Madalas na nakatuon ang mga crypto user sa user interfaces at hindi gaanong pinapansin ang mga kumplikadong internal protocols. Kamakailan, nagtaas ng alalahanin ang mga security expert tungkol sa isang kritikal na kahinaan sa Crypto-MCP (Model-Context-Protocol), isang protocol para sa pagkonekta at pakikipag-ugnayan sa mga blockchain, o digital na sistema para i-record ang mga transaksyon.
Ang kahinaang ito ay pwedeng magamit ng mga hacker para magnakaw ng digital assets. Puwede nilang i-redirect ang mga transaksyon o ilantad ang seed phrase — ang susi para ma-access ang isang crypto wallet.
Gaano Kadelikado ang Crypto-MCP Vulnerability?
Ang Crypto-MCP ay isang protocol na dinisenyo para suportahan ang mga gawain sa blockchain. Kasama dito ang pag-query ng balances, pagpapadala ng tokens, pag-deploy ng smart contracts, at pakikipag-ugnayan sa decentralized finance (DeFi) protocols.
Ang mga protocol tulad ng Base MCP mula sa Base, Solana MCP mula sa Solana, at Thirdweb MCP ay nag-aalok ng makapangyarihang features. Kasama dito ang real-time na access sa blockchain data, automated na pag-execute ng transaksyon, at multi-chain support. Gayunpaman, ang pagiging kumplikado at openness ng protocol ay nagdadala rin ng security risks kung hindi maayos na pinamamahalaan.
Unang itinuro ng developer na si Luca Beurer-Kellner ang isyu noong unang bahagi ng Abril. Binalaan niya na ang isang MCP-based na atake ay pwedeng mag-leak ng mga mensahe sa WhatsApp sa pamamagitan ng protocol at malampasan ang seguridad ng WhatsApp.
Kasunod nito, si Superoo7—head ng Data at AI sa Chromia—ay nagsiyasat at nag-ulat ng potensyal na kahinaan sa Base-MCP. Ang isyung ito ay nakakaapekto sa Cursor at Claude, dalawang popular na AI platforms. Ang kahinaan ay nagpapahintulot sa mga hacker na gumamit ng “prompt injection” techniques para baguhin ang recipient address sa crypto transactions.
Halimbawa, kung ang isang user ay nagtatangkang magpadala ng 0.001 ETH sa isang partikular na address, puwedeng magpasok ng malicious code ang hacker para i-redirect ang pondo sa kanilang wallet. Ang masama pa, maaaring hindi mapansin ng user na may mali. Ipapakita pa rin ng interface ang orihinal na detalye ng transaksyon.
“Ang risk na ito ay nagmumula sa paggamit ng ‘poisoned’ MCP. Puwedeng linlangin ng mga hacker ang Base-MCP para ipadala ang crypto mo sa kanila imbes na sa intended mo. Kung mangyari ito, baka hindi mo mapansin,” sabi ni Superoo7.
Itinuro ni developer Aaronjmars ang mas seryosong isyu. Madalas na naka-store nang hindi naka-encrypt ang wallet seed phrases sa MCP configuration files. Kung makuha ng mga hacker ang access sa mga file na ito, madali nilang mananakaw ang seed phrase at makokontrol nang buo ang wallet at digital assets ng user.
“Ang MCP ay isang awesome na architecture para sa interoperability at local-first interactions. Pero grabe, ang kasalukuyang seguridad ay hindi akma para sa Web3 needs. Kailangan natin ng mas magandang proxy architecture para sa wallets,” binigyang-diin ni Aaronjmars.
Sa ngayon, wala pang kumpirmadong kaso ng kahinaang ito na nagamit para magnakaw ng crypto assets. Gayunpaman, seryoso ang potensyal na banta.
Ayon kay Superoo7, dapat protektahan ng mga user ang kanilang sarili sa pamamagitan ng paggamit ng MCP mula lamang sa mga pinagkakatiwalaang sources, panatilihing minimal ang wallet balances, limitahan ang MCP access permissions, at gamitin ang MCP-Scan tool para i-check ang security risks.
Maraming paraan para manakaw ng mga hacker ang seed phrases. Isang ulat mula sa Security Intelligence noong katapusan ng nakaraang taon ang nagpakita na ang isang Android malware na tinatawag na SpyAgent ay target ang seed phrases sa pamamagitan ng pagnanakaw ng screenshots.
Nadiskubre rin ng Kaspersky ang SparkCat malware na kumukuha ng seed phrases mula sa mga imahe gamit ang OCR. Samantala, nagbabala ang Microsoft tungkol sa StilachiRAT, malware na target ang 20 crypto wallet browser extensions sa Google Chrome, kasama ang MetaMask at Trust Wallet.
Para sa iba pang crypto news sa Tagalog, tumungo sa BeInCrypto Pilipinas. I-check mo na rin ang aming Facebook page!
Disclaimer
Alinsunod sa mga patakaran ng Trust Project, ang opinion article na ito ay nagpapahayag ng opinyon ng may-akda at maaaring hindi kumakatawan sa mga pananaw ng BeInCrypto. Nananatiling committed ang BeInCrypto sa transparent na pag-uulat at pagpapanatili ng pinakamataas na pamantayan ng journalism. Pinapayuhan ang mga mambabasa na i-verify ang impormasyon sa kanilang sariling kakayahan at kumonsulta sa isang propesyonal bago gumawa ng anumang desisyon base sa nilalamang ito. Paalala rin na ang aming Terms and Conditions, Privacy Policy, at Disclaimers ay na-update na.
