A december 26-án bekövetkezett Bitkeep kizsákmányolás adathalász webhelyeket használt fel, hogy a felhasználókat hamis pénztárcák letöltésére tévessze meg, szerint az OKLink blokklánc-elemző szolgáltató jelentésére.
A jelentés szerint a támadó több hamis Bitkeep webhelyet hozott létre, amelyek a Bitkeep pénztárca 7.2.9-es verziójához hasonló APK-fájlt tartalmaztak. Amikor a felhasználók „frissítették” pénztárcájukat a rosszindulatú fájl letöltésével, privát kulcsaikat vagy kezdőszavaikat ellopták, és elküldték a támadónak.
【12-26 #BitKeep Hack esemény összefoglalója】
1 / nAz OKLink adatai szerint a bitkeep lopás 4 BSC, ETH, TRX, Polygon láncot érintett, az OKLink 50 hacker címet tartalmazott, és a teljes Txns mennyiség elérte a 31 millió dollárt.
— OKLink (@OKLink) December 26, 2022
A jelentés nem közölte, hogy a rosszindulatú fájl hogyan lopta el a felhasználók kulcsait titkosítatlan formában. Lehetséges azonban, hogy egyszerűen arra kérte a felhasználókat, hogy a „frissítés” részeként írják be újra a kezdőszavaikat, amelyeket a szoftver naplózhatott és elküldhetett a támadónak.
Miután a támadó birtokában volt a felhasználók privát kulcsainak, az összes eszközt letétbe helyezték, és a támadó irányítása alatt lévő öt pénztárcába merítették. Innen a pénzeszközök egy részét központosított cserék segítségével próbálták kiváltani: 2 ETH-t és 100 USDC-t küldtek a Binance-nek, 21 ETH-t pedig a Changenow-nak.
A támadás öt különböző hálózaton történt: BNB Chain, Tron, Ethereum és Polygon, valamint a BNB Chain Biswap, Nomiswap és Apeswap hídjait használták áthidalni néhány tokenek Ethereum felé. A támadás során összesen több mint 13 millió dollár értékű kriptot vittek el.
Kapcsolódó: A Defrost v1 hacker állítólag visszaadja a pénzeszközöket a „kilépési átverés” vádjaként
Egyelőre nem világos, hogyan győzte meg a támadó a felhasználókat, hogy látogassák meg a hamis weboldalakat. A BitKeep hivatalos webhelye tartalmazott egy linket, amely a felhasználókat az alkalmazás hivatalos Google Play Áruház oldalára irányította, de egyáltalán nem tartalmazza az alkalmazás APK-fájlját.
A BitKeep támadás volt először jelentették Peck Shield 7:30-kor UTC. Akkoriban az „APK-verzió feltörését” okolták. Az OKLink új jelentése arra utal, hogy a feltört APK rosszindulatú webhelyekről származott, és a fejlesztő hivatalos webhelyét nem sértették meg.
Forrás: https://cointelegraph.com/news/bitkeep-exploiter-used-phishing-sites-to-lure-in-users-report