web3
November 14
Web3. Безопасность. Фишинг: пример сложного сценария
Эта история, как и многие другие, началась в чате DAO Synergis: https://t.me/synergis. И она весьма показательна, поэтому решил разобрать её в деталях.
Сделка. Форма
Итак, у нас есть простой обмен фиата на крипту:
Вроде, всё стандартно? Тем более что:
- Обменник - в белом списке bestchange (до сих пор, хотя прошло уже более 3 лет);
- У него положительные отзывы, хороший трафик;
- И доброжелательная поддержка...
Сама транзакция обмена выглядит так:
И вот переписка по другому обмену:
Вроде бы - всё легально, но есть одно НО: средства по сделке до получателя не дошли. Хотя, повторюсь ещё раз: обменник здесь не виноват. Так в чём же дело?
Сделка. Содержание
Суть очень простая: человек делал обмен, а попал на треугольник. То есть:
- Сайт обменника менялся с мошенником;
- Мошенник менялся с жертвой;
- А жертва думала, что меняется с легальным обменником.
Как такое возможно? Да легко! Более того, способов - масса:
- Можно подделать интерфейс, скопировав базис с того самого обменника и делать обмен почти онлайн, но подставляя нужные реквизиты: то есть жертва платит реально со своего счёта на счёт обменника, но обменник отправляет средства не на счёт жертвы, а на счёт мошенника;
- Можно внедрить простую малварь, которая будет подменять реквизиты, но здесь уже сложнее "замылить" взгляд потерпевшему, хотя, как показал опыт взлома Bybit на 1.4 млрд долларов США - и такое возможно.
- Можно попробовать сделать обменник-ханипот: сначала обмены будут проходить нормально, а потом - нет (хотя изначально здесь всё равно будет лежать схема треугольника в основании).
Отсюда можно добавить к стандартным правилам обмена - ещё несколько:
- Проверять домен, его трафик, архивную копию, отзывы и т.д. - правильно, но этого не достаточно;
- Вы должны проверять ещё и реквизиты по сделке: в том числе - через поддержку обменника;
- И, конечно же, всегда быть начеку, даже если давно пользуетесь сервисом, т.к. всё может поменяться за секунды: DNS могут взломать; курьер совершит эксцесс; банк почует неладное и т.д.