Крипто-хаки 2022
Подготовлено специально для каналов BE•CRYPTO и Криптолаборатория
Когда-то в 793 году н.э. скандинавские налетчики разграбили монастырь в Северной Англии. Местные не могли понять, как можно быть настолько богохульным, что бы напасть на святое место. Ну да, кто бы мог подумать, что монахи-пацифисты, сидящие на кучах золота и серебра могут станут заманчивыми мишенями?
В наше время это выглядит примерно так: богатые люди не знакомые с криптой - это беззащитные монахи Web3. Свежие DeFi протоколы с плохой безопасностью - монастыри Web3. Фонды, протокольные казначейства и скучающие дегены - это куча золота и серебра Web3.
Глядя на тип жертвы, мы видим, что раньше можно было хакать биржи, но сейчас личные взломы и взломы DeFi протоколов максимально приветствуются среди хакеров. По поводу взломов DeFi - новости об этом мы видим практически ежедневно. К личным вернемся через пару абзацев.
Так, в этом году мы видели фишинг нацеленный на важных людей в проектах. Взлом Axie Infinity на $540 млн в марте - яркий пример китобойного промысла. Северокорейская хакерская группа обманула старшего инженера Axie, предложив солидную з/п и заставив его пройти несколько раундов собеседований на поддельную работу. Они отправили вредоносный файл, замаскированный под предложение о работе, и когда инженер загрузил его, почти смогли получить контроль над сетью Ronin Axie. После последнего шага - взлома ключа DAO Axie, у хакеров было все необходимое для кражи средств сети.
Хакеры ломают Discord (взлом Monkey Kingdom), Instagram (взлом Bored Ape), Twitter (взлом аккаунта влиятельного лица NFT Zeneca). Конечная цель естественно мы.
Ломаются пользовательские интерфейсы (UI), обманом заставляя вас подписывать вредоносные транзакции. Недавно это произошло с популярным протоколом DeFi Curve, который подвергся так называемой спуфинговой атаке DNS. По сути, хакер смог манипулировать веб-сайтом протокола, чтобы URL-адрес «curve.fi» перенаправлял пользователей на IP-адрес хакера вместо правильного IP-адреса. BadgerDAO подвергся более крупной атаке ($120 млн) еще в 2021 году, когда был скомпрометирован его внешний интерфейс.
Верх инженерии - оставлять жесткие дырки для хакеров. Мы про недавний эксплойт, раскрывающий закрытые ключи, сгенерированные кошельком Slope. Slope использовал сервис под названием Sentry (который помогает регистрировать ошибки), но команда не скрыла важные детали. В результате незашифрованные закрытые ключи пользователей были видны злоумышленнику, которому удалось взломать Sentry.
Про личные взломы
Вот здесь самое интересное, чему хотелось бы сегодня уделить время.
Мало того, что прямо сейчас поисковик Яндекс первым в выдаче выдает скам сайт Metamask (на первый взгляд все один в один, но при переходе вы можете заметить как адрес Metamask меняется на Metamaśk), так и топы продолжают терять средства в настоящем Метамаске.
На днях опытный юзер потерял почти $500 000 на случайной подписи. Подпись была вызвана другим адресом, и она предоставила вредоносному контракту разрешение на использование всех USDС. WTF? Как другие лица могут делать подписи от вашего имени? Подробнее можете почитать здесь. Если коротко, причина все та же: неосторожный клик на непроверенном сайте.
Также не стоит забывать о классическом вредоносном ПО Clipper. Этот тип вредоносного программного обеспечения может захватить ваш буфер обмена, и когда вы копируете и вставляете крипто-адрес для перевода средств, адрес назначения заменяется адресом хакера.
Но самое интересное мы увидели вчера: Wallet Guard предупреждает о новом возможном способе атаки. Ну как, ПО само по себе не новое, а вот применение новое. По их словам, ранее подобное ПО уже затрагивало Coinbase, Binance, KuCoin, Gate. Вредоносное ПО использует сценарий содержимого для изменения посещаемого вами веб-сайта. Короче говоря: заходите в свой аккаунт на бирже, выбираете депозит, а на месте депозита вместо вашего адреса уже стоит адрес мошенника. Претендентом на подобное фейковое расширение подходят гугл таблицы в хроме.
На скринах ниже вы можете видеть, что когда вы загрузили это вредоносное расширение, оно меняет содержимое сайта, заменив адрес депозита своим собственным.
До:
После:
Так что имейте ввиду, на первый взгляд безобидные расширения могут быть чрезвычайно опасны. С полной статьей, посвященной этому хаку, вы можете ознакомиться здесь.
В целом, в большинстве случаев вы сможете избежать подобных проблем, предварительно делая мелкие тестовые транзакции. Держите в голове подобные сценарии и берегите депозиты! А мы в свою очередь продолжим искать что-то свежее и интересное для вас;)
Спасибо за внимание и оставайтесь с нами ❤️
Больше полезного и интересного в нашем Telegram канале