About Teletype
Join
Брюс Говорит
@bruce_club
January 25

AdsPower взломан

24 января AdsPower был взломан скамерами для угона приваткей у пользователей.

Вернее, 24 января пользователя стали замечать, как из их криптокошельков начали пропадать деньги.

На скриншоте выше один из кошельков активного пользователя AdsPower

AdsPower - кастомный браузер с поддержкой расширений, мультипрофиля и прокси. Этим браузером пользуются те, кто активно занимается мультиаккаунтом в таких проектах (DEPIN), как Grass, NodePay, Gradient и т.д.

Криптовалюту выводили и выводят на адреса скамеров:

https://debank.com/profile/0xf772be79bd6d1f4316e938c6c40cf68cf6911c81
https://debank.com/profile/0x4e8f3340efbc48ec36d043f11a5f23d457db51ea
https://debank.com/profile/0xeb095f0b2e26a2a67c11595065e459439b7de672
https://debank.com/profile/0xd3d5af11a482a89d4bbfe4880c3d71d1de5f155f

Кошельков на самом деле больше, но эти самые жирненькие

Как произошел угон кошельков?

По одной из версий, скамерам удалось удаленно заставить пользовательские установленные и запущенные браузеры скачивать фишинг расширения популярных криптокошельков (МетаМаск, OKX, Rabby)

После установки фишинг кошелька, расширение воровало зашифрованный приваткей или мнемонику из localStorage браузера и предлагало пользователя снова ввести мастер пароль от криптокошелька.

Данные расширение отправляло на сайт logcollection

После сбора определенной пачки кошельков, скамеры начали переводить все средства на свои кошельки

Ниже список расширений и их extension ID

MetaMask
Настоящий: nkbihfbeogaeaoehlefnkodbefgpgknn
❌Фишинг: gkogbikjbabmclljknkbgmmlggncecll

Petra
Настоящий: ejjladinnckdgjemekebdpeokbikhfci

OKX
Настоящий: mcohilncbfahbmgdjkbpemcciiolgcge

Rabby
Настоящий: acmacodkjbdgmoleebolmdjonilkdbch

Phantom
Настоящий: bfnaelmomeimhlpmgjnjophhpkkoljpa

Backpack
Настоящий: aflkmfhebedbjioipglgcbcmnbpgliof

Rainbow
Настоящий: opfgelmcmbiajamepnmloijbpoleiama

Extension ID можно увидеть на скриншоте ниже:

Если вы в ADS переходите в управление расширениями и видите, что у вас другой extension id, то ваш кошелек скомпрометирован и приваткей отправлен скамерам.

Второй вариант проверки, что ваш ADS взломан:

  • Нажмите на свой аватар в правом верхнем углу
  • Выберите "Local Settings" и откройте локальную директорию
  • Установите Sublime editor для просмотра
  • Откройте в разделе "Open Folder" в директории кэша (рис 1)
  • Нажмите на пкм по "extension", выбираем "Find in folder" (рис 2)
  • В строке "Find" напишите http://logcollection.info/log или https://logcollection.info/log (рис 3)
  • Если вы увидите этот код, то плагин был взломан. Ваш кошелек скомпрометирован. (рис 4)
  • Сразу выводите средства

Рисунок 1

Рисунок 2

Рисунок 3

Рисунок 4

Представитель ADS дал ссылку для заполнения формы на возмещение средств:

https://aml.slowmist.com/recovery-funds.html

Для подписчиков написан бот для проверки адреса кошелька на транзакции, связанные с отправкой средств скамерам:

https://t.me/ads_drain_check_bot

January 25, 20:45
0 views
0 reposts