Опытные криптовалютные инвесторы потеряли миллионы из-за хакера. Как произошёл взлом — неизвестно
Накануне в экосистеме Эфириума и некоторых других блокчейнов была проведена серия хакерских атак, точный вектор и происхождение которых пока так и не удалось установить. По словам бывшего генерального директора криптокошелька MyCrypto Тейлор Монахан, с декабря 2022 года таким способом было украдено более 5 тысяч ETH, что составляет около 10 миллионов долларов по текущей стоимости криптовалюты. Кейс оказался настолько сложным, что аналитики в сфере кибербезопасности пока разве что публикуют догадки относительно происходящего. Рассказываем о происходящем подробнее.
Отметим, что странных взломов в индустрии криптовалют хватает. К примеру, в августе 2022 года пользователи кошельков на базе блокчейнов Solana и Эфириум начали терять деньги. Масштабы взлома были огромными: жертвами стали тысячи человек, при этом у них украли эквивалент миллионов долларов.
Увы, в происходящем были виноваты разработчики криптовалютного кошелька Slope. Последний отправлял сид-фразы собственных юзеров на сервер в незащищённом виде, то есть без шифрования. А поскольку эти комбинации позволяют получить доступ к содержимому кошельков пользователей, хакер взломал защиту и опустошил столько адресов, сколько только смог.
Криптовалютный инвестор с аппаратным кошельком
К слову, тогда в безопасности оказались пользователи аппаратных кошельков. Их спасло то, что такие устройства хранят сид-фразы внутри себя и не светят их где-либо.
Как крадут деньги в индустрии криптовалют
Всплеск активности таинственного злоумышленника произошёл за последние несколько суток, о чём Монахан отчиталась в Твиттере. Вот соответствующая реплика о ситуации.
За последние 48 часов я наблюдала за масштабной схемой кражи средств из кошельков. Я пока не могу оценить сумму убытков, но с декабря 2022 года этот метод атаки привёл к потере более 5 тысяч ETH, а также неопределённого количества токенов и NFT в одиннадцати разных блокчейнах. Жертвами атаки стали мои друзья и опытные владельцы криптовалют.
Список пострадавших адресов
Другими словами, действия хакера или нескольких хакеров были неочевидными даже для экспертов криптосферы. То есть жертвами в данном случае стали не новички, которые регулярно теряют средства из-за банальных переходов по фишинговым ссылкам и загрузок вредоносных файлов.
В интервью сотрудникам Decrypt аналитики по сфере кибербезопасности из стартапа MetaMask отметили, что пользователи их кошелька тоже стали жертвами атаки. Однако она ограничивается не только экосистемой данного интерфейса. В данном случае пострадали клиенты и других кошельков, а значит это не просто какая-то уязвимость внутри MetaMask. Эксперты продолжают.
Расследование показывает, что этот конкретный вектор атаки привёл к раскрытию секретных фраз для восстановления кошельков затронутых пользователей. Вероятно, из-за непреднамеренного ненадёжного хранения этих комбинаций.
По традиции отметим, что так называемые горячие кошельки, к числу которых относится и MetaMask, считаются далеко не самыми надёжными инструментами для хранения цифровых активов. Дело в том, что такие интерфейсы хранят в себе приватные ключи. А поскольку горячие кошельки постоянно подключены к интернету, это создаёт риски вмешательства в происходящее хакеров.
В данном случае более безопасным выбором являются холодные кошельки. Их специальное хранилище, в котором находятся приватные ключи пользователя, не подключаётся к интернету. А значит проводить транзакции с помощью подобных устройств куда безопаснее, чем держать монеты в интерфейсах, которые постоянно находятся в онлайне.
Криптовалютный хакер
В своём отдельном расследовании Монахан пока пришла разве что к нескольким догадкам. Вот соответствующая реплика.
На самом деле никто не определил источник атаки. Несколько устройств пострадавших были подвергнуты экспертизе. Ничего. Единственные известные общие черты между ними:
— Украденные ключи были созданы в период с 2014 по 2022 год;
— Все пострадавшие – это те, кто более опытен в работе с криптой в сравнении с большинством. Например, у них несколько адресов, работа в сфере и так далее.Сейчас я думаю, что кто-то раздобыл себе жирный кэш данных более чем годичной давности и методично выкачивает ключи.
Это наводит на мысль о том, что все пострадавшие хранили свои секретные комбинации в одной базе данных в цифровом виде. Это маловероятно, но возможно. Может быть, их опыт в работе с криптой не стал преградой к обычной человеческой ошибке, когда инвестор просто раскрывает свои критически важные данные в интернете. Что это была за база данных и как хакеру в теории удалось к ней добраться – тоже неизвестно.
В действиях злоумышленника до и после вывода средств с кошельков жертв также наблюдаются определённые общие черты. По словам Монахан, вывод почти всегда происходил в период с 10:00 до 16:00 часов по UTC.
Время атак
При этом хакер чаще всего совершал обмен токенов на эфиры внутри кошелька перед выводом средств, хотя это не касалось особо крупных партий токенов. Приоритет получали наиболее ликвидные активы, а значит позиции в стейкинге, NFT и малоизвестные токены злоумышленник обычно оставлял нетронутыми.
Монеты из нескольких десятков кошельков затем конвертировались и отправлялись на 4-6 Биткоин-адресов. Спустя ещё несколько дней биткоины переводятся на криптомиксеры, которые заметают следы и позволяют переместить криптовалюту на новые адреса. К сожалению, пока отследить все переводы и попытаться вернуть хотя бы часть средств невозможно.
Еще одна интересная деталь – много атак было совершено в выходные дни
Произошедшее нанесло серьёзный удар по репутации кибербезопасности внутри индустрии. Оказывается, даже самые опытные владельцы цифровых активов не застрахованы от искусных хакеров.
Как бы там ни было, из данной ситуации тоже можно сделать определённые выводы. Прежде всего, криптовалютным инвесторам стоит использовать аппаратные кошельки, которые лучше защищают активы юзеров. Ну а на горячих кошельках с интернет-подключением надёжнее хранить объём монет, который в случае чего будет не жалко потерять. Всё же в данной ситуации рассчитывать на возмещение убытков скорее всего не приходится.