，就還是有被駭侵者破解的高度風險。

ZachXBT 指出，現在既然已經發生 LastPass 使用者加密資產遭竊的案例，即表示駭侵者已有能力破解經加密的使用者密碼。加密貨幣投資人應立即把資金撤回冷錢包，並且立即修改熱錢包的密碼或復原短語。

建議加密貨幣投資人應避免將錢包復原短語或密碼存於線上密碼管理平台，資金最好存在離線的冷錢包內，如需存於線上熱錢包，應經常修改熱錢包的密碼或復原短語。