A BitKeep exploiter adathalász oldalakat használt a felhasználók becsalogatására: Jelentés

A december 26-án bekövetkezett Bitkeep kizsákmányolás adathalász webhelyeket használt fel, hogy a felhasználókat hamis pénztárcák letöltésére tévessze meg, szerint az OKLink blokklánc-elemző szolgáltató jelentésére.

A jelentés szerint a támadó több hamis Bitkeep webhelyet hozott létre, amelyek a Bitkeep pénztárca 7.2.9-es verziójához hasonló APK-fájlt tartalmaztak. Amikor a felhasználók „frissítették” pénztárcájukat a rosszindulatú fájl letöltésével, privát kulcsaikat vagy kezdőszavaikat ellopták, és elküldték a támadónak.

【12-26 #BitKeep Hack esemény összefoglalója】
1 / n

Az OKLink adatai szerint a bitkeep lopás 4 BSC, ETH, TRX, Polygon láncot érintett, az OKLink 50 hacker címet tartalmazott, és a teljes Txns mennyiség elérte a 31 millió dollárt.

— OKLink (@OKLink) December 26, 2022

A jelentés nem közölte, hogy a rosszindulatú fájl hogyan lopta el a felhasználók kulcsait titkosítatlan formában. Lehetséges azonban, hogy egyszerűen arra kérte a felhasználókat, hogy a „frissítés” részeként írják be újra a kezdőszavaikat, amelyeket a szoftver naplózhatott és elküldhetett a támadónak.

Miután a támadó birtokában volt a felhasználók privát kulcsainak, az összes eszközt letétbe helyezték, és a támadó irányítása alatt lévő öt pénztárcába merítették. Innen a pénzeszközök egy részét központosított cserék segítségével próbálták kiváltani: 2 ETH-t és 100 USDC-t küldtek a Binance-nek, 21 ETH-t pedig a Changenow-nak.

A támadás öt különböző hálózaton történt: BNB Chain, Tron, Ethereum és Polygon, valamint a BNB Chain Biswap, Nomiswap és Apeswap hídjait használták áthidalni néhány tokenek Ethereum felé. A támadás során összesen több mint 13 millió dollár értékű kriptot vittek el.

Kapcsolódó: A Defrost v1 hacker állítólag visszaadja a pénzeszközöket a „kilépési átverés” vádjaként

Egyelőre nem világos, hogyan győzte meg a támadó a felhasználókat, hogy látogassák meg a hamis weboldalakat. A BitKeep hivatalos webhelye tartalmazott egy linket, amely a felhasználókat az alkalmazás hivatalos Google Play Áruház oldalára irányította, de egyáltalán nem tartalmazza az alkalmazás APK-fájlját.

A BitKeep támadás volt először jelentették Peck Shield 7:30-kor UTC. Akkoriban az „APK-verzió feltörését” okolták. Az OKLink új jelentése arra utal, hogy a feltört APK rosszindulatú webhelyekről származott, és a fejlesztő hivatalos webhelyét nem sértették meg.