By
Эксплойт Bitkeep, который произошел 26 декабря, использовал фишинговые сайты, чтобы заставить пользователей загружать поддельные кошельки. согласно к отчету поставщика аналитики блокчейна OKLink.
В отчете говорится, что злоумышленник создал несколько поддельных веб-сайтов Bitkeep, которые содержали файл APK, который выглядел как версия 7.2.9 кошелька Bitkeep. Когда пользователи «обновляли» свои кошельки, загружая вредоносный файл, их закрытые ключи или начальные слова были украдены и отправлены злоумышленнику.
【12-26 #БитХранить Сводка событий взлома】
1/нСогласно данным OKLink, в краже биткипа участвовали 4 цепочки BSC, ETH, TRX, Polygon, OKLink включал 50 хакерских адресов, а общий объем Txns достиг $31 млн.
— ОК Линк (@OKLink) 26 декабря 2022 г.
В отчете не говорится, каким образом вредоносный файл похищал ключи пользователей в незашифрованном виде. Однако он мог просто попросить пользователей повторно ввести исходные слова как часть «обновления», которое программное обеспечение могло зарегистрировать и отправить злоумышленнику.
Как только злоумышленник получил закрытые ключи пользователей, он снял все активы и слил их в пять кошельков, находящихся под контролем злоумышленника. Оттуда они попытались обналичить часть средств с помощью централизованных бирж: 2 эфира (Эфириум) и монета 100 долларов США (USDC) были отправлены на Binance, а 21 ETH — на Changenow.
Атака произошла в пяти разных сетях: BNB Chain, Tron, Ethereum и Polygon, а мосты BNB Chain Biswap, Nomiswap и Apeswap использовались для подключения некоторых токенов к Ethereum. По данным OKLink, в результате атаки было украдено криптовалют на сумму более 9,92 миллиона долларов, хотя другие источники сообщают, что это всего 8 миллионов долларов.
Пока неясно, как злоумышленник убедил пользователей посетить поддельные веб-сайты. Официальный веб-сайт BitKeep предоставил ссылку, которая отправляет пользователей на официальную страницу приложения в Google Play Store, но на ней вообще нет APK-файла приложения.
Атака BitKeep была впервые сообщил Пек Шилд в 7:30 утра по всемирному координированному времени. В то время в этом обвиняли «взлом версии APK». Этот новый отчет от OKLink предполагает, что взломанный APK был получен с вредоносных сайтов и что официальный сайт разработчика не был взломан.
