Cele mai recente escrocherii cripto, hack-uri și exploatări și cum să le evitați: Crypto-Sec
Phish-ul săptămânii: contul Symbiotic X este compromis
Potrivit unui raport de la PeckShield, contul X pentru protocolul de miza Symbiotic a fost spart pe 5 octombrie. Site-ul oficial al echipei susține că contul este încă compromis din 7 octombrie.
Contul compromis promovează o listă de verificare cu „puncte” și le cere utilizatorilor să facă clic pe un link pentru a verifica câte puncte au. Cu toate acestea, linkul duce la adresa URL greșită, network-symbiotic[.]fi, în loc de cea corectă, symbiotic.fi.
Postare de phishing de la hackerul Symbiotic X. Sursa: Symbiotic.
Când utilizatorii se conectează la site-ul de phishing fals cu un portofel, li se prezintă o pagină care susține că au câștigat mii de puncte, chiar dacă nu au interacționat niciodată cu protocolul Symbiotic înainte.
Pagina îndeamnă utilizatorii să-și răscumpere punctele imediat și susține că punctele vor fi pierdute dacă utilizatorul nu face clic pe un buton mare, verde, de „valorifica” din mijlocul ecranului.
Site simbiotic fals ar fi folosit pentru atacuri de tip phishing. Sursa: network-symbiotic.fi
Apăsarea butonului „Răscumpărați puncte” cu un portofel gol are ca rezultat un mesaj de eroare care spune că utilizatorul ar trebui să încerce un alt portofel, care este un mesaj de eroare frecvent întâlnit pe site-urile de phishing care solicită semnături de mesaje.
Dacă portofelul unui utilizator conține jetoane simbiotice, site-ul probabil îi cere utilizatorului să semneze un mesaj, care este apoi folosit pentru a epuiza jetoanele utilizatorului. Cointelegraph nu a testat aplicația cu un portofel care avea fonduri în ea.
De pe site-ul său oficial, echipa Symbiotic avertizează în prezent utilizatorii că X-ul său a fost compromis și că utilizatorii nu ar trebui să interacționeze cu niciun site la care se face legătura din cont.
Avertisment simbiotic despre contul X compromis. Sursa: Symbiotic.fi
Hackurile de cont X au devenit o problemă de rutină în spațiul cripto. Utilizatorii ar trebui să ia în considerare marcarea adresei URL pentru aplicațiile pe care le folosesc frecvent, deoarece aceasta este, în general, o modalitate mai fiabilă de a ajunge la site-ul web corect decât să se bazeze pe link-uri X, deși nici nu este 100% sigură. Utilizatorii ar trebui să fie deosebit de precauți atunci când li se cere să semneze un mesaj scris în cod, deoarece acesta este adesea, dar nu întotdeauna, un semn al unui atac de tip phishing.
Colț de malware: atacatorii folosesc acum fișiere SVG pentru a atrage victimele
Atacatorii folosesc acum fișiere imagine SVG pentru a infecta computerele victimelor, potrivit unui raport din septembrie al echipei HP Wolf Security.
Noua metodă permite atacatorilor să obțină controlul asupra computerului unei victime prin intermediul unui software troian de acces la distanță (RAT). Odată ce software-ul este instalat, atacatorii îl folosesc pentru a fura parolele site-ului web ale victimei, cuvintele de bază și alte informații personale. Dacă utilizatorul deține criptomonede, aceste acreditări sunt apoi folosite în încercări suplimentare de a obține acces la portofelul utilizatorului și de a-l goli.
Cercetătorii au descoperit că malware-ul a fost deghizat într-o arhivă ZIP care s-a încărcat atunci când imaginea a fost deschisă într-un browser. De asemenea, prezenta un fișier .pdf care s-a încărcat ca o distragere a atenției pentru victimă în timp ce programul rău intenționat era descărcat și instalat în fundal.
Potrivit Adobe, fișierele Scalable Vector Graphics (SVG) stochează imagini „prin formule matematice bazate pe puncte și linii pe o grilă” în loc de pixeli. Aceasta înseamnă că pot fi redimensionate cu ușurință fără a-și pierde calitatea. În plus, sunt scrise în cod XML, ceea ce le permite să stocheze text în interiorul lor.
Potrivit Mozilla, fișierele SVG conțin și un element „script” care permite dezvoltatorilor să încorporeze programe executabile în ele. Este această capacitate de scriptare pe care dezvoltatorii de programe malware au învățat să o abuzeze.
Cercetătorii HP au găsit o imagine care produce o arhivă ZIP atunci când este deschisă într-un browser. Dacă utilizatorul face clic pe arhivă, acesta deschide o fereastră File Explorer și începe să descarce un fișier de comandă rapidă.
Făcând clic pe scurtătură, se încarcă un fișier .pdf momeală pe ecranul victimei. Între timp, dispozitivul începe să copieze diverse scripturi și să le stocheze în directoarele Muzică, Fotografii și Startup ale victimei. Acest lucru permite programului să persistă în timp.
Fișier URL rău intenționat în SVG infectat și momeală .pdf menit să distragă atenția utilizatorului. Sursa: HP Wolf Security.
După ce a copiat aceste scripturi pe dispozitiv, le rulează. Rezultatul este că o serie de programe malware periculoase, inclusiv VenomRAT, AsyncRAT, Remcos și XWORM, sunt instalate pe dispozitivul utilizatorului. Odată instalat malware-ul, atacatorul poate prelua controlul deplin asupra computerului victimei, glisând toate fișierele deținute în acesta.
Având în vedere acest nou vector de atac, utilizatorii cripto ar trebui să fie precauți atunci când interacționează cu fișiere de imagine SVG din surse în care nu au total încredere. Când este deschisă, dacă o imagine încarcă alte tipuri de fișiere, utilizatorii ar trebui să ia în considerare respingerea acestor fișiere închizând fereastra browserului.
Exploatarea jetoanelor de incendiu ilustrează riscurile jetoanelor noi
Cumpărarea de jetoane noi cu caracteristici noi și contracte neauditate este adesea riscantă, așa cum este ilustrat de ceea ce s-a întâmplat cu jetoanele FIRE la 1 octombrie.
Pool-ul Uniswap pentru token a fost epuizat de aproape toată lichiditatea sa după ce un atacator a exploatat contractul jetonului pentru a-l vinde în mod repetat la un preț din ce în ce mai mare de fiecare dată.
După exploit, echipa jetonului și-a șters imediat conturile de socializare și a dispărut, ceea ce sugerează că proiectul ar fi putut fi o înșelătorie sau o înșelătorie de ieșire de la început.
Tokenul nu a fost tranzacționat din 2 octombrie, ceea ce implică faptul că ar putea fi atât de puțină lichiditate pentru el, încât vânzarea ar putea fi imposibilă.
Ideea prezentată investitorilor FIRE a fost simplă. Potrivit site-ului său web, era un „semnal ultra-hiper-deflaționist”. Ori de câte ori deținătorii și-au vândut FIRE-ul în fondul de lichiditate Uniswap al jetonului, acesta va fi trimis automat la o adresă de ardere. Acest lucru ar duce la scăderea ofertei de token, crescând valoarea FIRE-ului deținut de cei care nu au vândut.
Site-ul cu simboluri de incendiu. Sursa: foc.
Tokenul a fost lansat la 8:00 am UTC pe 1 octombrie. La aproximativ 90 de secunde după lansare, un cont care se termină în 1e2e a drenat aproximativ 22.000 USD de Ether (ETH) din fondul de lichiditate al jetonului.
Pentru a realiza acest lucru, a contractat mai întâi un împrumut rapid de 20 ETH de la platforma de creditare, Spark Protocol. Apoi a creat un contract rău intenționat care a schimbat ETH cu FIRE, apoi l-a schimbat înapoi, distrugând FIRE nou achiziționat în acest proces și ridicându-i prețul.
Acest proces a fost repetat pe parcursul a 122 de transferuri prin 16 contracte inteligente diferite, fiecare transfer făcând parte dintr-o singură tranzacție. De fiecare dată când FIRE a fost schimbat cu ETH, o cantitate puțin mai mare de ETH a fost primită în schimb, în comparație cu ceea ce a fost cheltuit pentru a-l achiziționa. Drept urmare, atacatorul a reușit să scurgă fondul de ETH în valoare de aproximativ 22.000 USD. În plus, această tranzacție a distrus 230 de jetoane FIRE.
Atacul a fost repetat iar și iar, tranzacția finală de exploatare a avut loc pe 2 octombrie la ora 1:14.
Platforma de securitate Blockchain TenArmor a raportat atacul asupra X. „Sistemul nostru a detectat că tokenul#FIRE@Fire_TokenEth pe#ETHa fost atacat, ceea ce a dus la o pierdere de aproximativ 22.3K USD”, se spune în postare.
Sursa: TenArmor.
Conform datelor de preț de la platforma de tranzacționare Apespace, prețul inițial al FIRE a fost stabilit la aproximativ 33 ETH (81.543 USD la prețurile curente) sau în jur de 8 USD per 0,0001 FIRE. În momentul exploatării, prețul FIRE a crescut vertiginos, crescând la 30 de miliarde de ETH per monedă sau 244,6 miliarde de dolari pe 0,0001 FIRE. Apoi a scăzut la 4,7 miliarde ETH per monedă în următoarele două minute.
Rețineți că, până când au fost atinse aceste prețuri ridicate, mai puțin de o monedă FIRE a rămas în circulație, deoarece cea mai mare parte a ofertei de jeton a fost distrusă în exploatare.
FIRE diagramă de un minut care arată exploit la aproximativ 8:13 dimineața. Sursa: Apespace.
După exploit, echipa FIRE și-a șters conturile X și Telegram, ceea ce sugerează că atacatorul ar fi putut fi afiliat echipei. Pagina Apespace a jetonului conține, de asemenea, un avertisment că contractul FIRE conține o funcție de „lista neagră” care permite dezvoltatorilor să pună pe lista neagră contul oricărui utilizator și să îi împiedice să vândă jetonul. Este posibil ca dezvoltatorii să fi folosit această funcție de listare neagră doar pentru a-și permite să vândă.
Utilizatorii ar trebui să fie precauți atunci când interacționează cu jetoane care au caracteristici noi, care este posibil să nu fie pe deplin înțelese de majoritatea utilizatorilor.
În acest caz, dezvoltatorii au declarat în mod explicit că oricine vinde în pool distruge jetoane, reducându-și oferta. Cu toate acestea, este posibil ca unii utilizatori să nu fi realizat că acest lucru permite unui singur comerciant să schimbe în mod repetat și să iasă din token pentru a-și crește artificial prețul și a-și epuiza lichiditatea.
Revista: Arestarea suspectă a reporterului de înșelătorie cripto, PM pro-cripto din Japonia: Asia Express