BitKeep exploiter käytti tietojenkalastelusivustoja houkutellakseen käyttäjiä: Raportti

Bitkeep-hyökkäys, joka tapahtui 26. joulukuuta, käytti tietojenkalastelusivustoja huijatakseen käyttäjiä lataamaan väärennettyjä lompakoita, mukaan blockchain-analytiikkatoimittajan OKLinkin raporttiin.

Raportissa todettiin, että hyökkääjä perusti useita väärennettyjä Bitkeep-sivustoja, jotka sisälsivät APK-tiedoston, joka näytti Bitkeep-lompakon versiolta 7.2.9. Kun käyttäjät "päivittivät" lompakkoaan lataamalla haitallisen tiedoston, heidän yksityiset avaimensa tai siemensanansa varastettiin ja lähetettiin hyökkääjälle.

【12-26 #BitKeep Hakkerointitapahtuman yhteenveto】
1 / n

OKLinkin tietojen mukaan bitkeep-varkaus koski 4 ketjua BSC, ETH, TRX, Polygon, OKLink sisälsi 50 hakkeriosoitetta ja Txns-ten kokonaismäärä oli 31 miljoonaa dollaria.

- OKLink (@OKLink) Joulukuu 26, 2022

Raportissa ei kerrottu, kuinka haitallinen tiedosto varasti käyttäjien avaimet salaamattomassa muodossa. Se on kuitenkin saattanut yksinkertaisesti pyytää käyttäjiä syöttämään alkusanansa uudelleen osana "päivitystä", jonka ohjelmisto olisi voinut kirjata lokiin ja lähettää hyökkääjälle.

Kun hyökkääjällä oli käyttäjien yksityiset avaimet, he poistivat kaiken omaisuuden ja tyhjensivät ne viiteen lompakkoon hyökkääjän hallinnassa. Sieltä he yrittivät lunastaa osan varoista keskitetyillä vaihdoilla: 2 ETH ja 100 USDC lähetettiin Binancelle ja 21 ETH lähetettiin Changenowille.

Hyökkäys tapahtui viidessä eri verkossa: BNB Chain, Tron, Ethereum ja Polygon, ja BNB Chain -siltoja Biswap, Nomiswap ja Apeswap käytettiin silloittamaan joitakin tokeneita Ethereumiin. Hyökkäyksessä vietiin yhteensä yli 13 miljoonan dollarin arvosta kryptoa.

Related: Defrost v1 -hakkeri ilmoittaa palauttavan varoja "poistumishuijaussyytöksien" muodossa

Vielä ei ole selvää, kuinka hyökkääjä sai käyttäjät käymään väärennetyillä verkkosivuilla. BitKeepin virallisella verkkosivustolla oli linkki, joka lähetti käyttäjät sovelluksen viralliselle Google Play -kauppasivulle, mutta se ei sisällä sovelluksen APK-tiedostoa ollenkaan.

BitKeep-hyökkäys oli ensimmäinen raportoitu Peck Shield klo 7 UTC. Tuolloin siitä syytettiin "APK-version hakkerointia". Tämä OKLinkin uusi raportti viittaa siihen, että hakkeroitu APK tuli haitallisilta sivustoilta ja että kehittäjän virallista verkkosivustoa ei ole rikottu.