Всесторонний анализ инцидентов со взломами, связанными с дренерами, в Web3
В последнее время все больше мошенников используют наборы инструментов для «дренинга» (drainer toolkits) для запуска фишинговых Web3-сайтов. Эти фишинговые ресурсы автоматически предлагают пользователям подключить кошелек, сканируют их ценные токены и генерируют вредоносные транзакции. Изначально мошенники продвигали такие сайты напрямую через социальные сети. Однако из-за растущей осторожности пользователей в Web3 им стало сложнее получать прибыль таким образом. Теперь дренеры изменили тактику, прибегая ко взломам популярных проектов, Discord-серверов, Twitter-аккаунтов, баз данных электронной почты, официальных сайтов и цепочек поставок программного обеспечения. Используя трафик и доверие к этим платформам, они масштабно продвигают фишинговые сайты. Как следствие, эти инциденты привели к значительным убыткам для пользователей. В приведенной ниже таблице представлены некоторые инциденты взломов и связанные с ними дренеры кошельков. В этом блоге мы описываем методы, используемые хакерами, и стремимся повысить осведомленность пользователей об этих тактиках.
Инциденты взломов и соответствующие атакующие, нацеленные на различные платформы и базы данных
| Цели взлома | Связанные дренеры | Примеры |
|---|---|---|
| Discord-сервер | Pink Drainer | Pika Protocol Evmos Orbiter Finance Cherry Network |
| Twitter-аккаунт | Pink Drainer | DJ Steve Aoki OpenAI CTO Slingshot UniSat |
| Официальный сайт | Angel Drainer | Galxe Balancer Frax Finance |
| Цепочка поставок ПО | Angel Drainer | Ledger Connect Kit |
| База данных email | Pink Drainer | База данных MailerLite |
Раздел 1: Инцидент со взломом Discord-сервера
31 мая 2023 года сервер Pika Protocol в Discord был взломан. Фишинговый сайт, развернутый Pink Drainer, распространялся внутри официальной группы Discord. Последующий анализ показал, что администратору Discord-сервера было предложено посетить обманный сайт, содержащий вредоносный фрагмент JavaScript. Администратора убедили выполнить его с помощью таких действий, как нажатие на кнопки или добавление закладок. После этого токен Discord был украден. В тот период похожие инциденты взлома произошли и в других популярных Web3-проектах.
Раздел 2: Инцидент со взломом Twitter-аккаунта
26 мая 2023 года Twitter-аккаунт Стива Аоки был скомпрометирован, и в нем было опубликовано сообщение с фишинговым сайтом, что привело к потере криптовалютными инвесторами 170 000 долларов. Транзакции учетных записей жертв указывали на связь с Pink Drainer. Дальнейшее изучение транзакций фишингового аккаунта показало, что взлом Twitter-аккаунта стал результатом атаки по подмене SIM-карты (SIM swap). В ходе такой атаки мошенник использует методы социальной инженерии, часто опираясь на личные данные жертв, чтобы убедить телефонную компанию перенести номер телефона жертвы на SIM-карту мошенника. Получив контроль, злоумышленник может взять под управление учетную запись жертвы в Twitter. Аналогичные инциденты со взломом также произошли с Twitter-аккаунтами технического директора OpenAI, Slingshot и Виталика Бутерина, и все они были связаны с Pink Drainer.
Раздел 3: Инцидент со взломом официального сайта
6 октября 2023 года официальный сайт Galxe был перенаправлен на фишинговый сайт, что привело к финансовым потерям в размере 270 000 долларов для жертв. Согласно официальному объяснению, неустановленное лицо выдало себя за авторизованного представителя Galxe и связалось с провайдером доменных услуг с запросом на сброс учетных данных. В частности, самозванец предоставил поддельную документацию провайдеру, успешно обойдя процедуры безопасности и получив несанкционированный доступ к учетной записи домена. Транзакция кошелька жертвы также показала, что этот инцидент был инициирован Angel Drainer. Кроме того, Balancer и Frax Finance стали жертвами аналогичных методов взлома, используемых Angel Drainer.
Раздел 4: Инцидент со взломом цепочки поставок ПО
14 декабря 2023 года была выявлена уязвимость в Ledger Connect Kit — библиотеке JavaScript от Ledger, предназначенной для упрощения подключения веб-сайтов к кошелькам. Взлом произошел из-за того, что бывший сотрудник стал целью фишинговой атаки, что позволило злоумышленнику загрузить вредоносный файл в репозиторий Ledger NPMJS. Скомпрометированная библиотека позволила хакерам внедрить вредоносный скрипт на популярные сайты, связанные с криптовалютами. В результате пользователей могли попросить подписать фишинговую транзакцию с фишинговых аккаунтов. Более 600 тысяч долларов было украдено у пользователей различных криптовалютных платформ, включая SushiSwap и Revoke.cash. Кроме того, записи транзакций фишингового аккаунта указали на то, что этот инцидент был начат Angel Drainer.
Раздел 5: Инцидент со взломом базы данных электронной почты
23 января 2024 года с официальных аккаунтов WalletConnect, Token Terminal и De.Fi было разослано множество электронных писем, каждое из которых содержало вредоносные ссылки на дренеры кошельков, предоставленные Pink Drainer. Это произошло из-за того, что их менеджер электронной почты, MailerLite, был взломан с помощью атаки социальной инженерии. В частности, член команды случайно нажал на изображение, ведущее на поддельную страницу входа в Google, что дало атакующим доступ к внутренней панели администратора MailerLite. Впоследствии хакеры усилили контроль, сбросив пароль конкретного пользователя через панель администратора, что привело к утечке базы данных их электронной почты и рассылке фишинговых писем.
Повышение осведомленности пользователей и защита от связанных с дренерами взломов в Web3
Разработчики дренеров кошельков постоянно разрабатывают новые методы взлома видных проектов и распространения фишинговых сайтов через их трафик. Мы сохраняем бдительность, постоянно отслеживая фишинговые аккаунты и связанные с ними транзакции. Мы призываем пользователей быть осторожными и внимательно изучать детали транзакций перед совершением любых действий. Этот блог призван помочь пользователям понять методики, используемые для взлома проектов, и защитить себя от связанных с дренерами фишинговых транзакций.
О компании BlockSec
BlockSec — новаторская компания в области блокчейн-безопасности, основанная в 2021 году группой всемирно признанных экспертов по безопасности. Компания стремится повысить безопасность и удобство использования развивающегося мира Web3, чтобы способствовать его массовому внедрению. С этой целью BlockSec предоставляет услуги аудита безопасности смарт-контрактов и EVM-цепочек, платформу Phalcon Security для разработки безопасности и проактивного блокирования угроз, платформу MetaSleuth для отслеживания и расследования финансовых потоков, а также расширение MetaSuites для эффективного серфинга в криптомире для разработчиков Web3.
На сегодняшний день компания обслужила более 300 уважаемых клиентов, таких как MetaMask, Uniswap Foundation, Compound, Forta и PancakeSwap, и получила десятки миллионов долларов США в двух раундах финансирования от выдающихся инвесторов, включая Matrix Partners, Vitalbridge Capital и Fenbushi Capital.
Официальный сайт: https://blocksec.com
Официальный аккаунт в Twitter: https://twitter.com/BlockSecTeam
