Иногда хорошо быть подозрительным к журналистам.
Возьмем случай Орбитера Finance. В прошлом месяце предполагаемый журналист, утверждающий, что он с крипто-новостного сайта, связался с одним из модераторов Discord и попросил их заполнить форму. Модератор не понимал, что это простое действие передаст контроль над их сервером Discord.
Оказавшись внутри, преступник заморозил контроль других администраторов над сервером и ограничил возможность членов сообщества отправлять сообщения. Они разместили объявление о поддельном аирдропе, отправив всех на фишинговый веб-сайт, предназначенный для кражи их NFT. Это сработало. В общей сложности они украли NFT и токенов на миллион долларов в мгновение ока, а команда могла только наблюдать.
«Мы были так обеспокоены», — сказала Гвен, менеджер по развитию бизнеса в Orbiter. Finance, который рассказал о том, что произошло в интервью. «Если мы причиним какой-либо ущерб [our community members]мы просто потеряем их доверие».
Атака Orbiter — лишь один из недавних примеров в длинной череде эксплойтов, включающих слив NFT и скомпрометированные серверы Discord или Twitter Счета. Данные, собранные аналитиком NFT и экспертом по безопасности, известным как OKHotshot, показывают, что с декабря 2021 года не менее 900 серверов Discord были скомпрометированы для проведения фишинговых атак, причем за последние три месяца наблюдается заметный рост.
Такие атаки затронули как минимум 32 000 кошельков жертв за последние девять месяцев, согласно данным, собранным PeckShield и многочисленным информационным панелям Dune Analytics. В общей сложности злоумышленники украли NFT и токены на общую сумму 73 миллиона долларов.
Лица, стоящие за атаками
Эти схемы часто включают в себя перепродажу и торговлю на формирующемся черном рынке кода сливных устройств.
Организаторы фишинговых атак сначала отправляются в Telegram и Discord, где они могут найти каналы, управляемые разработчиками множества различных видов сливов. Они связываются с разработчиком и покупают слив, который представляет собой набор кода, который можно интегрировать в веб-сайты, при этом обычно соглашаясь отдавать 20-30% выручки разработчику. Затем они будут использовать свои собственные методы — один из примеров сайта поддельных новостей, описанный выше, — чтобы скомпрометировать сервер Discord или Twitter учетную запись и рекламировать поддельный веб-сайт, содержащий код слива NFT, чтобы украсть NFT и все, что они могут получить в свои руки.
То есть, когда они не заняты домашним заданием.
«95% из них — дети младше 18 лет, и они все еще учатся в старшей школе», — сказал исследователь безопасности под псевдонимом Плам, который работает в группе доверия и безопасности на торговой площадке NFT OpenSea, добавив, что именно поэтому количество атак имеет тенденцию к увеличению во время летних каникул.
«Я лично разговаривал со многими из них и знаю, что они все еще учатся в школе, — сказал Плам. «Я видел фотографии и видео различных из них из их школ. Они говорят о своих учителях, о том, как они плохо учатся или как им нужно делать домашнее задание».
Эти дети, похоже, не прилагают особых усилий, чтобы скрыть свое новообретенное богатство.
«Они купят ноутбук, несколько телефонов, обувь и потратят огромные деньги на Roblox. Все они по большей части играют в Roblox. Поэтому они будут покупать самое крутое снаряжение для своего аватара Roblox, видеоигр, скинов и тому подобного», — сказал Плам.
Плам добавил, что они также часто покупают подарочные карты с криптовалютой на рынке подарочных карт Bitrefill, тратят тысячи долларов на Uber Eats, покупают дизайнерскую одежду, платят людям, чтобы они делали за них домашнюю работу, и даже покупают автомобили, на которых они еще не умеют водить. А ещё они азартные.
«Они будут делать ставки в размере 40 000 долларов на игру в онлайн-покер и транслировать их всем остальным игрокам в звонке Discord. Все будут смотреть, как этот человек играет в покер», — сказали они.
По словам Плам, эксплуататоры пытаются замести следы, платя людям из стран с низким уровнем дохода за использование их личных данных для регистрации на биржах, запутывая след при выводе денег. Но они сказали, что, по крайней мере, некоторые из них уже должны были быть пойманы, потому что они оставляют достаточно доказательств своих действий — если бы не отсутствие интереса со стороны правоохранительных органов к их поимке.
Что касается того, почему преступники думают, что такие атаки им сойдут с рук, Плам предположил, что «они чувствуют себя непобедимыми, у них есть режим Бога — их никто не может тронуть».
В то время как такие страны, как Северная Корея также участвуют По словам Плама, в фишинговых атаках, нацеленных на NFT, они обычно используют свои собственные сливные устройства и меньше занимаются сливом для продажи. Что касается тех, кто создает сливы NFT — которые в некоторых случаях проводят атаки по собственной технологии — они немного более неуловимы, но их псевдонимные профили тем не менее оставляют отчетливый след.
Рост сливов NFT
Один из первых сливщиков NFT, Monkey, создал свой канал в Telegram в августе. Но только в октябре он стал по-настоящему активным. По данным PeckShield, в течение следующих нескольких месяцев их технология была использована для кражи 2200 NFT на сумму 9,3 миллиона долларов и дополнительных 7 миллионов долларов в виде токенов.
28 февраля Monkey решили повесить шляпу на гвоздь. В прощальном сообщении его разработчик сказал: «Все молодые киберпреступники не должны теряться в погоне за легкими деньгами». Они посоветовали своим клиентам использовать конкурирующую сушилку, известную как Venom.
Веном был достойным соперником. Это был еще один из первых осушителей, и со временем он используется для кражи более 2000 NFT от более чем 15 000 жертв. Клиенты сливника использовали 530 фишинговых сайтов для проведения атак таргетинг крипто проекты, такие как ArbitrumCircle и Blur — заработали в общей сложности 29 миллионов долларов на NFT, эфире и различных токенах.
Хотя Venom был одним из первых сливных устройств NFT, перешедших на мультичейн, они не очень хорошо справились с этой задачей, отмечают эксперты по безопасности. Но это был первый слив, который использовался для кражи NFT на торговой площадке NFT Blur.
Среди других конкурентов были Inferno, которая использовалась для кражи 9,5 миллионов долларов у 11 000 жертв, и Pussy, которая использовалась для кражи 14 миллионов долларов у 3 000 жертв. Клиенты Angel, созданного на российском хакерском форуме, использовали его для кражи 1 миллиона долларов у более чем 500 жертв в виде NFT и различных токенов — совсем недавно. компрометирующий криптокошелек Zerion’s Twitter счет.
А потом появился Пинк.
Любопытный случай Пинк
25 октября Фэнтези, эксперт по безопасности и соучредитель компании BlockMage, специализирующейся на криптобезопасности, копался в Discord Server для Wallet Guard, криптографического продукта, предназначенного для защиты от фишинговых атак. Именно здесь они наткнулись на другую учетную запись под названием BlockDev, которая утверждала, что является исследователем безопасности и управляла Twitter учетную запись под названием Chainthreats, где они будут публиковать информацию о безопасности об эксплойтах.
Хотя у Fantasy и BlockDev были некоторые разногласия при первой встрече, со временем они начали общаться на регулярной основе. Тогда у BlockDev появилась идея: эксплуатировать горячий крипто-кошелек, принадлежащий разработчику дренажа Venom, — используя против него собственный API. BlockDev объяснил, как они планировали это сделать, а затем осуществил атаку, похитив 14 000 долларов в криптовалюте у разработчика Venom. Fantasy наблюдал за всем происходящим и записал кошелек, который BlockDev использовал для проведения атаки.
В начале года на сцену вышел новый сливник NFT под названием Pink. Этот казался более продвинутым, чем его предшественники. Он быстро стал популярным и использовался для кражи NFT во время целого ряда атак. Только когда Fantasy изучили это, они отследили источник средств, использованных для установки сливного устройства, до кошелька BlockDev, предполагая, что это был один и тот же человек.
«Я оглянулся на первоначальный источник финансирования, а также на общую активность между двумя кошельками — у них одинаковая активность. Я столкнулся с ним, и он был не слишком доволен этим», — сказал Фэнтези. «Он разочаровался во мне как в человеке. Он думал, что может мне доверять, что, по-моему, было очень забавно».
В этот момент предполагаемый исследователь, теперь известный как Pink, удалил свой Discord и Twitter учетных записей и разорвала связи с исследователями безопасности, такими как Fantasy и Plum.
Розовый осушитель продолжал использоваться для более крупных эксплойтов в течение мая и июня, в том числе в Discords of Orbiter. FinanceLiFi, Flare и Evmos, а также Стива Аоки Twitter счет и другие.
Злоумышленники снова использовали тактику, изображая из себя журналистов, пытающихся взять интервью, и часто просили модераторов Discord или кого бы то ни было добавить в закладки определенную веб-страницу. В соответствии с ScamSnifferэтот ключевой шаг заключается в том, как они в конечном итоге проникают на серверы.
Plum и Fantasy отметили, что сливному устройству Pink удается обойти защиту, такую как расширения кошелька, которые предназначены для предотвращения таких краж. Они сказали, что Pink добился успеха в обходе расширений кошелька Pocket Universe и Wallet Guard. Они также реализовали способ одновременной кражи токенов и NFT в Blur, что они назвали значительным достижением.
Что касается того, что можно сделать для защиты от таких атак, Плам сказал, что ориентированные на безопасность расширения кошелька по-прежнему хороши для защиты кошельков в целом. Они отметили, что хорошей практикой является использование нескольких кошельков и хранение больших сумм средств в холодных кошельках, и добавили, что также хорошо отзывать утверждения — когда кошелек дает блокчейну разрешение на взаимодействие с определенным токеном — если рассматриваемый токен активно не используется.
«Не настраивайте себя на то, что одна ошибка — если вы будете отвлекаться на крики ваших детей — приведет к тому, что вы потеряете все, что у вас есть», — сказала Плам.
