Análise Abrangente de Incidentes de Hacking Relacionados a Drainers na Web3
Recentemente, um número crescente de golpistas tem utilizado kits de ferramentas drainer para lançar sites de phishing na Web3. Especificamente, esses sites de phishing solicitam automaticamente que os usuários conectem suas carteiras, escaneiam seus tokens valiosos e geram transações de phishing. Inicialmente, os golpistas promovem esses sites de phishing diretamente nas plataformas de redes sociais. No entanto, devido à crescente cautela dos usuários Web3, tornou-se difícil para eles obterem lucro dessa forma. Agora, os drainers mudaram de tática, recorrendo ao hacking de projetos populares, servidores Discord, contas do Twitter, bancos de dados de e-mail, sites oficiais e cadeias de fornecimento de software. Eles exploram o tráfego e a confiança associados a essas plataformas para promover sites de phishing em larga escala. Consequentemente, esses incidentes de hacking resultaram em perdas substanciais para os usuários. A tabela abaixo resume vários incidentes de hacking e drainers de carteiras relacionados. Neste blog, descrevemos os métodos utilizados pelos hackers e buscamos aumentar a conscientização dos usuários sobre essas táticas.
Incidentes de Hacking e Atacantes Relacionados que Visam Diversas Plataformas e Bancos de Dados
| Alvos de Hacking | Drainers Relacionados | Exemplos |
|---|---|---|
| Servidor Discord | Pink Drainer | Pika Protocol Evmos Orbiter Finance Cherry Network |
| Conta do Twitter | Pink Drainer | DJ Steve Aoki OpenAI CTO Slingshot UniSat |
| Site Oficial | Angel Drainer | Galxe Balancer Frax Finance |
| Cadeia de Fornecimento de Software | Angel Drainer | Ledger Connect Kit |
| Banco de Dados de E-mail | Pink Drainer | Banco de Dados MailerLite |
Seção 1: Incidente de Hacking em Servidor Discord
Em 31 de maio de 2023, o Discord do Pika Protocol foi hackeado. Um site de phishing, implantado pelo Pink Drainer, foi disseminado dentro do seu grupo oficial do Discord. A análise subsequente revelou que o administrador do servidor Discord foi instruído a visitar um site enganoso que continha um trecho de JavaScript malicioso. O administrador foi então induzido a executá-lo por meio de ações como clicar em botões ou adicionar favoritos. Após isso, o token do Discord foi roubado. Vários projetos Web3 populares também sofreram incidentes de hacking semelhantes durante esse período.
Seção 2: Incidente de Hacking em Conta do Twitter
Em 26 de maio de 2023, a conta do Twitter de Steve Aoki foi comprometida e publicou uma mensagem contendo um site de phishing, levando investidores em criptomoedas a perderem $170.000. As transações das contas das vítimas indicaram uma conexão com o Pink Drainer. Um exame mais detalhado das transações da conta de phishing revelou que a violação da conta do Twitter foi resultado de um ataque de troca de SIM. No ataque de troca de SIM, o golpista emprega métodos de engenharia social, frequentemente utilizando dados pessoais das vítimas, para persuadir a operadora de telefonia a transferir o número de telefone da vítima para o cartão SIM do golpista. Uma vez bem-sucedido, o golpista pode assumir o controle da conta do Twitter da vítima. Incidentes de hacking semelhantes também ocorreram com as contas do Twitter do CTO da OpenAI, Slingshot e Vitalik Buterin, todos relacionados ao Pink Drainer.
Seção 3: Incidente de Hacking em Site Oficial
Em 6 de outubro de 2023, o site oficial da Galxe foi redirecionado para um site de phishing, resultando em uma perda financeira de $270.000 para as vítimas. De acordo com a explicação oficial, um indivíduo não identificado se passou por um representante autorizado da Galxe e entrou em contato com o provedor de serviços de domínio, solicitando a redefinição das credenciais de login. Especificamente, o impostor apresentou documentação falsa ao provedor de serviços de domínio, contornando com sucesso seus procedimentos de segurança e obtendo acesso não autorizado à conta de domínio. A transação da conta da vítima também revelou que esse incidente foi lançado pelo Angel Drainer. Além disso, Balancer e Frax Finance também foram vítimas de métodos de hacking semelhantes empregados pelo Angel Drainer.
Seção 4: Incidente de Hacking na Cadeia de Fornecimento de Software
Em 14 de dezembro de 2023, uma exploração foi detectada no Ledger Connect Kit, uma biblioteca JavaScript projetada para facilitar conexões entre sites e carteiras, pela Ledger. A exploração ocorreu devido a um ex-funcionário ter sido alvo de um ataque de phishing, permitindo que um agente malicioso fizesse o upload de um arquivo malicioso para o repositório NPMJS da Ledger. A biblioteca comprometida permitiu que hackers injetassem um script malicioso nesses populares sites de criptomoedas. Consequentemente, os usuários podem ser solicitados a assinar uma transação de phishing com contas de phishing. Mais de $600 mil foram subtraídos de usuários em várias plataformas de criptomoedas, incluindo SushiSwap e Revoke.cash. Além disso, os registros de transações da conta de phishing indicaram que esse incidente foi lançado pelo Angel Drainer.
Seção 5: Incidente de Hacking em Banco de Dados de E-mail
Em 23 de janeiro de 2024, inúmeros e-mails foram enviados a partir das contas oficiais do WalletConnect, Token Terminal e De.Fi, cada um contendo links maliciosos com drainers de carteira fornecidos pelo Pink Drainer. Isso ocorreu porque o gerenciador de e-mails deles, MailerLite, foi comprometido por meio de um ataque de engenharia social. Especificamente, um membro da equipe clicou inadvertidamente em uma imagem vinculada a uma página fraudulenta de login do Google, concedendo aos atacantes acesso ao painel administrativo interno do MailerLite. Subsequentemente, os hackers escalaram seu controle redefinindo a senha de um usuário específico por meio do painel administrativo, levando ao vazamento do banco de dados de e-mails e à disseminação de e-mails de phishing.
Aumentando a Conscientização e a Defesa dos Usuários Contra Hacks Relacionados a Drainers na Web3
Os desenvolvedores de drainers de carteira estão continuamente desenvolvendo novos métodos para hackear projetos proeminentes e disseminar sites de phishing por meio de seu tráfego. Permaneceremos vigilantes, monitorando continuamente contas de phishing e transações relacionadas a elas. Incentivamos os usuários a serem cautelosos e a examinarem cuidadosamente os detalhes das transações antes de prosseguir com qualquer ação. Este blog se esforça para ajudar os usuários a compreender as metodologias usadas para hackear projetos e a se protegerem contra transações de phishing relacionadas a drainers.
Sobre a BlockSec
A BlockSec é uma empresa pioneira em segurança blockchain estabelecida em 2021 por um grupo de especialistas em segurança de renome mundial. A empresa está comprometida em aprimorar a segurança e a usabilidade para o emergente mundo Web3, a fim de facilitar sua adoção em massa. Para isso, a BlockSec oferece serviços de auditoria de segurança de contratos inteligentes e chains EVM, a plataforma Phalcon Security para desenvolvimento seguro e bloqueio proativo de ameaças, a plataforma MetaSleuth para rastreamento e investigação de fundos, e a extensão MetaSuites para construtores web3 navegarem com eficiência no mundo cripto.
Até o momento, a empresa atendeu mais de 300 clientes estimados, como MetaMask, Uniswap Foundation, Compound, Forta e PancakeSwap, e recebeu dezenas de milhões de dólares americanos em duas rodadas de financiamento de investidores proeminentes, incluindo Matrix Partners, Vitalbridge Capital e Fenbushi Capital.
Site oficial: https://blocksec.com
Conta oficial no Twitter: https://twitter.com/BlockSecTeam
