Эксплойт Bitkeep, который произошел 26 декабря, был произведен с использованием фишинговых сайтов, чтобы заставить пользователей загружать поддельные кошельки, согласно отчету поставщика блокчейн-аналитики OKLink.
В отчете говорится, что злоумышленник создал несколько поддельных веб-сайтов Bitkeep, которые содержали APK-файл, похожий на версию 7.2.9 кошелька Bitkeep. Когда пользователи обновили свои кошельки, загружая вредоносный файл, их закрытые ключи или мнемонические фразы были украдены и отправлены злоумышленнику.
В отчете не говорится, каким образом вредоносный файл похищал ключи пользователей в незашифрованном виде. Однако он мог просто попросить пользователей повторно ввести исходные слова как часть обновления, которое программное обеспечение могло зарегистрировать и отправить злоумышленнику.
Как только злоумышленник получил закрытые ключи пользователей, он снял все активы и слил их в пять кошельков, находящихся под контролем злоумышленника. Оттуда он попытался обналичить часть средств с помощью централизованных бирж: 2 ETH и 100 USDC были отправлены на Binance, а 21 ETH — на Changenow.
Атака произошла в пяти разных сетях: BNB Chain, Tron, Ethereum и Polygon, а децентрализованные биржи Biswap, Nomiswap и Apeswap использовались для обмена некоторых токенов в Ethereum. Всего в ходе атаки было похищено криптовалют на сумму более $13 миллионов.
Пока неясно, как злоумышленник убедил пользователей посетить поддельные веб-сайты. Официальный веб-сайт BitKeep предоставил ссылку, которая отправляла пользователей на официальную страницу приложения в Google Play Store, но на ней вообще нет APK-файла приложения.
Об атаке BitKeep впервые сообщил Peck Shield в 7:30 утра по всемирному координированному времени. В то время в этом обвиняли «взлом версии APK». Этот новый отчет от OKLink предполагает, что взломанный APK был получен с вредоносных сайтов и что официальный сайт разработчика не был взломан.
Читайте также: