Umfassende Analyse von Drainer-bezogenen Hacking-Vorfällen in Web3
In letzter Zeit setzen immer mehr Betrüger Drainer-Toolkits ein, um Phishing-Websites in Web3 zu starten. Insbesondere fordern diese Phishing-Websites die Benutzer automatisch auf, ihre Wallets zu verbinden, ihre wertvollen Token zu scannen und Phishing-Transaktionen zu generieren. Anfangs bewarben Betrüger diese Phishing-Seiten direkt auf Social-Media-Plattformen. Aufgrund der zunehmenden Vorsicht der Web3-Benutzer ist es für sie jedoch schwierig geworden, auf diese Weise Profit zu erzielen. Nun haben Drainer ihre Taktiken geändert und greifen beliebte Projekte, Discord-Server, Twitter-Konten, E-Mail-Datenbanken, offizielle Websites und die Softwarelieferkette an. Sie nutzen den Traffic und das Vertrauen, das mit diesen Plattformen verbunden ist, um Phishing-Websites in großem Umfang zu bewerben. Infolgedessen haben diese Hacking-Vorfälle zu erheblichen Verlusten für die Benutzer geführt. Die folgende Tabelle fasst mehrere Hacking-Vorfälle und die damit verbundenen Wallet-Drainer zusammen. In diesem Blog erläutern wir die von Hackern verwendeten Methoden und bemühen uns, das Bewusstsein der Benutzer für diese Taktiken zu schärfen.
Hacking-Vorfälle und zugehörige Angreifer, die verschiedene Plattformen und Datenbanken ins Visier nehmen
| Hacker-Ziele | Zugehörige Drainer | Beispiele |
|---|---|---|
| Discord Server | Pink Drainer | Pika Protocol Evmos Orbiter Finance Cherry Network |
| Twitter-Konto | Pink Drainer | DJ Steve Aoki OpenAI CTO Slingshot UniSat |
| Offizielle Website | Angel Drainer | Galxe Balancer Frax Finance |
| Softwarelieferkette | Angel Drainer | Ledger Connect Kit |
| E-Mail-Datenbank | Pink Drainer | MailerLite Datenbank |
Abschnitt 1: Hacking-Vorfall auf Discord-Servern
Am 31. Mai 2023 wurde der Discord-Server von Pika Protocol gehackt. Eine von Pink Drainer bereitgestellte Phishing-Website wurde innerhalb der offiziellen Discord-Gruppe verbreitet. Eine anschließende Analyse ergab, dass der Administrator des Discord-Servers angewiesen wurde, eine irreführende Website zu besuchen, die einen bösartigen JavaScript-Snippet enthielt. Der Administrator wurde dann dazu verleitet, diesen über Aktionen wie das Klicken auf Schaltflächen oder das Hinzufügen von Lesezeichen auszuführen. Danach wurde das Discord-Token gestohlen. Mehrere beliebte Web3-Projekte waren in dieser Zeit ebenfalls von ähnlichen Hacking-Vorfällen betroffen.
Abschnitt 2: Hacking-Vorfall auf Twitter-Konten
Am 26. Mai 2023 wurde das Twitter-Konto von Steve Aoki kompromittiert und eine Nachricht mit einer Phishing-Website veröffentlicht, was dazu führte, dass Kryptowährungsinvestoren 170.000 US-Dollar verloren. Transaktionen der betroffenen Konten zeigten eine Verbindung zu Pink Drainer. Eine weitere Überprüfung der Transaktionen des Phishing-Kontos ergab, dass der Hack des Twitter-Kontos das Ergebnis eines SIM-Swap-Angriffs war. Bei einem SIM-Swap-Angriff setzt der Betrüger Social-Engineering-Methoden ein und nutzt oft die persönlichen Daten des Opfers, um das Telefonunternehmen zu überreden, die Telefonnummer des Opfers auf die SIM-Karte des Betrügers zu übertragen. Sobald dies erfolgreich ist, kann der Betrüger die Kontrolle über das Twitter-Konto des Opfers übernehmen. Ähnliche Hacking-Vorfälle traten auch bei den Twitter-Konten des OpenAI CTO, Slingshot und Vitalik Buterin auf, die alle mit Pink Drainer in Verbindung standen.
Abschnitt 3: Hacking-Vorfall auf offiziellen Websites
Am 6. Oktober 2023 wurde die offizielle Website von Galxe zu einer Phishing-Website umgeleitet, was zu einem finanziellen Verlust von 270.000 US-Dollar für die Opfer führte. Laut der offiziellen Erklärung gab sich eine unbekannte Person als autorisierter Galxe-Vertreter aus und kontaktierte den Domain-Dienstleister mit der Bitte, die Anmeldeinformationen zurückzusetzen. Insbesondere legte der Betrüger gefälschte Dokumente beim Domain-Dienstleister vor, um deren Sicherheitsverfahren erfolgreich zu umgehen und unbefugten Zugriff auf das Domain-Konto zu erlangen. Die Transaktionen des betroffenen Kontos zeigten auch, dass dieser Vorfall von Angel Drainer initiiert wurde. Darüber hinaus fielen Balancer und Frax Finance ähnlichen Hacking-Methoden zum Opfer, die von Angel Drainer angewendet wurden.
Abschnitt 4: Hacking-Vorfall in der Softwarelieferkette
Am 14. Dezember 2023 wurde ein Exploit im Ledger Connect Kit entdeckt, einer JavaScript-Bibliothek, die dazu dient, Verbindungen zwischen Websites und Wallets zu erleichtern, von Ledger. Der Exploit ereignete sich, weil ein ehemaliger Mitarbeiter Ziel eines Phishing-Angriffs wurde, was es einem böswilligen Akteur ermöglichte, eine bösartige Datei in das NPMJS-Repository von Ledger hochzuladen. Die kompromittierte Bibliothek ermöglichte es Hackern, bösartige Skripte in diese beliebten Kryptowährungswebsites einzuschleusen. Infolgedessen können Benutzer aufgefordert werden, eine Phishing-Transaktion mit Phishing-Konten zu signieren. Mehr als 600.000 US-Dollar wurden von Benutzern auf verschiedenen Kryptowährungsplattformen, darunter SushiSwap und Revoke.cash, gestohlen. Darüber hinaus zeigten die Transaktionsaufzeichnungen des Phishing-Kontos, dass dieser Vorfall von Angel Drainer initiiert wurde.
Abschnitt 5: Hacking-Vorfall von E-Mail-Datenbanken
Am 23. Januar 2024 wurden zahlreiche E-Mails von den offiziellen Konten von WalletConnect, Token Terminal und De.Fi versendet, die jeweils bösartige Links mit von Pink Drainer bereitgestellten Wallet-Drainern enthielten. Dies geschah, weil ihr E-Mail-Manager MailerLite durch einen Social-Engineering-Angriff kompromittiert wurde. Insbesondere klickte ein Teammitglied versehentlich auf ein Bild, das mit einer betrügerischen Google-Anmeldeseite verknüpft war, wodurch Angreifer Zugriff auf das interne Admin-Panel von MailerLite erhielten. Anschließend eskalierten die Hacker ihre Kontrolle, indem sie das Passwort eines bestimmten Benutzers über das Admin-Panel zurücksetzten, was zur Offenlegung ihrer E-Mail-Datenbank und zur Verbreitung von Phishing-E-Mails führte.
Erhöhung des Benutzerbewusstseins und der Abwehr von Drainer-bezogenen Hacks in Web3
Die Entwickler von Wallet-Drainern entwickeln ständig neue Methoden, um in prominente Projekte einzudringen und Phishing-Websites über deren Traffic zu verbreiten. Wir werden wachsam bleiben und Phishing-Konten und die damit verbundenen Transaktionen kontinuierlich überwachen. Wir ermutigen die Benutzer, vorsichtig zu sein und die Transaktionsdetails sorgfältig zu prüfen, bevor sie irgendwelche Aktionen durchführen. Dieser Blog soll den Benutzern helfen, die Methoden zu verstehen, die zum Hacken von Projekten verwendet werden, und sich vor drainer-bezogenen Phishing-Transaktionen zu schützen.
Über BlockSec
BlockSec ist ein wegweisendes Blockchain-Sicherheitsunternehmen, das 2021 von einer Gruppe weltweit anerkannter Sicherheitsexperten gegründet wurde. Das Unternehmen engagiert sich für die Verbesserung der Sicherheit und Benutzerfreundlichkeit für die aufstrebende Web3-Welt, um deren Massenadoption zu fördern. Zu diesem Zweck bietet BlockSec Sicherheitsaudits für Smart Contracts und EVM-Ketten, die Phalcon-Plattform für die Sicherheitsentwicklung und proaktive Bedrohungsabwehr, die MetaSleuth-Plattform für die Verfolgung und Untersuchung von Geldern sowie die MetaSuites-Erweiterung für Web3-Entwickler, die effizient in der Krypto-Welt surfen.
Bisher hat das Unternehmen über 300 angesehene Kunden wie MetaMask, Uniswap Foundation, Compound, Forta und PancakeSwap betreut und in zwei Finanzierungsrunden von namhaften Investoren, darunter Matrix Partners, Vitalbridge Capital und Fenbushi Capital, zweistellige Millionenbeträge erhalten.
Offizielle Website: https://blocksec.com/
Offizieller Twitter-Account: https://twitter.com/BlockSecTeam
