Oszuści wykorzystują różne techniki, aby kraść pieniądze użytkowników, a niektóre z nich wymagają jedynie znajomości adresu portfela, twierdzi badacz Forta Network.
Według firmy Forta Network zajmującej się bezpieczeństwem blockchain oszuści utworzyli w maju co najmniej 7905 portfeli blockchain, aby zebrać kryptowaluty, które kradną zwykłym użytkownikom.
Forta, która niedawno uruchomiła własny token, obsługuje sieć botów wykrywających różnego rodzaju oszustwa na blockchainach Ethereum, Binance Smart Chain, Polygon, Optimism, Avalanche, Arbitrum i Fantom.
Christian Seifert, badacz-rezydent w Forta, który wcześniej pracował w dziale badań nad bezpieczeństwem Microsoftu, powiedział CoinDesk, że algorytmy Forty potrafią wykryć różnego rodzaju nietypowe zachowania podczas skanowania transakcji w łańcuchach bloków.
Niektóre z tych anomalii to ataki na portfele użytkowników.
W przypadku niektórych ataków oszuści wykorzystują inżynierię społeczną – węszą w poszukiwaniu danych osobowych użytkownika lub stosują sztuczki, aby nakłonić użytkowników kryptowalut do ujawnienia swoich haseł lub fraz początkowych. Inne ataki wymagają jedynie znajomości adresu portfela ofiary.
Zobacz także: Nazywanie hacka exploitem minimalizuje błąd ludzki | Opinia
„Wiele ataków to ataki socjotechniczne: użytkownicy są przyciągani do witryny internetowej, witryna prosi ich o podłączenie portfela, pojawia się wyskakujące okienko z transakcją, użytkownik ją zatwierdza, a ich pieniądze znikają” – powiedział Seifert.
„Lodowy phishing”
Najbardziej rozpowszechnionym rodzajem ataku w maju była tzw. technika „ice phishing”, która stanowiła 55,8% wszystkich ataków zarejestrowanych przez Fortę. W przeciwieństwie do bardziej oczywistych lub dobrze znanych ataków phishingowych (phishing lodowy to gra z bardziej powszechnymi atakami „phishingowymi” spotykanymi w Internecie), ten typ nie ma na celu bezpośrednio wyłudzenia prywatnych informacji użytkowników.
Zamiast tego lodowy phisher nakłania ofiarę do podpisania złośliwej transakcji typu blockchain, która otwiera dostęp do portfela ofiary, dzięki czemu osoba atakująca może ukraść wszystkie pieniądze. W takich przypadkach ofiary często zostają zwabione na stronę phishingową zaprojektowaną w celu imitowania prawdziwych usług kryptograficznych.
Oszustwa te opierają się na transakcjach „zatwierdzania tokena”, co jest jednym z najpowszechniejszych zastosowań niezawierających zabezpieczeń portfeli Web3, które umożliwiają użytkownikom przyznanie inteligentnym kontraktom określonego poziomu dostępu do ich portfeli.
Na stronie pomocy technicznej MetaMask twórcy najpopularniejszego portfela kryptograficznego Ethereum zauważają, że udzielając transakcji zatwierdzających token „masz pełną kontrolę i ponosisz ostateczną odpowiedzialność za wszystko, co robisz. Dlatego tak ważne jest, abyś dokładnie wiedział, co robisz rejestracja po potwierdzeniu zatwierdzenia tokena.”
W oszustwie podobnym do tego wspomnianego powyżej napastnicy próbują nakłonić użytkowników do interakcji z różnymi zdecentralizowanymi aplikacjami (dappami), w tym zdecentralizowanymi giełdami (DEX). Takie schematy często tworzą iluzję nowej lukratywnej okazji, na przykład zrzutu jakiegoś nowego tokena, i wykorzystują powszechną tendencję do ulegania FOMO lub obawie, że coś przegapimy, powiedział Seifert.
Jednak zamiast wchodzić w interakcję z legalną usługą, użytkownik traci kontrolę nad swoimi zasobami na rzecz atakującego, podpisując transakcję zatwierdzającą tokenem.
„Użytkownicy klikają, klikają, klikają i pojawiają się wyskakujące okienka transakcji, często z timerem, a użytkownicy zatwierdzają je bez sprawdzania” – powiedział Seifert.
Według Seiferta istnieją dwa kluczowe etapy phishingu lodowego: „zwabienie ofiary na [złośliwą] witrynę internetową i stworzenie pozytywnej narracji.
„Odmianą ataku ice phishing jest nakłonienie użytkowników do wysłania natywnych zasobów bezpośrednio do oszusta. Osiąga się to poprzez podpisanie w umowie oszusta funkcji „aktualizacji zabezpieczeń”” – powiedział Seifert, dodając, że zazwyczaj w ten sposób kradną się niewielkie ilości kryptowalut.
NFT, zrzuty i zatrucia adresowe
Niektóre ataki wymierzone są w handlarzy niewymiennymi tokenami (NFT). Na przykład oszuści opracowali techniki wykorzystujące dziwactwa w infrastrukturze NFT, takie jak protokół Seaport wprowadzony przez OpenSea i używany na wielu rynkach NFT. Aby sprzedawać NFT na Seaport, użytkownicy tworzą zlecenia sprzedaży, podpisując transakcję transmitowaną lokalnie na platformie – zamiast w szerszej sieci Ethereum, aby zaoszczędzić pieniądze na opłatach transakcyjnych.
Atakujący wyszukują użytkowników posiadających cenne NFT i próbują nakłonić ich do zatwierdzenia transakcji, które pozwoliłyby sprzedać ich cenne zasoby za ułamek ceny rynkowej.
Dzisiejsi inwestorzy NFT często są świadomi wielu sposobów, w jakie można je wykorzystać. Niektóre z najgłośniejszych napadów na kryptowaluty w ostatnich latach były wymierzone w wpływowe osobistości z NFT. Prowadzi to do coraz bardziej ukierunkowanych i wyrafinowanych ataków phishingowych.
W przypadku ataku „zatruwania adresu” napastnicy badają historię transakcji w portfelach swoich ofiar i szukają adresów, z którymi najczęściej wchodzą w interakcję. Następnie tworzą adres blockchain, który wygląda znajomo dla ich celu i wysyła ofierze transakcję o niewielkiej lub żadnej wartości. Transakcja ta ma na celu „zatrucie” historii transakcji zamierzonej ofiary poprzez umieszczenie złośliwego adresu w miejscu, z którego może ona zostać omyłkowo skopiowana i wklejona podczas kolejnej transakcji.
Często jednak najprostsze exploity pozostają skuteczne. Seifert powiedział na przykład, że napastnicy często korzystają z rozpoznawalnych marek, projektując exploity socjotechniczne, które zdobywają zaufanie lub uwagę ofiar. Tak było w przypadku fałszywego tokena tLINK, który posiadacze Chainlink (LINK) otrzymali na początku czerwca, kiedy osoba atakująca podrzuciła posiadaczom LINK rzekomo nowy token.
Seifert powiedział, że oszuści zamieścili w polu opisu wyrzuconego tokena ofertę wymiany tLINK na rzeczywiste tokeny LINK na stronie phishingowej. A gdyby przyjęli tę ofertę, spaliliby się.
Według Forty takie ataki są trudniejsze, ponieważ napastnicy mogą przypisać fałszywe tokeny ERC-20 do legalnego inteligentnego kontraktu, a następnie wykonać funkcję, która przesyła te fałszywe tokeny każdemu, kto posiada docelowy token. To sprawia, że wygląda na to, że użytkownicy otrzymali zrzut w ramach legalnej umowy, choć jest to nic innego jak oszustwo.
Zobacz także: Zapobieganie exploitom i hackom kryptowalutowym w 2023 r
Takie ataki nie wymagają nawet dużego rozpoznania od atakujących: wszystko, co muszą wiedzieć o ofiarach, to adresy ich portfeli.
Higiena transakcji
Ponieważ hakerzy i oszuści stają się coraz bardziej przedsiębiorczy, ważne jest, aby zawsze zwracać uwagę na adresy, z którymi wchodzi w interakcję Twój portfel, powiedział Seifert. Idealnie byłoby, gdyby portfele miały wbudowane funkcje bezpieczeństwa – stwierdził, dodając, że w tej chwili Forta udostępnia portfelowi ZenGo swoją bazę danych fałszywych adresów.
Forta przypisuje portfelom blockchain różne oceny ryzyka w odniesieniu do ich zaangażowania w potencjalne oszustwa, powiedział Seifert.