" Фишинговая афера Inferno Drainer нанесла ущерба на 6 миллионов долларов в криптовалюте и NFT. Фишинговые атаки, подобные этой, обычно проводятся с использованием скомпрометированных серверов Discord и учетных записей Twitter.
Такого рода массовые хищения — или сливы — мошенники использовали для кражи 73 миллионов долларов из более чем 32 000 кошельков, оставив после себя 900 скомпрометированных серверов Discord.
Но кто эти мошенники? Давайте-ка погрузимся в темный преступный мир, стоящий за фишингом, и посмотрим, кто осуществляет атаки.
Подозрительность не помешала бы
Возьмем, к примеру, Orbiter Finance. В прошлом месяце некий ушлый деятель, представившийся журналистом крипто-новостного сайта, связался с одним из модераторов Discord и попросил его заполнить форму. Модератор не понимал, что это простое действие передаст мошеннику контроль над сервером Discord. Происходящее не вызвало у него подозрений.
А зря.
Оказавшись внутри, преступник заморозил контроль других администраторов над сервером и ограничил возможность членов сообщества отправлять сообщения. Он разместил объявление о поддельном аирдропе, отправив всех на фишинговый веб-сайт, предназначенный для кражи NFT доверчивых пользователей. Это сработало, доверчивых оказалось много. В общей сложности преступник украл NFT и токенов на миллион долларов, причем, сделано это было в мгновение ока, а команда могла только беспомощно наблюдать за происходящим.
«Мы были очень обеспокоены, — призналась Гвен, менеджер по развитию бизнеса в Orbiter Finance, рассказывая о том, что произошло. — Если мы причиняет какой-либо ущерб членам нашего сообщества, мы просто теряем их доверие».
Атака на Orbiter — лишь один из недавних примеров в длинной череде эксплойтов, включающих слив NFT и скомпрометированные серверы Discord или учетные записи Twitter. Данные, собранные аналитиком NFT и экспертом по безопасности, известным как OKHotshot, показывают, что с декабря 2021 года не менее 900 серверов Discord были скомпрометированы в процессе фишинговых атак, причем за последние три месяца наблюдается заметный рост этого показателя.
Такие атаки затронули как минимум 32 000 кошельков жертв за последние девять месяцев, согласно данным, собранным PeckShield и многочисленным информационным панелям Dune Analytics от Scam Sniffer и других. В общей сложности злоумышленники украли NFT и токены на общую сумму 73 миллиона долларов.
Кто стоит за атаками
Мошеннические схемы часто включают в себя перепродажу и торговлю на формирующемся черном рынке кода сливных программ.
Организаторы фишинговых атак сначала отправляются в Telegram и Discord, где они могут найти каналы, управляемые разработчиками множества различных видов сливов. Они связываются с разработчиком и покупают слив, который представляет собой набор кода, который можно интегрировать в веб-сайты, при этом обычно соглашаясь отдавать 20-30% выручки разработчику. Затем они используют свои собственные методы — например, сайт поддельных новостей, описанный выше, — чтобы скомпрометировать сервер Discord или учетную запись Twitter и рекламировать поддельный веб-сайт, содержащий код слива NFT, чтобы украсть NFT и все, что смогут получить в свои руки.
И делают они это между делом. То есть, в то время, когда не сидят на уроках и не заняты выполнением домашних заданий!
«95% из них — дети младше 18 лет, и они все еще учатся в старшей школе», — утверждает исследователь безопасности под псевдонимом Плам, который работает в группе доверия и безопасности на торговой площадке NFT OpenSea.
Он добавил, что именно поэтому количество атак имеет тенденцию к увеличению во время летних каникул.
«Я лично разговаривал со многими из них и знаю, что они все еще учатся в школе, — говорит Плам. — Я видел их фотографии и видео из школ. Они говорят о своих учителях, о том, как они плохо учатся или как им нужно делать домашнее задание».
Эти дети, похоже, не прилагают особых усилий, чтобы скрыть свое новообретенное богатство.
«Они купят ноутбук, несколько телефонов, обувь и потратят огромные деньги на Roblox. Все они по большей части играют в Roblox. Поэтому они будут покупать самое крутое снаряжение для своего аватара Roblox, видеоигр, скинов и тому подобного», — рассказывает Плам.
Он добавляет, что школьники-мошенники также часто покупают подарочные карты с криптовалютой на Bitrefill, тратят тысячи долларов на Uber Eats, покупают дизайнерскую одежду, платят другим людям, чтобы они делали за них домашнюю работу, и даже покупают автомобили, которые еще не умеют водить. А еще они очень азартные.
«Они будут делать ставки по 40 000 долларов на игру в онлайн-покер и транслировать их всем остальным игрокам в звонке Discord. Все будут смотреть, как этот человек играет в покер», — рассказывает Плам.
По его словам, юные жулики пытаются замести следы, платя людям из стран с низким уровнем дохода за использование их личных данных для регистрации на биржах и запутывая след при выводе денег. Но он утверждает, что по крайней мере некоторые из этих ребят уже были бы пойманы, потому что они оставляют достаточно доказательств своих действий, если бы не отсутствие интереса со стороны правоохранительных органов к их поимке.
Что касается того, почему преступники думают, что такие атаки им сойдут с рук, Плам предполагает, что «они просто чувствуют себя непобедимыми, у них есть режим Бога — будто их никто не может тронуть».
Хотя такие страны, как Северная Корея, также участвуют в фишинговых атаках, нацеленных на NFT, они обычно используют свои собственные сливные устройства и реже занимаются их продажей, говорит Плам. Что касается тех, кто создает сливщики NFT — которые в ряде случаев проводят атаки по собственной технологии, — то они немного более неуловимы, но их псевдонимные профили тем не менее оставляют отчетливый след.
Рост сливов NFT
Один из первых сливщиков NFT, Monkey, создал свой канал в Telegram в августе, но только в октябре начал действовать по-настоящему. По данным PeckShield, в течение следующих нескольких месяцев их технология была использована для кражи 2200 NFT на сумму 9,3 миллиона долларов и дополнительных 7 миллионов долларов в виде токенов.
28 февраля разработчики Monkey решили повесить шляпу на гвоздь. В прощальном сообщении они сказали:
«Все молодые киберпреступники не должны теряться в погоне за легкими деньгами» — и посоветовали своим клиентам использовать сливщик конкурента, известный как Venom.
Venom, один из первых сливщиков, был достойным соперником Monkey. Со временем с его помощью было украдено более 2000 NFT у более чем 15 000 жертв. При этом клиенты сливщика использовали 530 фишинговых сайтов для проведения атак на такие криптопроекты, как Arbitrum, Circle и Blur, получив в общей сложности 29 миллионов долларов США в виде NFT, эфира и различных токенов.
Venom был одним из первых сливщиков NFT, перешедших на мультичейн, но тут он справился не очень хорошо, отмечают эксперты по безопасности. Тем не менее, это был первый слив, который использовался для кражи NFT на торговой площадке NFT Blur.
Еще одним серьезным конкурентом Venom были Inferno, который использовался для кражи 9,5 миллионов долларов у 11 000 жертв, и Pussy, которая использовалась для кражи 14 миллионов долларов у 3 000 жертв. Клиенты Angel, созданного на российском хакерском форуме, использовали его для кражи 1 миллиона долларов у более чем 500 жертв в виде NFT и различных токенов — последний раз компрометировал учетную запись криптокошелька Zerion в Twitter.
А потом появился Pink.
Снимите розовые очки
25 октября Fantasy, эксперт по безопасности и соучредитель компании BlockMage, специализирующейся на криптобезопасности, копался в Discord Server для Wallet Guard, криптографического продукта, предназначенного для защиты от фишинговых атак. Именно там он наткнулся на другую учетную запись под названием BlockDev, которая заявила, что является исследователем безопасности, и создала учетную запись в Twitter под названием Chainthreats для публикации информации о том, как уберечься от эксплойтов.
Хотя у Fantasy и BlockDev были некоторые разногласия при первой встрече, со временем они начали общаться на регулярной основе. Тогда у BlockDev появилась идея: эксплуатировать горячий крипто-кошелек, принадлежащий разработчику сливщика Venom, используя против него собственный API. BlockDev объяснил, как это можно сделать, а затем осуществил атаку, похитив 14 000 долларов в криптовалюте у разработчика Venom. Fantasy наблюдал за всем происходящим и записал кошелек, который BlockDev использовал для проведения атаки.
В начале года на сцену вышел новый сливщик NFT под названием Pink. Он казался более продвинутым, чем его предшественники, быстро стал популярным и использовался для кражи NFT во время целого ряда атак. Только когда Fantasy изучил их, удалось отследить источник средств, использованных для установки сливного устройства, до кошелька BlockDev, что позволило предположить, что это был один и тот же человек.
«Я оглянулся на первоначальный источник финансирования, а также на общую активность между двумя кошельками — у них одинаковая активность. Я столкнулся с ним, и он был не слишком доволен этим», — сказал Fantasy. — Он разочаровался во мне как в человеке. Он думал, что может мне доверять, что, по-моему, было очень забавно».
В этот момент предполагаемый исследователь, теперь известный как Pink, удалил свои учетные записи Discord и Twitter и разорвал связи с исследователями безопасности, такими как Fantasy и Plum.
Pink Drainer использовался для более крупных эксплойтов в течение мая и июня, в том числе в Discords of Orbiter Finance, LiFi, Flare и Evmos, а также в учетной записи Twitter Стива Аоки и других.
Злоумышленники снова использовали известную тактику, изображая из себя журналистов, пытающихся взять интервью, и часто просили модераторов Discord или кого бы то ни было добавить в закладки определенную веб-страницу. Согласно Scam Sniffer, именно на этом ключевом этапе они проникали на серверы.
Plum и Fantasy отметили, что сливному устройству Pink удается обойти защиту в виде расширений кошелька, которые предназначены для предотвращения таких краж. Они сказали, что Pink добился успеха в обходе расширений кошелька Pocket Universe и Wallet Guard. Pink также реализовал способ одновременной кражи токенов и NFT в Blur, что Plum и Fantasy назвали значительным достижением.
Что касается того, что можно сделать для защиты от таких атак, Plum сказал, что ориентированные на безопасность расширения кошелька по-прежнему хороши для защиты кошельков в целом. Он отметил, что хорошей практикой является использование нескольких кошельков и хранение основных сумм средств в холодных кошельках, и добавил, что также хорошо отзывать утверждения — когда кошелек дает блокчейну разрешение на взаимодействие с определенным токеном — если рассматриваемый токен активно не используется.
Не настраивайте себя на то, что одна ошибка — если вы будете отвлекаться на крики ваших маленьких детей — может привести к тому, что вы потеряете все, что у вас есть. Это чьи-то подросшие дети уже сейчас заставляют вас терять все, что у вас есть.
