Резюме

• Більшість користувачів крипто не стають жертвами зламу через складні експлойти, скоріше, їх зламують через кліки, підписи або довіру до невірних речей. У цьому звіті розглядається, як трапляються ці щоденні помилки.
• Від фішингових комплектів і витяжок гаманців до шкідливого програмного забезпечення та підроблених схем підтримки, більшість атак націлені безпосередньо на користувачів, а не на протоколи, що робить спільною ланкою людський контекст, а не код.
• Цей звіт описує 101 експлуатацію крипто, що стосується окремих користувачів, включаючи список поширених експлуатацій, а також реальні приклади та на що слід звернути увагу.

1. Що потрібно знати: Ви є атакуючою поверхнею

Крипто є самостійним за замовчуванням. Це і є особливість. Але ця основна характеристика, яка є основою цінностей галузі, може часто зробити вас, користувача, єдиною точкою відмови. У багатьох випадках, коли фізичні особи втрачають свої кошти в крипто, це не помилка в протоколі: це клік. Пряме повідомлення. Затвердження. Момент довіри або недбалості при виконанні, здавалося б, незначного повсякденного завдання, що може змінити хід крипто-досвіду.

Цей звіт не є технічним білетом або оглядом логіки смарт-контрактів, а швидше моделлю загроз для окремих осіб. Аналіз того, як користувачів експлуатують на практиці, і що з цим робити. Звіт зосередиться на особистих експлуатаціях: фішинг, схвалення гаманців, соціальна інженерія, шкідливе ПЗ. Також буде коротко розглянуто ризики на рівні протоколу в кінці, щоб дати уявлення про спектр експлуатацій, які відбуваються в крипто.

2. Повний посібник з експлуатації (в якійсь мірі)

Постійна та незворотна природа транзакцій, які відбуваються в умовах без дозволу, часто без участі посередників, у поєднанні з тим фактом, що окремі користувачі несуть відповідальність за взаємодію з анонімними контрагентами на тих же пристроях і в тих же браузерах, що й зберігають фінансові активи, робить крипто унікальним полем для хакерів та інших злочинців. Нижче наведено розширений список типів експлойтів, з якими можуть стикатися особи, але читачі повинні знати, що хоча цей список охоплює більшість експлойтів, він не є вичерпним. Список може бути перевантажуючим для тих, хто не знайомий з крипто, але значна частина з них є "звичайними" експлойтами, які відбувалися протягом досить тривалого часу в епоху інтернету і не є унікальними для цієї галузі. §3 детально розгляне кілька ключових методів експлойту.

2.1 Атаки соціальної інженерії

Атаки, що базуються на психологічній маніпуляції, щоб обманути людей і змусити їх скомпрометувати свою безпеку.

• Фішинг: Підроблені електронні листи, повідомлення або сайти імітують реальні платформи для викрадення облікових даних або сідів фраз (більше в §3).
• Шахрайства з імпersonацією: Зловмисники видають себе за впливових осіб, лідерів проектів або службу підтримки, щоб завоювати довіру та отримати кошти або чутливу інформацію.
• Схеми шахрайства з насінням: Користувачів обманюють на розкриття фраз відновлення через підроблені інструменти відновлення або роздачі.
• Фейкові аірдропи: Спокушайте користувачів безкоштовними токенами, щоб спонукати до небезпечних взаємодій з гаманцем або обміну приватними ключами.
• Фальшиві пропозиції роботи: маскуються під можливості працевлаштування, але спрямовані на встановлення шкідливого ПЗ або збору чутливих даних.
• Схеми «памп і дамп»: Соціально координовані зусилля для розкрутки та скидання токенів на непідозрюючих роздрібних учасників.

Рисунок 1: Наслідки соціальної інженерії можуть бути дуже серйозними
Джерело: Cointelegraph

2.2 Телекомунікації & Перехоплення рахунку

Використання телекомунікаційної інфраструктури або слабкостей на рівні облікового запису для обходу автентифікації.

• SIM-заміна: Зловмисники перехоплюють мобільний номер жертви, щоб перехопити коди 2FA та скинути облікові дані (більше в §3).
• Злом облікових даних: Використання зламаних облікових даних з витоків для доступу до гаманців або облікових записів бірж.
• Обхід 2FA: Використання слабкої або SMS-автентифікації для отримання несанкціонованого доступу.
• Перехоплення сеансів: Викрадення сеансів браузера за допомогою шкідливого програмного забезпечення або незахищених мереж для захоплення облікових записів, в які вже увійшли.

Рисунок 2: Фальшивий твіт від SEC через SIM-заміну
Джерело: Twitter

2.3 Шкідливе ПЗ та експлуатація пристроїв

Компрометація пристрою користувача для отримання доступу до гаманця або втручання в транзакції (більше в §3).

• Кейлогери: Записують натискання клавіш для крадіжки паролів, PIN-кодів та сідів.
• Хакери буфера обміну: замінюйте вставлені адреси гаманців на контрольовані зловмисником.
• Трояни віддаленого доступу (RAT): Дають зловмисникам повний контроль над комп'ютером жертви, включаючи гаманці.
• Зловмисні веб-розширення: Скомпрометовані або фальшиві розширення викрадають дані або маніпулюють транзакціями.
• Фальшиві гаманці або програми: Підроблені програми (мобільні або браузерні), які висмоктують кошти під час використання.
• Атаки "людина посередині" (MITM): Перехоплюйте та модифікуйте зв'язок між користувачем і сервісом, особливо в небезпечних мережах.
• Атаки на незахищений Wi-Fi: Публічний або скомпрометований Wi-Fi дозволяє перехоплювати чутливі дані під час входу або передачі.

Рисунок 3: Фальшиві гаманці є поширеним шахрайством, що націлене на початківців користувачів крипто
Джерело: cryptorank

2.4 Вразливості на рівні гаманця

Атаки, що націлені на те, як користувачі керують або взаємодіють з гаманцями та інтерфейсами підпису.

• Схеми затвердження: Зловмисні смарт-контракти експлуатують попередні затвердження токенів, щоб викачати токени.
• Атаки з сліпим підписом: Користувачі підписують невідомі навантаження, що призводять до втрати коштів (наприклад, з апаратних гаманців).
• Крадіжка сідів: Виведення відновлювальних фраз через шкідливе ПЗ, фішинг або погану гігієну зберігання.
• Скомпрометовані приватні ключі: Небезпечне зберігання (наприклад, на хмарних дисках або у звичайних текстових нотатках), що призводить до витоку ключів.
• Скомпрометовані апаратні гаманці: Підроблені або модифіковані пристрої витікають приватні ключі до зловмисників.

2.5 Ризики смарт-контрактів та протоколів

Ризики, що виникають внаслідок взаємодії з шкідливим або вразливим кодом на ланцюзі.

• Шкідливі смарт-контракти: прихована злочинна логіка, яка виводить кошти при взаємодії.
• Атаки з миттєвими кредитами: експлуатація неконтрактних кредитів для маніпуляції цінами або логікою протоколу.
• Маніпуляція з Орклами: Зловмисник спотворює ціни для експлуатації протоколів, що покладаються на ненадійні дані.
• Схеми ліквідності виходу: Творці створюють токени/пули, з яких лише вони можуть виводити цінність, залишаючи користувачів у пастці.
• Атаки Сібіл: Фальшиві особистості спотворюють децентралізовані системи, зокрема управління або право на участь в аірдропі.

Рисунок 4: Флеш-кредит став причиною одного з найбільших експлойтів у DeFi
Джерело: Elliptic

2.6. Проект & Маніпуляції Ринком Шахрайства

Схеми, пов'язані зі структурою токенів, проектами DeFi або колекціями NFT.

• Розвороти: засновники проекту зникають після залучення капіталу, залишаючи безцінні токени.
• Фейкові проекти: Ложні колекції спокушають користувачів на участь у шахрайствах з чеканням або підписанням шкідливих транзакцій.
  Атаки пилу: Мініатюрні трансакції токенів, що використовуються для деанонімізації гаманців та ідентифікації цілей для фішингу або шахрайства.

2.7. Веб & Інфраструктурні атаки

Експлуатуючи інфраструктуру на рівні фронт-енду або DNS, на яку покладаються користувачі.

• Атаки на фронт-енд / Спуфінг DNS: Зловмисники перенаправляють користувачів на шкідливі інтерфейси, щоб вкрасти облікові дані або спонукати до небезпечних транзакцій.
• Експлуатація мостів: Взломи кросчейн-мостів, які компрометують кошти користувачів під час передачі.

2.8. Фізичні загрози

Реальні ризики, пов'язані з примусом, крадіжкою або спостереженням.

• Атака з гайковим ключем на 5 доларів: жертв фізично змушують переказувати кошти або розкривати початкові фрази.
• Фізичне викрадення: Пристрої або резервні копії (наприклад, апаратні гаманці, зошити) викрадаються для отримання доступу.
• Шулера спостереження: Спостереження або зйомка користувачів, які вводять чутливі дані в публічних або приватних місцях.

Рисунок 5: На жаль, фізичні загрози були поширеними
Джерело: The New York Times

3. Ключові вразливості, на які слід звернути увагу

Деякі експлойти відбуваються частіше, ніж інші. Ось три експлойти, про які повинні знати особи, що володіють або взаємодіють з крипто, включаючи способи їх запобігання. Агрегація технік запобігання та ключових атрибутів, на які слід звернути увагу, буде наведена в кінці розділу, оскільки існують перехрестя між різними методами експлойту.

3.1 Фішинг (включаючи фейкові гаманці та аірдропи)

Фішинг існує вже десятиліттями до крипто, і термін виник у 1990-х роках, щоб описати атакуючих, які «ловлять» чутливу інформацію, зазвичай облікові дані, через фальшиві електронні листи та вебсайти. Оскільки крипто виникло як паралельна фінансова система, фішинг природно еволюціонував, щоб націлюватися на сид-фрази, приватні ключі та авторизації гаманців, тобто крипто-аналог «повного контролю».

Крипто фішинг особливо небезпечний, оскільки немає можливості повернення: немає повернень, немає захисту від шахрайства і немає підтримки клієнтів, яка може скасувати транзакцію. Як тільки ваш ключ вкрадено, ваші кошти втрачені. Також важливо пам'ятати, що фішинг іноді є лише першим кроком у більш широкій експлуатації, що робить справжній ризик не початковими втратами, а тривалими компромісами, які слідують за ними, наприклад, скомпрометовані облікові дані можуть дозволити зловмиснику видавати себе за жертву і обманювати інших.

Як працює фішинг?

В основі фішингу лежить використання людської довіри шляхом представлення фальшивої версії надійного інтерфейсу або шляхом представлення себе як авторитетної особи, щоб обманом змусити користувачів добровільно передавати чутливу інформацію або схвалювати шкідливі дії. Існує кілька основних векторів доставки:

• Фішингові Вебсайти
  • Підроблені версії гаманців (наприклад, MetaMask, Phantom), бірж (наприклад, Binance) або dApps.
  • Часто просувається через рекламу в Google або поширюється через групи Discord/Twitter, розроблений так, щоб виглядати піксель у піксель ідентично справжньому сайту.
  • Користувачів можуть запросити "імпортувати гаманець" або "відновити кошти", використовуючи їхню сієд-фразу або приватний ключ.
• Фішинг-літери та повідомлення
  • Схоже на офіційне спілкування (наприклад, "термінове оновлення безпеки" або "рахунок скомпрометовано").
  • Включайте посилання на фальшиві портали входу або направляйте вас на взаємодію зі шкідливими токенами або смарт-контрактами.
  • Звичайно в Telegram, Discord, Twitter DMs і навіть SMS.
• Фейкові гаманці або розширення браузера
  • Доступно в магазинах додатків або як розширення для Chrome.
  • Функціонально імітують справжні гаманці, але пересилають ваш приватний ключ або дані транзакції зловмисникам.
  • Деякі навіть дозволяють вам переводити кошти, лише щоб їх вичерпали через кілька хвилин.
• Схеми з Airdrop
  • Фальшиві токени надсилаються до гаманців (особливо на EVM ланцюгах).
  • Натискання на токен або спроба торгувати ним викликає взаємодію з шкідливим контрактом.
  • Може таємно запитувати необмежені дозволи на токени або вкрасти ваш рідний токен за допомогою підписаного вантажу.

Рисунок 6: Завжди будьте обережні, коли бачите "безкоштовно" в крипто
Джерело: Presto Research

Приклади фішингу
Хакерська атака на Atomic Wallet у червні 2023 року, що приписується північнокорейській групі Lazarus, є однією з найбільш руйнівних чистих фішингових атак в історії крипто. Вона призвела до крадіжки понад 100 мільйонів доларів у криптовалюті шляхом компрометації більш ніж 5,500 неконтрольованих гаманців без необхідності підписувати будь-які шкідливі транзакції чи взаємодіяти з смарт-контрактами. Ця атака зосередилася виключно на витяганні сідів фраз і приватних ключів через оманливі інтерфейси та шкідливе ПЗ - класичний приклад крадіжки облікових даних на основі фішингу.
Atomic Wallet є багатофункціональним, некерованим гаманцем, який підтримує понад 500 крипто. У цьому інциденті зловмисники розпочали скоординовану фішингову кампанію, яка експлуатувала довіру користувачів до інфраструктури підтримки гаманця, процесів оновлення та ідентичності бренду. Жертви були заманені через електронні листи, фальшиві веб-сайти та троянські програмні оновлення, всі з яких були розроблені для імітації законних комунікацій від Atomic Wallet.

Вектори фішингу включали:

• Фальшиві електронні листи, які видають себе за підтримку Atomic Wallet або повідомлення про безпеку, що вимагають термінових дій.
• Скопійовані веб-сайти (наприклад, atomic-wallet[.]co) який імітував інтерфейс відновлення гаманця або отримання винагороди.
• Зловмисні оновлення, розподілені через Discord, електронну пошту та зламані форуми, які або направляли користувачів на фішингові сторінки, або витягували облікові дані за допомогою локального шкідливого ПЗ.

Коли користувачі вводили свої 12- або 24-словні фрази відseed або приватні ключі в ці шахрайські інтерфейси, зловмисники отримували повний доступ до їхніх гаманців. Цей експлойт не вимагав жодної взаємодії з блокчейном з боку жертви: жодного підключення гаманця, жодних запитів на підпис, і жодної участі смарт-контрактів. Натомість, він повністю покладався на соціальну інженерію та готовність користувача відновити або перевірити свій гаманець на тому, що здавалося надійною платформою.

3.2 Витратники гаманців та зловмисні схвалення

Дренажник гаманця – це тип шкідливого смарт-контракту або децентралізованого додатку (dApp), що призначений для вилучення активів з вашого гаманця, не крадучи ваш приватний ключ, а обманюючи вас на авторизацію доступу до токенів або підписання небезпечних транзакцій. На відміну від фішингу, який намагається отримати ваші облікові дані, дренажники експлуатують дозволи – елементарний механізм довіри, який живить Web3.

Оскільки DeFi та Web3 додатки стали основними, гаманці, такі як MetaMask та Phantom, популяризували ідею "підключення" до dApps. Це принесло зручність, але також і величезну поверхню атаки. У 2021–2023 роках популярність отримали дренери схвалень через випуски NFT, фальшиві airdrop-и, і dApps, які були зірвані, почали вбудовувати шкідливі контракти в інакше знайомі інтерфейси. Користувачі, часто в захваті або відволіканні, підключали свій гаманець і натискали "Схвалити", не усвідомлюючи, що вони авторизують.

Чим це відрізняється від фішингу?
Фішинг полягає в обмані когось, щоб він добровільно розкрив чутливі дані, такі як насіннєва фраза, пароль або приватний ключ. Підключення вашого гаманця не розкриває ваші ключі чи фрази, оскільки ви не передаєте секрети, ви підписуєте транзакції або надаєте дозволи. Ці експлойти відбуваються через логіку смарт-контрактів, а не через крадіжку ваших даних, що робить їх механічно відмінними від фішингу. Ви авторизуєте виведення, часто не усвідомлюючи цього, що більше схоже на "пастку згоди", ніж на крадіжку даних.
Ви можете вважати фішинг таким, що базується на РЕЄСТРАЦІЙНИХ ДАНИХ, а зливи гаманців / шкідливі дозволи - такими, що базуються на ДОЗВОЛАХ.

Механіка атаки
Зловмисні дозволи експлуатують системи дозволів у стандартів блокчейну, таких як ERC-20 (токени) та ERC-721/ERC-1155 (NFT). Вони обманюють користувачів, щоб ті надали зловмисникам постійний доступ до своїх активів.

• Основи схвалення токенів:
  • Токени ERC-20: Функція approve(address spender, uint256 amount) дозволяє "spender" (наприклад, DApp або зловмиснику) перевести вказану кількість токенів з гаманця користувача.
  • NFTs: Функція setApprovalForAll(address operator, bool approved) надає "оператору" дозвіл на передачу всіх NFT в колекції.
  • Ці схвалення є стандартними для DApps (наприклад, Uniswap потребує схвалення для обміну токенів), але зловмисники використовують їх зловмисно.
• Як атакуючі отримують схвалення:
  • Оманливі запити: Фішингова сторінка або скомпрометований DApp запитує в користувача підписати транзакцію, позначену як "підключення гаманця", "обмін токенів" або "отримання NFT". Насправді транзакція викликає approve або setApprovalForAll для адреси зловмисника.
  • Нескінченні дозволи: Зловмисники часто запитують необмежені дозволи на токени (наприклад, uint256.max) або встановлюють approvalForAll(true), надаючи їм повний контроль над токенами або NFT користувача.
  • Сліпе підписування: Деякі DApps вимагають підписувати непрозорі дані, що ускладнює виявлення зловмисних схвалень. Навіть з апаратними гаманцями, такими як Ledger, відображені деталі можуть виглядати безневинно (наприклад, "Схвалити Токен"), але приховувати наміри атакуючого.
• Експлуатація:
  • Негайна крадіжка: Зловмисник використовує схвалення для передачі токенів/NFT до свого гаманця одразу після транзакції.
  • Затримане крадіжка: Зловмисник чекає (іноді тижнями або місяцями), щоб вивести активи, зменшуючи підозру. Наприклад, зловмисник з setApprovalForAll може передавати NFT коли завгодно.
  • Скання атак: Дренажники, такі як Angel Drainer, сканують наявність схвалень у кількох гаманцях і виводять їх оптом під час ринкових підйомів або випусків NFT високої вартості.

Приклади зливу гаманців / зловмисних дозволів
Скам Monkey Drainer, активний переважно в 2022 та на початку 2023 року, був відомим набором інструментів для фішингу "дренер як послуга", відповідальним за крадіжку мільйонів у крипто (включаючи NFT) через оманливі вебсайти та шкідливі смарт-контракти. На відміну від традиційного фішингу, який покладається на збори фраз відновлення або паролів користувачів, Monkey Drainer діяв через шкідливі підписи транзакцій та зловживання смарт-контрактами, що дозволяло зловмисникам вилучати токени та NFT без безпосереднього компрометації облікових даних. Обманюючи користувачів на підписання небезпечних ончейнових підтверджень, Monkey Drainer дозволив вкрасти понад 4,3 мільйона доларів через сотні гаманців перед своїм закриттям на початку 2023 року.

Рисунок 7: Відомий детектив на блокчейні ZachXBT розкриває шахрайства Monkey Drainer
Джерело: Twitter (@zachxbt)

Комплект був популярний серед низькокваліфікованих нападників і активно рекламувався в підпільних спільнотах Telegram та темної мережі. Він дозволяв партнерам клонувати фальшиві сайти мint, видавати себе за справжні проекти та налаштовувати бекенд для пересилання підписаних транзакцій до централізованого контракту для виведення коштів. Ці контракти були спроектовані для експлуатації дозволів токенів, покладаючись на користувачів, які нічого не підозрюючи підписували повідомлення, що надавали адресу нападника доступ до активів через функції, такі як setApprovalForAll() (NFT) або permit() (токени ERC-20).

Зазначимо, що потік взаємодії уникнув прямого фішингу: жертвам не просили їхні приватні ключі чи сид-фрази. Натомість вони взаємодіяли з на вигляд легітимними dApps, часто на сторінках випуску з відліком часу або з розкрученим брендингом. Після підключення користувачів запрошували підписати транзакцію, яку вони не повністю розуміли, часто приховану під загальною мовою схвалення або неясністю інтерфейсу гаманця. Ці підписи не переносили кошти безпосередньо, але давали можливість зловмиснику зробити це в будь-який час. З наданими дозволами, контракт-дренер міг виконувати партійні виведення в одному блоці.

Характерною рисою методу Monkey Drainer була його затримка в виконанні: вкрадені активи часто виводилися через кілька годин або днів, щоб уникнути підозри та максимізувати прибуток. Це робило його особливо ефективним проти користувачів з великими гаманцями або активною торговою діяльністю, чиї підтвердження змішувалися з нормальними патернами використання. До високопрофільних жертв належали колекціонери NFT, які втратили активи з проєктів, таких як CloneX, Bored Apes і Azuki.

Хоча Monkey Drainer припинив свою діяльність у 2023 році, ймовірно, щоб "залишитися в тіні", ера зловмисників-гаманців продовжує еволюціонувати, становлячи постійну загрозу для користувачів, які неправильно розуміють або недооцінюють силу схвалення в блокчейні.

3.3 Шкідливе програмне забезпечення & Вразливості пристроїв

Нарешті, «шкідливе програмне забезпечення та експлойти пристроїв» відносяться до широкого, універсального спектра атак, які охоплюють різні вектори доставки, що всі намагаються скомпрометувати комп'ютер, телефон або браузер користувача, зазвичай через шкідливе програмне забезпечення, встановлене шляхом обману. Мета зазвичай полягає в крадіжці чутливої інформації (наприклад, фраз посіву, приватних ключів), перехопленні взаємодії з гаманцем або наданні зловмиснику віддаленого контролю над пристроєм жертви. У крипто ці атаки часто починаються з соціальної інженерії, такої як підроблена пропозиція роботи, фальшиве оновлення програми або файл, надісланий через Discord, але швидко ескалюють у повномасштабну компрометацію системи.

Шкідливе ПЗ існує з перших днів особистих комп'ютерів. У традиційних контекстах його використовували для крадіжки інформації про кредитні картки, збору логінів або захоплення систем для спаму або програм-вимагачів. Як тільки крипто здобуло популярність, зловмисники змінили ціль: замість того, щоб націлюватися на облікові дані для онлайн-банкінгу (які можуть бути скасовані), вони тепер прагнуть вкрасти незворотні крипто-активи.

Як починаються ці атаки… Кут соціального інжинірингу

Більшість шкідливих програм не поширюється випадково: вона вимагає, щоб жертва була обманута на виконання. Ось тут і вступає в гру соціальна інженерія.

Звичайні способи доставки:

• Фальшиві пропозиції роботи: жертва подає заявку на фальшиву роботу в Web3, отримує "технічний тест" або "посилання на інтерв'ю", що містить шкідливе ПЗ.
• Посилання на Discord або Telegram: Надсилаються як "інструменти роздач", "скріншоти" або підроблені файли підтримки.
• Вкладення електронної пошти: резюме, технічний документ або рахунки-фактури в форматах (PDF, .docx, .exe), які містять шкідливий код.
• Фейкові оновлення: Вікна сповіщень або підроблені сайти, що пропонують "останні версії MetaMask/Phantom".
• Drive-by Downloads: Просто відвідування сайту може спровокувати фоновий вантаж, особливо на застарілих браузерах.

Спільна риса: Зловмисник створює правдоподібний контекст, який переконує користувача натиснути, завантажити або відкрити щось небезпечне.

Типи шкідливих програм, поширених у криптоексплуатаціях

• Кейлогери: Записують кожен натиск клавіші, у тому числі фрази для відновлення, паролі та PIN-коди. Особливо небезпечно, якщо користувач вводить свою фразу для відновлення в текстовий редактор, логін для обміну або поле відновлення гаманця.
• Хакери буфера обміну: Моніторять скопійовані адреси гаманців і замінюють їх адресою зловмисника при вставці. Жертви часто не помічають цього і надсилають кошти, вважаючи, що вставили свою адресу, але вона вже була замінена.
• Віддалені доступи до тронів (RAT): надають зловмиснику повний контроль над пристроєм жертви. Це включає читання файлів, спостереження за екранами, захоплення сеансів браузера і навіть експортування фраз відновлення безпосередньо з додатків гаманців, таких як Exodus, або з браузерних гаманців.
• Фальшиві гаманці або додатки: виглядають як легітимні гаманці, але попередньо завантажені шкідливим кодом. Поширені на сайтах Android APK або в магазинах розширень Chrome. Деякі виглядають функціональними, поки ви не надішлете кошти або не відновите насіння, в цей момент кошти будуть викрадені.
• Зловмисні розширення браузера: компрометують або імітують справжні крипто-розширення для моніторингу активності, ін'єкції зловмисних вантажів або запиту фальшивих запитів на підписання. Вони часто вимагають значних дозволів під виглядом «інтеграції гаманця».
• Інфраструктура атаки «людина посередині» (MITM): Шкідливе програмне забезпечення налаштовує проксі або викрадає DNS, щоб перехоплювати та маніпулювати трафіком між вами та веб-сайтом, включаючи зміну адрес або перенаправлення підписаних транзакцій.

Приклад: Афера з роботою Axie Infinity 2022 року

Шахрайство з роботою Axie Infinity 2022 року, яке призвело до масового зламу моста Ronin, є яскравим прикладом шкідливого програмного забезпечення та експлуатації пристроїв у сфері крипто, що викликане складною соціальною інженерією. Цей напад, приписуваний спонсорованій державою Північної Кореї групі Lazarus, призвів до крадіжки приблизно 620 мільйонів доларів у криптовалюті, що робить його одним із найбільших зломів децентралізованих фінансів (DeFi) на сьогодні.

Рисунок 8: Витік Axie Infinity потрапив у медіа TradFi
Джерело: Bloomberg TV

Викрадення було багатоетапною операцією, що поєднувала соціальну інженерію, розгортання шкідливого програмного забезпечення та експлуатацію вразливостей інфраструктури блокчейн.

Хакери, які видавали себе за рекрутерів вигаданої компанії, націлилися на співробітників Sky Mavis через LinkedIn: Sky Mavis є компанією, що стоїть за Ronin Network, бічним ланцюгом, пов'язаним з Ethereum, який підтримує Axie Infinity, популярну гру на основі блокчейну з можливістю заробітку. На той час ринкові капіталізації Ronin та Axie Infinity становили приблизно 300 мільйонів і 4 мільярди відповідно.

Багато співробітників були підходами, але старший інженер став основною мішенню, з якою зловмисники провели кілька раундів фальшивих співбесід, щоб завоювати довіру, пропонуючи надзвичайно щедрий компенсаційний пакет, щоб заманити інженера. Зловмисники надіслали PDF-документ, замаскований під офіційну пропозицію роботи, інженеру. Інженер, вважаючи, що це частина процесу найму, завантажив і відкрив файл на корпоративному комп'ютері. PDF містив RAT, який інфікував систему інженера при відкритті, надаючи хакерам доступ до внутрішніх систем Sky Mavis, ймовірно, через підвищення привілеїв або бічний рух в межах мережі. Ця компрометація надала можливість націлитись на інфраструктуру Ronin Network.

Механіка хакерської атаки, яка продовжувала експлуатувати міст Ронін і Axie DAO, виходить за межі даної дослідницької статті, однак цей експлойт призвів до крадіжки на суму $620 мільйонів (173,600 ETH і 25.5MM USDC) з яких було повернуто лише $30 мільйонів.

4. Як захистити себе

Спроби експлуатації стають все більш складними, але все ще залежать від характерних ознак. Червоні прапори включають:

• “Імпортуйте свій гаманець, щоб отримати X”: Н жодна легітимна служба ніколи не попросить вашої сіду фрази.
• Непрохані ДМ: Особливо ті, що пропонують підтримку, гроші або допомогу з питанням, про яке ви не запитували.
• Трохи помилково написані домени: Наприклад, metamask.io проти metarnask.io.
• Google Ads: Фішингові посилання часто з'являються вище справжнього посилання у результатах пошуку.
• Занадто хороші, щоб бути правдою, пропозиції: Як "отримайте 5 ETH" або "подвоїте свої монети" акції.
• Терміновість або тактика залякування: "Ваш рахунок був заблокований", "Отримайте зараз або втратьте кошти".
• Безмежні схвалення токенів: Користувачі повинні самостійно встановлювати суми токенів.
• Запити на сліпе підписування: Шістнадцяткові дані без зрозумілого пояснення.
• Неперевірені або невідомі контракти: Якщо токен або dApp новий, перевірте, що ви схвалюєте.
• Термінові UI підказки: Класичні методи тиску, такі як «Ви повинні підписати це зараз, інакше пропустите».
• Випадки спливаючих вікон підпису MetaMask: Особливо з незрозумілими даними, безгазовими транзакціями або комбінацією викликів функцій, які ви не розумієте.

Додаткові правила OpSec (операційна безпека):

• Золоті правила
  • Ніколи не діліться своєю фразою відновлення з ким-небудь і з будь-якої причини.
  • Додайте в закладки офіційні сайти: завжди переходьте безпосередньо. Ніколи не використовуйте пошукові системи для гаманців або бірж.
  • Не клацайте на випадкові токени airdrop: Особливо якщо ви не погоджувалися.
  • Уникайте небажаних DM: Легітимні проекти РІДКО пишуть першими… (За винятком випадків, коли вони це роблять)
  • Використовуйте апаратні гаманці: Вони зменшують ризик сліпого підписування та запобігають витоку ключів.
  • Увімкніть інструменти захисту від фішингу: Використовуйте розширення, такі як PhishFort, Revoke.cash та блокувальники реклами.
  • Використовуйте лише для читання експлорери: Інструменти, такі як Etherscan Token Approvals або Revoke.cash, показують, які дозволи має ваш гаманець.
  • Використовуйте віртуальні гаманці: створіть новий гаманець з нульовими~малими коштами, щоб спочатку протестувати мінти або посилання. Це зменшить будь-які втрати.
  • Сегментуйте свої активи: Не тримайте всі свої активи в одному місці.
• Розвинені практики для досвідченого Крипто користувача
  • Використовуйте спеціальний пристрій або профіль браузера для криптоактивності - додатково, ви можете мати спеціальний пристрій для відкриття посилань та особистих повідомлень.
  • Перевірте маркувальні етикетки токенів на Etherscan: багато шахрайських токенів помічені.
  • Перевірте адреси контрактів у крос-референції з офіційними оголошеннями проекту.
  • Уважно перевіряйте URL-адреси: особливо в електронних листах та чатах, тонкі помилки в написанні є поширеними. Багато програм для обміну повідомленнями і, звичайно, веб-сайтів дозволяють створювати гіперпосилання - це дозволяє комусь зробити так:www.google.com(це нормально, ви можете натиснути на посилання).
  • Слідкуйте за тим, що ви підписуєте: завжди декодуйте транзакції (наприклад, за допомогою MetaMask, Rabby або симулятора) перед підтвердженням.

5. Остаточне слово

Більшість користувачів вважають експлойти в Крипто чимось технічним і невідворотним, особливо ті, хто новачки у цій галузі. Хоча це може бути правдою для складних методів атак, часто перший крок націлений на особу не технічними способами, що робить решту експлоїту запобіжною.

Велика більшість особистих втрат у цій сфері не виникає через якийсь новий нульовий день або незрозумілу протокольну помилку, а скоріше через те, що люди підписують речі, які не читали, або імпортують гаманці в фальшиві додатки, або довіряють особистим повідомленням, які здаються достатньо правдоподібними. Інструменти можуть бути новими, але тактики настільки ж старі, як і час: обман, терміновість, відволікання.

Люди приходять до крипто через самообслуговування та бездозвільну природу, але користувачам потрібно пам'ятати, що тут ставки вищі; у традиційних фінансах вас обманюють, і ви телефонуєте в банк. У крипто вас обманюють, і це кінець історії.

Застереження：

1. Ця стаття перепублікована з [Дослідження Presto]. Усі авторські права належать оригінальному автору [Престо Ресерч]. Якщо є заперечення щодо цього перепосту, будь ласка, зв'яжіться з Gate Learn команда, і вони швидко це вирішать.
2. Відмова від відповідальності: Думки та погляди, висловлені в цій статті, є виключно думками автора і не становлять інвестиційної поради.
3. Переклади статті іншими мовами виконуються командою Gate Learn. Якщо не зазначено інше, копіювання, розповсюдження або плагіат перекладених статей заборонено.