Najnowsze oszustwa, ataki hakerskie i exploity związane z kryptowalutami oraz jak ich unikać: Crypto-Sec

Phish tygodnia: Konto Symbiotic X zostało naruszone

Według raportu PeckShield, konto X protokołu stakingowego Symbiotic zostało zhakowane 5 października. Oficjalna strona internetowa zespołu twierdzi, że 7 października konto jest nadal zagrożone.

Zhakowane konto promuje listę kontrolną „punktów” i prosi użytkowników o kliknięcie łącza, aby sprawdzić, ile punktów mają. Jednak łącze prowadzi do niewłaściwego adresu URL, network-symbiotic[.]fi, zamiast do prawidłowego, symbiotic.fi.

Wiadomość phishingowa od hakera Symbiotic X. Źródło: Symbiotic.

Gdy użytkownicy łączą się z fałszywą witryną phishingową przy użyciu portfela, wyświetla im się strona, która twierdzi, że zarobili tysiące punktów, nawet jeśli nigdy wcześniej nie korzystali z protokołu Symbiotic.

Strona zachęca użytkowników do natychmiastowego wykorzystania punktów i twierdzi, że punkty zostaną utracone, jeśli użytkownik nie kliknie dużego, zielonego przycisku „wykorzystaj” znajdującego się na środku ekranu.

Fałszywa strona Symbiotic rzekomo używana do ataków phishingowych. Źródło: network-symbiotic.fi

Kliknięcie przycisku „Wykorzystaj punkty”, gdy portfel jest pusty, powoduje wyświetlenie komunikatu o błędzie informującego użytkownika, że ​​powinien wypróbować inny portfel. Jest to częsty komunikat o błędzie na stronach phishingowych, które proszą o podpisy wiadomości.

Jeśli portfel użytkownika zawiera tokeny Symbiotic, witryna prawdopodobnie prosi użytkownika o podpisanie wiadomości, która jest następnie wykorzystywana do opróżnienia tokenów użytkownika. Cointelegraph nie testował aplikacji z portfelem, w którym znajdowały się środki.

Zespół Symbiotic ostrzega użytkowników na swojej oficjalnej stronie internetowej, że ich konto X zostało naruszone i że nie powinni oni wchodzić w interakcję z żadnymi witrynami połączonymi z tym kontem.

Ostrzeżenie Symbiotic o zagrożonym koncie X. Źródło: Symbiotic.fi

Hacki na konta X stały się powszechnym problemem w przestrzeni kryptograficznej. Użytkownicy powinni rozważyć dodanie do zakładek adresu URL aplikacji, z których często korzystają, ponieważ jest to zazwyczaj bardziej niezawodny sposób dotarcia do właściwej witryny niż poleganie na linkach X, chociaż nie jest to również w 100% niezawodne. Użytkownicy powinni zachować szczególną ostrożność, gdy zostaną poproszeni o podpisanie wiadomości napisanej w kodzie, ponieważ często, ale nie zawsze, jest to oznaką ataku phishingowego.

Kącik złośliwego oprogramowania: atakujący używają teraz plików SVG, aby zwabić ofiary

Według wrześniowego raportu zespołu Wolf Security firmy HP, atakujący wykorzystują teraz pliki obrazów SVG do infekowania komputerów ofiar.

Nowa metoda pozwala atakującym przejąć kontrolę nad komputerem ofiary za pomocą oprogramowania trojana zdalnego dostępu (RAT). Po zainstalowaniu oprogramowania atakujący używają go do kradzieży haseł do stron internetowych ofiary, słów kluczowych i innych danych osobowych. Jeśli użytkownik posiada kryptowalutę, te dane uwierzytelniające są następnie wykorzystywane w dalszych próbach uzyskania dostępu do portfela użytkownika i opróżnienia go.

Badacze odkryli, że złośliwe oprogramowanie było ukryte jako archiwum ZIP, które ładowało się, gdy obraz był otwierany w przeglądarce. Zawierało również plik .pdf, który ładował się jako odwrócenie uwagi ofiary, podczas gdy złośliwy program był pobierany i instalowany w tle.

Według Adobe pliki Scalable Vector Graphics (SVG) przechowują obrazy „za pomocą wzorów matematycznych opartych na punktach i liniach na siatce”, a nie za pomocą pikseli. Oznacza to, że można je łatwo zmieniać rozmiar bez utraty jakości. Ponadto są napisane w kodzie XML, co pozwala im przechowywać tekst w sobie.

Według Mozilli pliki SVG zawierają również element „script”, który pozwala deweloperom osadzać w nich programy wykonywalne. To właśnie tę umiejętność tworzenia skryptów deweloperzy złośliwego oprogramowania podobno nauczyli się nadużywać.

Badacze HP znaleźli obraz, który tworzy archiwum ZIP po otwarciu w przeglądarce. Jeśli użytkownik kliknie archiwum, otwiera się okno Eksploratora plików i rozpoczyna się pobieranie pliku skrótu.

Kliknięcie skrótu powoduje załadowanie na ekranie ofiary pliku .pdf-a zwodnika. W międzyczasie urządzenie zaczyna kopiować różne skrypty i zapisywać je w katalogach Muzyka, Zdjęcia i Startup ofiary. Pozwala to programowi przetrwać w czasie.

Złośliwy plik URL w zainfekowanym SVG i wabiku .pdf mający na celu odwrócenie uwagi użytkownika. Źródło: HP Wolf Security.

Po skopiowaniu tych skryptów na urządzenie, uruchamia je. W rezultacie na urządzeniu użytkownika instalowanych jest wiele niebezpiecznych programów malware, w tym VenomRAT, AsyncRAT, Remcos i XWORM. Po zainstalowaniu malware atakujący może przejąć pełną kontrolę nad komputerem ofiary, wykradając wszystkie pliki w nim przechowywane.

Biorąc pod uwagę ten nowy wektor ataku, użytkownicy kryptografii powinni zachować ostrożność podczas interakcji z plikami obrazów SVG ze źródeł, którym nie do końca ufają. Po otwarciu, jeśli obraz ładuje inne typy plików, użytkownicy powinni rozważyć odrzucenie tych plików, zamykając okno przeglądarki.

Wykorzystanie tokena Fire pokazuje ryzyko związane z nowymi tokenami

Kupowanie nowych tokenów z nowatorskimi funkcjami i nieaudytowanymi kontraktami często wiąże się z ryzykiem, co ilustruje to, co stało się z tokenem FIRE 1 października.

Pula Uniswap dla tokena została niemal całkowicie pozbawiona płynności po tym, jak atakujący wykorzystał kontrakt tokena, aby wielokrotnie sprzedawać go po coraz wyższej cenie.

Po ujawnieniu exploita zespół tokena natychmiast usunął swoje konta w mediach społecznościowych i zniknął, co sugeruje, że projekt mógł być od samego początku oszustwem typu exit scam.

Token nie był przedmiotem obrotu od 2 października, co może oznaczać, że jego płynność jest na tyle niska, że ​​sprzedaż może być niemożliwa.

Pomysł przedstawiony inwestorom FIRE był prosty. Według jego strony internetowej był to „ultrahiperdeflacyjny token”. Za każdym razem, gdy posiadacze sprzedawali swoje FIRE do puli płynności Uniswap tokena, był on automatycznie wysyłany na adres palnika. Spowodowałoby to zmniejszenie podaży tokena, co zwiększyłoby wartość FIRE posiadanego przez tych, którzy nie sprzedali.

Strona internetowa tokena Fire. Źródło: Fire.

Token został uruchomiony 1 października o godzinie 8:00 UTC. Około 90 sekund po uruchomieniu konto kończące się na 1e2e wypłaciło z puli płynności tokena Ether (ETH) o wartości około 22 000 USD.

Aby to osiągnąć, najpierw zaciągnął pożyczkę błyskawiczną w wysokości 20 ETH z platformy pożyczkowej Spark Protocol. Następnie stworzył złośliwy kontrakt, który zamienił ETH na FIRE, a następnie zamienił je z powrotem, niszcząc nowo nabyte FIRE w tym procesie i podnosząc jego cenę.

Ten proces powtarzano w trakcie 122 transferów za pośrednictwem 16 różnych inteligentnych kontraktów, przy czym każdy transfer był częścią pojedynczej transakcji. Za każdym razem, gdy FIRE było zamieniane na ETH, otrzymywano w zamian nieco większą kwotę ETH w porównaniu z tym, co wydano na jego nabycie. W rezultacie atakujący był w stanie opróżnić pulę ETH o wartości około 22 000 USD. Ponadto transakcja ta zniszczyła 230 tokenów FIRE.

Atak powtarzano wielokrotnie, a ostateczna transakcja wykorzystująca lukę miała miejsce 2 października o 1:14 w nocy.

Platforma bezpieczeństwa blockchain TenArmor poinformowała o ataku na X. „Nasz system wykrył, że token#FIRE@Fire_TokenEth na#ETHzostał zaatakowany, co spowodowało stratę w wysokości około 22,3 tys. USD” — podano w poście.

Źródło: TenArmor.

Według danych cenowych z platformy handlowej Apespace, początkowa cena FIRE została ustalona na około 33 ETH (81 543 USD według obecnych cen) lub około 8 USD za 0,0001 FIRE. W momencie ataku cena FIRE gwałtownie wzrosła, wzrastając do 30 miliardów ETH za monetę lub 244,6 miliarda USD za 0,0001 FIRE. Następnie spadła do 4,7 miliarda ETH za monetę w ciągu następnych dwóch minut.

Należy zauważyć, że w momencie osiągnięcia tak wysokich cen w obiegu pozostało znacznie mniej niż jedna moneta FIRE, ponieważ większość zapasu tokenów uległa zniszczeniu w wyniku ataku.

Jednominutowy wykres pokazujący eksploit FIRE o godzinie 8:13. Źródło: Apespace.

Po wykorzystaniu exploita zespół FIRE usunął swoje konta X i Telegram, co sugeruje, że atakujący mógł być powiązany z zespołem. Strona tokena Apespace zawiera również ostrzeżenie, że kontrakt FIRE zawiera funkcję „czarnej listy”, która pozwala deweloperom umieścić na czarnej liście konta dowolnego użytkownika i uniemożliwić mu sprzedaż tokena. Deweloperzy mogli użyć tej funkcji czarnej listy, aby umożliwić sprzedaż tylko sobie.

Użytkownicy powinni zachować ostrożność podczas korzystania z tokenów, które mają nowe funkcje, które mogą nie być w pełni zrozumiałe dla większości użytkowników.

W tym przypadku twórcy wyraźnie stwierdzili, że każdy, kto sprzedaje do puli, niszczy tokeny, zmniejszając ich podaż. Jednak niektórzy użytkownicy mogli nie zdawać sobie sprawy, że pozwala to pojedynczemu traderowi na wielokrotne zamiany tokenów, aby sztucznie podnieść jego cenę i wyczerpać jego płynność.

Magazyn: Podejrzane aresztowanie reportera zajmującego się oszustwami kryptograficznymi, premiera Japonii opowiadającego się za kryptowalutami: Asia Express