Останні криптошахрайства, хаки та експлойти та як їх уникнути: Crypto-Sec
Фіш тижня: обліковий запис Symbiotic X зламано
Відповідно до звіту PeckShield, обліковий запис X для протоколу стейкингу Symbiotic було зламано 5 жовтня. На офіційному веб-сайті команди стверджується, що станом на 7 жовтня обліковий запис усе ще зламано.
Зламаний обліковий запис рекламує контрольний список «балів» і просить користувачів натиснути посилання, щоб перевірити, скільки у них балів. Однак посилання веде на неправильну URL-адресу, network-symbiotic[.]fi, замість правильної, symbiotic.fi.
Фішинговий пост від хакера Symbiotic X. Джерело: Symbiotic.
Коли користувачі підключаються до підробленого фішингового сайту за допомогою гаманця, їм відкривається сторінка, на якій стверджується, що вони заробили тисячі балів, навіть якщо вони ніколи раніше не взаємодіяли з протоколом Symbiotic.
Сторінка закликає користувачів негайно використати свої бали та стверджує, що бали будуть втрачені, якщо користувач не натисне велику зелену кнопку «викупити» посередині екрана.
Фальшивий сайт Symbiotic, який нібито використовувався для фішингових атак. Джерело: network-symbiotic.fi
Натискання кнопки «Погасити бали» з порожнім гаманцем призводить до появи повідомлення про помилку про те, що користувач повинен спробувати інший гаманець, що є поширеним повідомленням про помилку, яке зустрічається на фішингових сайтах, які запитують підписи повідомлення.
Якщо гаманець користувача містить токени Symbiotic, сайт, ймовірно, просить користувача підписати повідомлення, яке потім використовується для вичерпання токенів користувача. Cointelegraph не тестував програму з гаманцем, у якому були кошти.
На своєму офіційному веб-сайті команда Symbiotic наразі попереджає користувачів, що її X було зламано, і що користувачі не повинні взаємодіяти з будь-якими сайтами, на які посилається обліковий запис.
Симбіотичне попередження про скомпрометований обліковий запис X. Джерело: Symbiotic.fi
Зломи облікових записів X стали звичайною проблемою в криптопросторі. Користувачам слід подумати про створення закладок для URL-адрес програм, якими вони часто користуються, оскільки це, як правило, більш надійний спосіб потрапити на правильний веб-сайт, ніж покладатися на посилання X, хоча він також не є на 100% надійним. Користувачам слід бути особливо обережними, коли їх просять підписати повідомлення, написане в коді, оскільки це часто, але не завжди, є ознакою фішингової атаки.
Куточок зловмисного програмного забезпечення: тепер зловмисники використовують файли SVG, щоб заманити жертв
Зловмисники тепер використовують файли зображень SVG для зараження комп’ютерів жертв, згідно з вересневим звітом команди HP Wolf Security.
Новий метод дозволяє зловмисникам отримати контроль над комп’ютером жертви за допомогою трояна віддаленого доступу (RAT). Після встановлення програмного забезпечення зловмисники використовують його для викрадення паролів веб-сайтів жертви, початкових слів та іншої особистої інформації. Якщо користувач володіє криптовалютою, ці облікові дані потім використовуються в подальших спробах отримати доступ до гаманця користувача та спорожнити його.
Дослідники виявили, що зловмисне програмне забезпечення було замасковане під ZIP-архів, який завантажувався, коли зображення відкривалося в браузері. Він також містив файл .pdf, який завантажувався, щоб відволікти жертву, поки шкідлива програма завантажувалася та встановлювалася у фоновому режимі.
Відповідно до Adobe, файли масштабованої векторної графіки (SVG) зберігають зображення «через математичні формули на основі точок і ліній на сітці», а не через пікселі. Це означає, що їх можна легко змінити без втрати якості. Крім того, вони написані в коді XML, що дозволяє зберігати текст всередині себе.
За словами Mozilla, файли SVG також містять елемент «сценарій», який дозволяє розробникам вбудовувати в них виконувані програми. Як повідомляється, розробники зловмисного програмного забезпечення навчилися зловживати саме цією здатністю сценаріїв.
Дослідники HP знайшли зображення, яке відкриває в браузері архів ZIP. Якщо користувач натискає архів, відкривається вікно Провідника файлів і починається завантаження файлу ярлика.
Натискання ярлика викликає завантаження файлу приманки .pdf на екрані жертви. Тим часом пристрій починає копіювати різні сценарії та зберігати їх у папках «Музика», «Фотографії» та «Автозавантаження» жертви. Це дозволяє програмі зберігатися протягом тривалого часу.
Шкідливий URL-файл у зараженому SVG і приманці .pdf призначений для відволікання користувача. Джерело: HP Wolf Security.
Після копіювання цих сценаріїв на пристрій він запускає їх. У результаті на пристрої користувача встановлюється ряд небезпечних шкідливих програм, зокрема VenomRAT, AsyncRAT, Remcos і XWORM. Після встановлення зловмисного програмного забезпечення зловмисник може отримати повний контроль над комп’ютером жертви, видаляючи будь-які файли, що містяться на ньому.
Враховуючи цей новий вектор атаки, користувачам криптовалюти слід бути обережними під час взаємодії з файлами зображень SVG із джерел, яким вони не повністю довіряють. Якщо під час відкриття зображення завантажує інші типи файлів, користувачам слід відхилити ці файли, закривши вікно браузера.
Експлойт токенів Fire ілюструє ризики нових токенів
Купівля нових токенів із новими функціями та неперевіреними контрактами часто є ризикованою, про що свідчить те, що сталося з токеном FIRE 1 жовтня.
З пулу Uniswap для токена була вичерпана майже вся його ліквідність після того, як зловмисник скористався контрактом токена, щоб постійно продавати його за вищою і вищою ціною кожного разу.
Після експлойту команда токена негайно видалила свої облікові записи в соціальних мережах і зникла, маючи на увазі, що проект міг бути шахрайством або шахрайством з самого початку.
Токен не торгується з 2 жовтня, що означає, що його ліквідність може бути настільки малою, що продаж може бути неможливим.
Ідея, представлена інвесторам FIRE, була простою. Згідно з його веб-сайтом, це був «ультрагіпердефляційний токен». Щоразу, коли власники продавали свій FIRE у пул ліквідності Uniswap токена, він автоматично надсилався на адресу записувача. Це спричинило б скорочення пропозиції токенів, що призвело б до зростання вартості FIRE у тих, хто не продав.
Веб-сайт Fire token. Джерело: Вогонь.
Токен був запущений о 8:00 ранку за UTC 1 жовтня. Приблизно через 90 секунд після запуску обліковий запис, який закінчується на 1e2e, вичерпав ефір (ETH) на суму приблизно 22 000 доларів США з пулу ліквідності токена.
Щоб досягти цього, компанія спочатку взяла миттєву позику в розмірі 20 ETH на платформі кредитування Spark Protocol. Потім він створив зловмисний контракт, який замінив ETH на FIRE, а потім замінив його назад, знищивши нещодавно придбаний FIRE у процесі та піднявши його ціну.
Цей процес повторювався протягом 122 переказів через 16 різних смарт-контрактів, причому кожен переказ був частиною однієї транзакції. Щоразу, коли FIRE обмінювався на ETH, натомість отримували дещо більшу суму ETH порівняно з тим, що було витрачено на його придбання. У результаті зловмисник зміг вичерпати пул ETH на суму приблизно 22 000 доларів США. Крім того, ця транзакція знищила 230 токенів FIRE.
Атака повторювалася знову і знову, а остання експлойтна транзакція відбулася 2 жовтня о 1:14 ночі.
Платформа безпеки блокчейну TenArmor повідомила про атаку на X. «Наша система виявила, що токен#FIRE@Fire_TokenEth на#ETHбув атакований, що призвело до втрати приблизно 22,3 тисячі доларів США», — йдеться в повідомленні.
Джерело: TenArmor.
Згідно з ціновими даними торгової платформи Apespace, початкова ціна FIRE була встановлена на рівні приблизно 33 ETH ($81 543 за поточними цінами) або близько 8 доларів за 0,0001 FIRE. На момент експлойту ціна FIRE стрімко зросла, збільшившись до 30 мільярдів ETH за монету або 244,6 мільярда доларів за 0,0001 FIRE. Потім протягом наступних двох хвилин вона впала до 4,7 мільярда ETH за монету.
Зауважте, що на момент досягнення цих високих цін в обігу залишалося значно менше однієї монети FIRE, оскільки більша частина запасу токенів була знищена під час експлойту.
Хвилинний графік FIRE, що показує експлойт приблизно о 8:13 ранку. Джерело: Apespace.
Після експлойту команда FIRE видалила свої облікові записи X і Telegram, що свідчить про те, що зловмисник міг бути пов’язаним з командою. Сторінка токена Apespace також містить попередження про те, що контракт FIRE містить функцію «чорного списку», яка дозволяє розробникам заносити в чорний список будь-який обліковий запис користувача та забороняти їм продавати токен. Можливо, розробники використовували цю функцію чорного списку лише для того, щоб дозволити собі продавати.
Користувачам слід бути обережними під час взаємодії з токенами, які мають нові функції, які можуть бути не повністю зрозумілі більшості користувачів.
У цьому випадку розробники прямо заявили, що кожен, хто продає в пул, знищує токени, зменшуючи їх пропозицію. Однак деякі користувачі, можливо, не усвідомлювали, що це дозволяє одному трейдеру неодноразово обмінюватися токенами, щоб штучно підвищити його ціну та вичерпати його ліквідність.
Журнал: Підозрілий арешт репортера про криптошахрайство, прем’єр-міністра Японії, який підтримує криптовалюту: Asia Express
