Резюме

• Большинство пользователей крипто не становятся жертвами взлома через сложные уязвимости, скорее, они становятся жертвами, нажимая, подписывая или доверяя неправильным вещам. Этот отчет разбирает, как происходят эти повседневные ошибки.
• От фишинговых наборов и кражи кошельков до вредоносного ПО и мошеннической поддержки, большинство атак нацелены непосредственно на пользователей, а не на протоколы, что делает общим контекстом человеческий фактор, а не код.
• Этот отчет описывает 101 крипто-эксплойт, касающийся отдельных пользователей, включая список распространенных эксплойтов, а также примеры из реальной жизни и на что следует обращать внимание.

1. Необходимо знать: вы являетесь поверхностью атаки

Крипто по своей природе является само-хранением. Это и есть функция. Но эта основополагающая характеристика, которая является основной ценностью индустрии, часто может сделать вас, пользователя, единственной точкой отказа. В многих случаях, когда отдельные лица теряли свои средства в крипто, это не ошибка в протоколе: это клик. Личное сообщение. Одобрение. Момент доверия или неосторожности при выполнении, казалось бы, несущественной повседневной задачи, которая может изменить ход крипто-опыта.

Этот отчет не является техническим документом или обзором логики смарт-контрактов, а скорее моделью угроз для отдельных лиц. В нем рассматривается, как пользователи становятся жертвами на практике, и что с этим делать. Отчет будет сосредоточен на личных уровнях эксплойтов: фишинг, одобрения кошельков, социальная инженерия, вредоносное ПО. В конце также кратко будут рассмотрены риски на уровне протоколов, чтобы дать представление о спектре эксплойтов, происходящих в крипто.

2. Полный плейбук эксплуатации (в некотором роде)

Постоянный и необратимый характер транзакций, которые происходят в условиях без разрешений, часто без участия посредников, в сочетании с тем фактом, что отдельные пользователи несут ответственность за взаимодействие с анонимными контрагентами на тех же устройствах и браузерах, которые хранят финансовые активы, делает крипто уникальной охотничьей площадкой для хакеров и других преступников. Ниже приведен обширный список типов эксплуатации, с которыми могут столкнуться индивидуумы, но читатели должны понимать, что хотя этот список охватывает большинство способов эксплуатации, он не является исчерпывающим. Список может быть подавляющим для тех, кто не знаком с крипто, но значительная часть из них является "обычными" способами эксплуатации, которые происходили на протяжении довольно длительного времени в эпоху интернета и не уникальны для этой отрасли. §3 будет подробно рассматривать несколько ключевых методов эксплуатации.

2.1 Атаки социальной инженерии

Атаки, полагающиеся на психологическую манипуляцию, чтобы обмануть людей и заставить их скомпрометировать свою безопасность.

• Фишинг: Поддельные электронные письма, сообщения или сайты имитируют реальные платформы, чтобы украсть учетные данные или сид-фразы (больше в §3).
• Мошенничество с выдачей себя за других: Нападающие выдают себя за инфлюенсеров, лидеров проектов или службу поддержки, чтобы завоевать доверие и извлечь средства или конфиденциальную информацию.
• Мошенничество с сид-фразами: пользователей обманывают, заставляя раскрывать фразы восстановления через поддельные инструменты восстановления или раздачи.
• Ложные дропы: Привлекайте пользователей бесплатными токенами, чтобы спровоцировать небезопасные взаимодействия с кошельком или обмен приватными ключами.
• Фальшивые предложения о работе: маскируются под возможности трудоустройства, но направлены на установку вредоносного ПО или сбор конфиденциальных данных.
• Схемы «Памп и Дамп»: Социально координированные усилия по раздуванию и сбросу токенов на ничего не подозревающих розничных участниках.

Рисунок 1: Последствия социального инжиниринга могут быть очень серьезными
Источник: Cointelegraph

2.2 Телеком & Овладение аккаунтом

Использование уязвимостей телекоммуникационной инфраструктуры или учетных записей для обхода аутентификации.

• SIM-замена: Нападатели захватывают мобильный номер жертвы, чтобы перехватить коды 2FA и сбросить учетные данные аккаунта (подробнее в §3).
• Креденшел-статинг: Повторное использование утеченных учетных данных из взломов для доступа к кошелькам или аккаунтам на биржах.
• Обход 2FA: Использование слабой или основанной на SMS аутентификации для получения несанкционированного доступа.
• Перехват сеансов: Кража сеансов браузера с помощью вредоносного ПО или незащищенных сетей для захвата вошедших в систему аккаунтов.

Рисунок 2: Поддельный твит от SEC через SIM-обмен
Источник: Twitter

2.3 Вредоносное ПО и Уязвимости Устройств

Компрометация устройства пользователя для извлечения доступа к кошельку или вмешательства в транзакции (подробнее в §3).

• Клавиатурные шпионские программы: Записывают нажатия клавиш для кражи паролей, ПИН-кодов и сид-фраз.
• Хищники буфера обмена: Замените вставленные адреса кошельков на контролируемые злоумышленником.
• Удалённые доступные трояны (RAT): Позволяют злоумышленникам полностью контролировать машину жертвы, включая кошельки.
• Зловредные браузерные расширения: скомпрометированные или фальшивые расширения крадут данные или манипулируют транзакциями.
• Фальшивые кошельки или приложения: Поддельные приложения (мобильные или браузерные), которые истощают средства при использовании.
• Атаки «человек посередине» (MITM): перехват и модификация общения между пользователем и сервисом, особенно в небезопасных сетях.
• Атаки на незащищённый Wi-Fi: Открытый или скомпрометированный Wi-Fi позволяет перехватывать чувствительные данные во время входа или передачи.

Рисунок 3: Фальшивые кошельки — это распространенный мошеннический прием, нацеленный на начинающих пользователей крипто.
Источник: cryptorank

2.4 Эксплуатация на уровне кошелька

Атаки, нацеленные на то, как пользователи управляют или взаимодействуют с кошельками и интерфейсами подписи.

• Утечки одобрений: Зловредные смарт-контракты используют предыдущие одобрения токенов для вывода токенов.
• Атаки с слепой подписью: Пользователи подписывают неясные полезные нагрузки, что приводит к потере средств (например, из аппаратных кошельков).
• Кража семенного фразы: Экстракция фраз восстановления через вредоносное ПО, фишинг или ненадлежащую гигиену хранения.
• Скомпрометированные приватные ключи: Небезопасное хранение (например, на облачных дисках или в текстовых заметках), что приводит к утечке ключей.
• Скомпрометированные аппаратные кошельки: Поддельные или модифицированные устройства раскрывают приватные ключи злоумышленникам.

2.5 Риски смарт-контрактов и на уровне протокола

Риски, возникающие из взаимодействий с вредоносным или уязвимым кодом в блокчейне.

• Роговые Смарт Контракты: Скрытая malicious логика, которая истощает средства при взаимодействии.
• Атаки с использованием флеш-кредитов: Эксплойти, использующие неконтрактные кредиты для манипуляции ценами или логикой протокола.
• Манипуляция оракулами: злоумышленник искажает ценовые данные, чтобы использовать протоколы, полагающиеся на ошибочные данные.
• Выход из ликвидных схем мошенничества: Создатели разрабатывают токены/пулы, из которых только они могут выводить средства, оставляя пользователей в ловушке.
• Сибилла-атаки: Фальшивые личности искажают децентрализованные системы, особенно управление или право на участие в аирдропах.

Рисунок 4: Флеш-займ стал причиной одной из крупнейших эксплуатаций в DeFi
Источник: Elliptic

2.6. Проект & Манипуляции на Рынке Мошенничества

Мошенничества, связанные со структурой токенов, проектами DeFi или коллекциями NFT.

• Схемы сдергивания: Основатели проекта исчезают после привлечения капитала, оставляя за собой бесполезные токены.
• Фальшивые проекты: Ложные коллекции заманивают пользователей в мошенничество с чеканкой или подписанием вредоносных транзакций.
  Атаки пыли: Миниатюрные переводы токенов, используемые для дена anonymизации кошельков и идентификации целей для фишинга или мошенничества.

2.7. Веб & Инфраструктурные атаки

Эксплуатация инфраструктуры уровня фронт-энда или DNS, на которую полагаются пользователи.

• Фронт-Энд Хайджакс / DNS Спуфинг: Злоумышленники перенаправляют пользователей на вредоносные интерфейсы для кражи учетных данных или побуждения к небезопасным транзакциям.
• Эксплуатация мостов: Взломы кросс-цепочных мостов, которые ставят под угрозу средства пользователей в процессе перевода.

2.8. Физические угрозы

Реальные риски, связанные с принуждением, кражей или наблюдением.

• Атака гаечным ключом на 5 долларов: жертв физически принуждают перевести средства или раскрыть seed-фразы.
• Физическое воровство: Устройства или резервные копии (например, аппаратные кошельки, блокноты) крадутся для получения доступа.
• Слежка через плечо: наблюдение или съемка пользователей, вводящих конфиденциальные данные в общественных или частных местах.

Рисунок 5: К сожалению, физические угрозы были распространены.
Источник: The New York Times

3. Ключевые уязвимости, на которые стоит обратить внимание

Некоторые эксплойты происходят чаще других. Вот три эксплойта, о которых должны знать люди, владеющие или взаимодействующие с Крипто, включая способы их предотвращения. В конце раздела будет приведена сводка методов предотвращения и ключевых признаков, на которые следует обращать внимание, поскольку существует пересечение между различными методами эксплуатации.

3.1 Фишинг (включая фальшивые кошельки и эирдропы)

Фишинг предшествует крипто на протяжении десятилетий, и термин появился в 1990-х годах для описания атакующих, «ловящих» конфиденциальную информацию, обычно учетные данные, через поддельные электронные письма и веб-сайты. С появлением крипто как параллельной финансовой системы фишинг естественным образом эволюционировал, чтобы нацелиться на семенные фразы, приватные ключи и авторизации кошельков, т.е. крипто эквиваленты «полного контроля».

Крипто-фишинг особенно опасен, потому что нет возможности вернуть средства: нет возвратов, нет защиты от мошенничества и нет службы поддержки, которая могла бы отменить транзакцию. Как только ваш ключ украден, ваши средства можно считать потерянными. Также важно помнить, что фишинг иногда является лишь первым шагом в более широком эксплойте, что делает реальный риск не первоначальной утратой, а долгим рядом компромиссов, которые следуют за этим, например, скомпрометированные учетные данные могут позволить злоумышленнику выдать себя за жертву и обмануть других.

Как работает фишинг?

В своей основе фишинг использует человеческое доверие, представляя поддельную версию доверенного интерфейса или выдавая себя за кого-то авторитетного, чтобы обмануть пользователей и заставить их добровольно предоставить конфиденциальную информацию или одобрить злонамеренные действия. Существует несколько основных векторов доставки:

• Фишинговые сайты
  • Фальшивые версии кошельков (например, MetaMask, Phantom), бирж (например, Binance) или децентрализованных приложений (dApps).
  • Часто рекламируется через объявления Google или делится через группы в Discord/Twitter, выглядит идентично настоящему сайту пиксель в пиксель.
  • Пользователям может быть предложено «импортировать кошелек» или «восстановить средства», используя свою мнемоническую фразу или приватный ключ.
• Фишинг Emails & Сообщения
  • Похоже на официальное сообщение (например, "срочное обновление безопасности" или "аккаунт скомпрометирован").
  • Включите ссылки на фальшивые порталы входа или направьте вас на взаимодействие с вредоносными токенами или смарт-контрактами.
  • Распространено в Telegram, Discord, Twitter DMs и даже SMS.
• Фальшивые кошельки или расширения браузера
  • Доступно в магазинах приложений или в виде расширений для Chrome.
  • Функционально имитируют реальные кошельки, но пересылают ваш закрытый ключ или данные транзакции злоумышленникам.
  • Некоторые даже позволяют вам переводить средства, которые через несколько минут исчезают.
• Схемы сairdrop
  • Поддельные токены отправляются в кошельки (особенно на EVM-цепях).
  • Нажатие на токен или попытка торговать им вызывает взаимодействие с вредоносным контрактом.
  • Может тайно запрашивать неограниченные одобрения токенов или украсть ваш родной токен через подписанный полезный груз.

Рисунок 6: Всегда будьте осторожны, когда видите «бесплатно» в крипто
Источник: Presto Research

Примеры фишинга
Хакерская атака на Atomic Wallet в июне 2023 года, приписываемая северокорейской группе Lazarus, является одной из самых разрушительных чистых фишинговых атак в истории криптовалют. Она привела к краже более 100 миллионов долларов в криптовалюте путем компрометации более 5,500 некостодиальных кошельков без необходимости подписывать какие-либо вредоносные транзакции или взаимодействовать со смарт-контрактами. Эта атака была сосредоточена исключительно на извлечении семенных фраз и приватных ключей через обманчивые интерфейсы и вредоносное ПО - классический пример кражи учетных данных на основе фишинга.
Atomic Wallet — это мультицепочный, некостодиальный кошелек, поддерживающий более 500 криптовалют. В этом инциденте злоумышленники запустили скоординированную фишинговую кампанию, использующую доверие пользователей к инфраструктуре поддержки кошелька, процессам обновления и идентичности бренда. Жертвы были обмануты через электронные письма, фальшивые веб-сайты и троянские обновления программного обеспечения, все из которых были разработаны для имитации законных коммуникаций от Atomic Wallet.

Векторы фишинга включали:

• Поддельные электронные письма, выдающие себя за поддержку Atomic Wallet или уведомления о безопасности, призывающие к срочным действиям.
• Поддельные веб-сайты (например, atomic-wallet[.]co) который имитировал интерфейс восстановления кошелька или интерфейс запроса вознаграждения.
• Зловредные обновления, распространяемые через Discord, электронную почту и скомпрометированные форумы, которые либо перенаправляли пользователей на фишинговые страницы, либо извлекали учетные данные с помощью локального вредоносного ПО.

Как только пользователи ввели свои 12- или 24-словные сид-фразы или приватные ключи в эти мошеннические интерфейсы, злоумышленники получили полный доступ к их кошелькам. Эта уязвимость не включала никакого взаимодействия на блокчейне со стороны жертвы: ни подключения кошелька, ни запросов на подпись, ни участия смарт-контрактов. Вместо этого она полностью полагалась на социальную инженерию и готовность пользователя восстановить или подтвердить свой кошелек на том, что казалось доверенной платформой.

3.2 Кошельковые дренажеры и злонамеренные одобрения

Дренер кошелька - это тип вредоносного смарт-контракта или децентрализованного приложения (dApp), предназначенного для извлечения активов из вашего кошелька, не крадя ваш приватный ключ, а обманывая вас, заставляя авторизовать доступ к токенам или подписывать опасные транзакции. В отличие от фишинга, который пытается получить ваши учетные данные, дренеры используют разрешения - элементарный механизм доверия, который управляет Web3.

С ростом популярности DeFi и Web3 приложений, такие кошельки, как MetaMask и Phantom, популяризировали идею «соединения» с dApps. Это принесло удобство, но также создало огромную поверхность для атак. В 2021–2023 годах популярность дренажеров утверждений стремительно возросла через минты NFT, фальшивые аэрдропы, и dApps, которые были «выведены на свет», начали внедрять вредоносные контракты в знакомые пользовательские интерфейсы. Пользователи, часто взволнованные или отвлеченные, подключали свой кошелек и нажимали «Одобрить», не осознавая, что они авторизуют.

Чем это отличается от фишинга?
Фишинг включает в себя обман человека с целью добровольного раскрытия чувствительных учетных данных, таких как сид-фраза, пароль или приватный ключ. Подключение вашего кошелька не раскрывает ваши ключи или фразы, так как вы не передаете секреты, вы подписываете транзакции или предоставляете разрешения. Эти эксплойты происходят через логику смарт-контрактов, а не кражу ваших учетных данных, что делает их механически отличными от фишинга. Вы авторизуете слив, часто не осознавая этого, что больше похоже на "ловушку согласия", чем на кражу учетных данных.
Вы можете рассматривать фишинг как основанный на УЧЕТНЫХ ДАННЫХ, а дренаж кошелька / злонамеренные разрешения как основанные на РАЗРЕШЕНИЯХ.

Механика атаки
Злонамеренные одобрения используют системы разрешений в блокчейн-стандартах, таких как ERC-20 (токены) и ERC-721/ERC-1155 (NFT). Они обманывают пользователей, заставляя их предоставлять злоумышленникам постоянный доступ к своим активам.

• Основы одобрения токенов:
  • ERC-20 Токены: Функция approve(address spender, uint256 amount) позволяет «расходовому» лицу (например, DApp или злоумышленнику) переводить указанное количество токенов из кошелька пользователя.
  • NFTs: Функция setApprovalForAll(address operator, bool approved) предоставляет "оператору" разрешение на передачу всех NFT в коллекции.
  • Эти одобрения являются стандартными для DApps (например, Uniswap требует одобрения для обмена токенов), но злоумышленники используют их в злонамеренных целях.
• Как злоумышленники получают одобрение:
  • Обманчивые подсказки: Фишинговый сайт или скомпрометированный DApp побуждают пользователя подписать транзакцию с пометкой «подключение кошелька», «обмен токенов» или «запрос NFT». На самом деле транзакция вызывает approve или setApprovalForAll для адреса злоумышленника.
  • Неограниченные разрешения: Нападатели часто запрашивают неограниченные разрешения на токены (например, uint256.max) или устанавливают setApprovalForAll(true), что дает им полный контроль над токенами или NFT пользователя.
  • Слепая подпись: некоторые DApps требуют подписи непрозрачных данных, что затрудняет обнаружение злонамеренных одобрений. Даже с аппаратными кошельками, такими как Ledger, отображаемые детали могут казаться безобидными (например, "Одобрить токен"), но скрывают намерения злоумышленника.
• Эксплуатация:
  • Немедленная кража: Нападающий использует одобрение для перевода токенов/NFT в свой кошелек сразу после транзакции.
  • Задержанная кража: Атакующий ждет (иногда недели или месяцы), чтобы вывести активы, снижая подозрения. Например, атакующий с setApprovalForAll может передавать NFT, когда угодно.
  • Массовые атаки: Дрейнеры, такие как Angel Drainer, сканируют на предмет одобрений в нескольких кошельках и массово их опустошают во время рыночных пампов или высокоценностных дропов NFT.

Примеры дренажей кошельков / злонамеренных разрешений
Схема Monkey Drainer, активно работавшая в основном в 2022 и начале 2023 года, была известным инструментом фишинга "drainer-as-a-service", ответственным за кражу миллионов в крипто (включая NFT) через обманчивые веб-сайты и злонамеренные смарт-контракты. В отличие от традиционного фишинга, который основывается на сборе seed-фраз или паролей пользователей, Monkey Drainer действовал через злонамеренные подписи транзакций и злоупотребление смарт-контрактами, позволяя злоумышленникам извлекать токены и NFT без прямого компрометации учетных данных. Обманув пользователей, заставляя их подписывать опасные ончейн-одобрения, Monkey Drainer обеспечил кражу более 4,3 миллионов долларов через сотни кошельков до своего закрытия в начале 2023 года.

Рисунок 7: Известный ончейн-детектив ZachXBT раскрывает схемы Monkey Drainer
Источник: Twitter (@zachxbt)

Комплект был популярен среди малоопытных атакующих и активно рекламировался в подпольных сообществах Telegram и темной сети. Он позволял партнерам клонировать фальшивые сайты для чеканки, выдавать себя за реальные проекты и настраивать бэкэнд для перенаправления подписанных транзакций на централизованный контракт-откачиватель. Эти контракты были разработаны для эксплуатации токенов, полагаясь на пользователей, которые не осознавали, что подписывают сообщения, предоставляющие адресам атакующих доступ к активам через функции, такие как setApprovalForAll() (NFT) или permit() (токены ERC-20).

Примечательно, что поток взаимодействия избегал прямого фишинга: жертв не просили сообщать свои приватные ключи или сид-фразы. Вместо этого они взаимодействовали с казалось бы легитимными децентрализованными приложениями (dApps), часто на страницах чеканки с обратным отсчетом или с раскрученной брендингом. После подключения пользователи получали запрос на подпись транзакции, которую они не полностью понимали, часто замаскированной под общим языком одобрения или обфускацией интерфейса кошелька. Эти подписи не переводили средства напрямую, но давали злоумышленнику право сделать это в любое время. С предоставленными разрешениями контракт дренажа мог выполнять пакетные выводы за один блок.

Отличительной чертой метода Monkey Drainer была его задержка в выполнении: украденные активы часто выводились через несколько часов или дней, чтобы избежать подозрений и максимизировать доход. Это делало его особенно эффективным против пользователей с крупными кошельками или активной торговой деятельностью, чьи одобрения сливались в нормальные шаблоны использования. К высокопрофильным жертвам относились коллекционеры NFT, которые потеряли активы из таких проектов, как CloneX, Bored Apes и Azuki.

Хотя Monkey Drainer прекратил операции в 2023 году, предположительно, чтобы "оставаться в тени", эра дренажеров кошельков продолжает развиваться, представляя собой постоянную угрозу для пользователей, которые неправильно понимают или недооценивают силу одобрения в блокчейне.

3.3 Вредоносные программы и уязвимости устройств

Наконец, «вредоносное ПО и эксплойты устройств» относятся к широкому, универсальному спектру атак, которые охватывают различные векторы доставки, цель которых - скомпрометировать компьютер, телефон или браузер пользователя, как правило, через вредоносное программное обеспечение, установленное путем обмана. Цель обычно заключается в том, чтобы украсть конфиденциальную информацию (например, семенные фразы, приватные ключи), перехватить взаимодействие с кошельком или предоставить злоумышленнику удаленный доступ к устройству жертвы. В крипто эти атаки часто начинаются с социальной инженерии, такой как поддельное предложение о работе, фальшивое обновление приложения или файл, отправленный через Discord, но быстро перерастают в полномасштабную компрометацию системы.

Вредоносное ПО существует с самых ранних дней персональных компьютеров. В традиционных контекстах оно использовалось для кражи информации о кредитных картах, сбора логинов или захвата систем для спама или программ-вымогателей. Поскольку крипто набирало популярность, атакующие изменили свои цели: вместо того чтобы нацеливаться на учетные данные для интернет-банкинга (которые можно отменить), они теперь стремятся украсть необратимые криптоактивы.

Как начинаются эти атаки… Угол социальной инженерии

Большинство вредоносных программ не распространяются случайно: они требуют, чтобы жертва была обманута на выполнение. Здесь на помощь приходит социальная инженерия.

Общие способы доставки:

• Ложные вакансии: Жертва подает заявку на поддельную работу в Web3, получает "технический тест" или "ссылку на интервью", содержащую вредоносное ПО.
• Ссылки на Discord или Telegram: Отправляются как "инструменты для розыгрышей", "скриншоты" или фальшивые файлы поддержки.
• Вложения к электронной почте: Резюме, технические документы или форматы счетов (PDF, .docx, .exe), содержащие вредоносный код.
• Ложные обновления: Всплывающие окна или поддельные сайты, предлагающие "последнюю версию MetaMask/Phantom".
• Загрузка с помощью драйва: Просто посещение сайта может запустить фоновую загрузку, особенно на устаревших браузерах.

Общая нить: Злоумышленник создает правдоподобный контекст, который убеждает пользователя кликнуть, скачать или открыть что-то опасное.

Типы вредоносных программ, распространенных в Крипто-эксплойтах

• Кейлоггеры: Записывают каждое нажатие клавиши, включая сид-фразы, пароли и PIN-коды. Особенно опасно, если пользователь вводит свою сид-фразу в текстовом редакторе, поле для входа на биржу или в поле восстановления кошелька.
• Хищники буфера обмена: отслеживают скопированные адреса кошельков и заменяют их адресом злоумышленника при вставке. Жертвы часто не замечают этого и отправляют средства, думая, что вставили свой собственный адрес, но он уже был заменен.
• Удалённые трояны (RAT): предоставляют злоумышленнику полный контроль над устройством жертвы. Это включает в себя чтение файлов, просмотр экранов, захват сеансов браузера и даже экспорт семенных фраз непосредственно из приложений для кошельков, таких как Exodus, или из браузерных кошельков.
• Фальшивые кошельки или приложения: выглядят как легитимные кошельки, но предзагружены вредоносным кодом. Распространены на сайтах APK для Android или в магазинах расширений Chrome. Некоторые выглядят функциональными, пока вы не отправите средства или не восстановите сид, после чего средства выводятся.
• Зловредные браузерные расширения: компрометируют или подделывают реальные крипто-расширения для мониторинга активности, внедрения вредоносныхPayloadов или запроса поддельных подписей. Часто они требуют обширных разрешений под предлогом «интеграции кошелька».
• Инфраструктура «человек посередине» (MITM): Вредоносное ПО настраивает прокси или захват DNS для перехвата и манипуляции трафиком между вами и вебом, включая замену адресов или перенаправление подписанных транзакций.

Пример: Мошенничество с работой Axie Infinity 2022 года

Скам с работой Axie Infinity 2022 года, который привел к масштабному хакерству Ronin Bridge, является ярким примером вредоносного ПО и эксплуатации устройств в сфере Крипто, вызванным сложной социальной инженерией. Эта атака, приписываемая спонсируемой государством Северной Кореи группе Lazarus, привела к краже примерно 620 миллионов долларов в криптовалюте, что делает её одним из крупнейших хакерств в области децентрализованных финансов (DeFi) на сегодняшний день.

Рисунок 8: Эксплойт Axie Infinity попал в традиционные финансовые СМИ
Источник: Bloomberg TV

Взлом был многоступенчатой операцией, сочетавшей в себе социальную инженерию, развертывание вредоносного ПО и эксплуатацию уязвимостей инфраструктуры блокчейна.

Хакеры, выдавая себя за рекрутеров вымышленной компании, нацелились на сотрудников Sky Mavis через LinkedIn: Sky Mavis является компанией, стоящей за Ronin Network, сайдчейном, связанным с Ethereum, который поддерживает Axie Infinity, популярную игру на блокчейне с элементами заработка. В то время рыночные капитализации Ronin и Axie Infinity составляли примерно 300 миллионов долларов и 4 миллиарда долларов соответственно.

К нескольким сотрудникам обратились, но первичной целью стал старший инженер, с которым злоумышленники провели несколько раундов фальшивых собеседований, чтобы вызвать доверие, предлагая чрезвычайно щедрый компенсационный пакет, чтобы заманить инженера. Злоумышленники отправили PDF-документ, замаскированный под официальное предложение о работе, инженеру. Инженер, полагая, что это часть процесса приема на работу, скачал и открыл файл на рабочем компьютере. PDF-содержал RAT, который заразил систему инженера при открытии, предоставив хакерам доступ к внутренним системам Sky Mavis, вероятно, через повышение привилегий или боковое перемещение внутри сети. Эта компрометация предоставила точку опоры для атаки на инфраструктуру сети Ronin.

Механика взлома, который продолжал эксплуатировать мост Ronin и Axie DAO, выходит за рамки данной исследовательской статьи, однако этот эксплойт привел к краже в размере 620 миллионов долларов (173 600 ETH и 25,5 млн USDC) с восстановлением лишь 30 миллионов долларов.

4. Как защитить себя

Попытки эксплуатации становятся все более изощренными, но все еще зависят от характерных признаков. Красные флаги включают:

• “Импортируйте свой кошелек, чтобы получить X”: Ни одна законная служба никогда не попросит вашу сид-фразу.
• Непрошенные сообщения: Особенно, предлагающие поддержку, деньги или помощь с проблемой, о которой вы не спрашивали.
• Неправильно написанные домены: напр., metamask.io и metarnask.io.
• Google Ads: Фишинговые ссылки часто появляются выше реальной ссылки в поисковых результатах.
• Слишком хорошие, чтобы быть правдой, предложения: такие как «получите 5 ETH» или «удвойте свои монеты».
• Срочность или запугивание: "Ваш аккаунт заблокирован", "Забирайте сейчас или потеряете средства".
• Неограниченные одобрения токенов: пользователи должны сами устанавливать суммы токенов.
• Запросы слепой подписи: Шестнадцатеричные полезные нагрузки без читаемого объяснения.
• Неподтвержденные или неясные контракты: Если токен или dApp новый, проверьте, что вы одобряете.
• Срочные уведомления интерфейса: Классические тактики давления, такие как «Вы должны подписать это сейчас или упустите возможность».
• Всплывающие окна подписки MetaMask: Особенно с неясными полезными нагрузками, безгазовыми транзакциями или сочетанием вызовов функций, которые вы не понимаете.

Дополнительные правила OpSec (оперативной безопасности):

• Золотые правила
  • Никогда не делитесь своей seed-фразой ни с кем и по любой причине.
  • Добавьте в закладки официальные сайты: всегда переходите напрямую. Никогда не используйте поисковые системы для кошельков или бирж.
  • Не нажимайте на случайные токены аирдропа: Особенно если вы не согласились.
  • Избегайте незапрашиваемых личных сообщений: Законные проекты РЕДКО когда пишут первыми... (Кроме случаев, когда они это делают)
  • Используйте аппаратные кошельки: они уменьшают риск слепой подписи и предотвращают раскрытие ключей.
  • Включите инструменты защиты от фишинга: используйте расширения, такие как PhishFort, Revoke.cash и блокировщики рекламы.
  • Используйте только для чтения эксплореры: Инструменты, такие как Etherscan Token Approvals или Revoke.cash, показывают, какие разрешения имеет ваш кошелек.
  • Используйте временные кошельки: создайте новый кошелек с нулевыми~незначительными средствами, чтобы сначала протестировать минты или ссылки. Это минимизирует любые потери.
  • Сегментируйте свои активы: Не держите все свои активы в одном месте.
• Продвинутые практики для опытного Крипто пользователя
  • Используйте специальное устройство или профиль браузера для крипто-активности - дополнительно вы можете иметь специальное устройство для открытия ссылок и личных сообщений.
  • Проверьте предупреждающие метки токенов на Etherscan: многие мошеннические токены отмечены.
  • Сравните адреса контрактов с официальными объявлениями проектов.
  • Тщательно проверяйте URL-адреса: Особенно в электронных письмах и чатах часто встречаются незаметные опечатки. Многие приложения для обмена сообщениями и, конечно, веб-сайты позволяют использовать гиперссылки - это позволяет кому-то сделать следующее:www.google.com (все в порядке, вы можете нажать на ссылку).
  • Смотрите, что вы подписываете: всегда расшифровывайте транзакции (например, через MetaMask, Rabby или симулятор) перед подтверждением.

5. Заключительное слово

Большинство пользователей воспринимают эксплойты в крипто как что-то техническое и неизбежное, особенно те, кто нов в этой индустрии. Хотя это может быть верно для сложных методов атак, зачастую начальный шаг нацелен на личность не техническими способами, что делает остальную часть эксплойта предотвратимой.

Подавляющее большинство личных потерь в этой сфере не происходит из-за какого-либо нового уязвимости или неясного протокольного бага, а скорее из-за того, что люди подписывают документы, которые не читали, или импортируют кошельки в поддельные приложения, или доверяют личным сообщениям, которые кажутся достаточно правдоподобными. Инструменты могут быть новыми, но тактика стара как мир: обман, срочность, отвлечение.

Люди приходят в Крипто из-за самоконтроля и безразрешительной природы, но пользователи должны помнить, что здесь ставки выше; в традиционных финансах вас могут обмануть, и вы можете обратиться в банк. В Крипто вас обманули, и это конец истории.

Отказ от ответственности：

1. Эта статья перепечатана из [Престо Ресёрч]. Все авторские права принадлежат оригинальному автору [Престо Ресерч]. Если есть возражения против этого перепечатки, пожалуйста, свяжитесь с Gate Learn команда, и они решат это быстро.
2. Отказ от ответственности: Мнения и взгляды, выраженные в этой статье, принадлежат исключительно автору и не являются инвестиционным советом.
3. Переводы статьи на другие языки выполняются командой Gate Learn. Если не указано иное, копирование, распространение или плагиат переведенных статей запрещены.