Криптоолимпиада, или все разнообразие атак на блокчейн: самые крупные, сложные, дерзкие и обидные кражи криптовалюты.
Преимущества криптовалюты — слабое регулирование и неподконтрольность правительству — оборачиваются весьма серьезными недостатками, когда эту самую валюту крадут у законного владельца. Угрозы криптоактивам весьма разнообразны, и мы рекомендуем изучить , а также . Но в этих наших постах не до конца раскрыты все многообразие и масштаб схем обмана, связанных с криптой.
Чтобы вы лучше понимали, насколько привлекательна сфера криптофинансов для мошенников, мы решили собрать самые яркие примеры атак последних лет воедино. В нашей преступной олимпиаде — победители самых ярких атак в разных номинациях. Мы не пытались делать рейтинг по причиненному ущербу, потому что его сложно определить для многих видов атак, и исключили из рейтинга .
Способ: троянизированный аппаратный кошелек
Об этой атаке у нас есть , поскольку ее расследовали наши специалисты. Инвестор приобрел популярный аппаратный кошелек, который выглядел и работал точь-в-точь как настоящий — до какого-то момента. Впоследствии оказалось, что это — умелая подделка, в которую злоумышленники прошили заранее известные им приватные ключи и систему ослабления паролей. Когда в кошельке оказались деньги, хакеры свободно их вывели. Кошелек при этом вообще не подключался к компьютеру.
Способ: взлом серверов
Долгое время крупнейшим взломом в истории криптовалют оставалась на 460 миллионов долларов, которая привела компанию к краху в 2014 году. Но в 2022 году сомнительное лидерство перешло к компании Sky Mavis, разработчику игры Axie Infinity из категории «играй, чтобы зарабатывать». Мост Ronin, обслуживающий взаимодействие между внутриигровыми токенами Axie Infinity и сетью Ethereum, был скомпрометирован, что привело на общую сумму — по разным оценкам — от 540 до 650 миллионов долларов. Не погружаясь в специфические детали взлома блокчейн-мостов, отметим, что транзакции в Ronin удостоверялись девятью узлами-валидаторами, и злоумышленники смогли скомпрометировать пять из них, чтобы подписать свои переводы. Судя по всему, проникновение в сеть произошло через комбинацию вредоносного ПО и легитимных, но устаревших и не отозванных вовремя реквизитов доступа.
В качестве вишенки на торте — хакеры рассчитывали дополнительно заработать на обвале рыночной капитализации атакованных компаний, но взлом заметили лишь неделю спустя, и их попытка сыграть на коротких продажах (short selling) провалилась.
Способ: фальшивое расширение Chrome
Атаки, , проводились группировкой BlueNoroff и в первую очередь были нацелены на финтех-компании, работающие с криптовалютой. В рамках серии этих атак хакеры проникали во внутренние сети пострадавших компаний при помощи фишинговых писем, якобы от венчурных фондов. Когда жертва открывала вредоносное вложение в письмо, на компьютер устанавливался троян, с помощью которого атакующие могли как воровать информацию, так и устанавливать дополнительное ПО. Хакеры сидели в некоторых сетях месяцами, если переписка компании представляла для них интерес. А сама кража криптовалюты осуществлялась с помощью модифицированного расширения Chrome под названием Metamask. Установив свою версию Metamask вместо официальной, преступники могли наблюдать и модифицировать легитимные криптотранзакции жертвы, и даже использование аппаратного криптокошелька в данном случае не гарантировало защиту.
Способ: непонятен
Второго июня 2023 года децентрализованный кошелек Atomic Wallet , в рамках которой у жертвы несанкционированно списываются токены. Это самый свежий пример на момент написания поста. Разработчики , но пока так и не разобрались в его причине. Atomic Wallet гордится тем, что на серверах не хранятся ни пароли, ни приватные ключи, поэтому атака должна быть связана с происходящим на компьютерах самих пользователей.
Специалисты по отслеживанию криптовалют говорят, что способы отмыва краденого похожи на почерк группировки Lazarus. Если это так, то наиболее вероятные версии атаки — либо фальшивая троянизированная версия Atomic Wallet (по аналогии с ), либо атака на самих разработчиков и троян в официальном приложении.
Способ: личная встреча
Ради кражи криптовалюты некоторые злоумышленники устраивают аферы в стиле фильма «Поймай меня, если сможешь». Мишень — компании, ищущие инвесторов, к которым обращаются «инвестиционные фонды» и предлагают детально обсудить крупное вложение в бизнес. После нескольких созвонов и переписки жертвам — директорам стартапа — назначают личную встречу в роскошном отеле. На встрече долго обсуждаются юридические и финансовые вопросы, и под удобным предлогом возникает разговор об инвестициях или комиссионных сборах в криптовалюте. В итоге у жертвы подсматривают сид-фразу или кратковременно выманивают криптокошелек, а затем освобождают этот кошелек от всех денег. В одном из случаев жертв «нагрели» на , в другом, , — на 206 тысяч.
Способ: фальшивые письма и кошельки
Сюжет для хорошего детектива: злоумышленники рассылали бумажные письма покупателям аппаратных кошельков Ledger. Чтобы получить базу рассылки, они либо взломали неназванную «третью сторону» (вероятно, одного из подрядчиков Ledger), либо воспользовались ранее произошедшей утечкой данных пользователей.
В пришедшем письме сообщалось, что из-за проблем безопасности аппаратный кошелек Ledger Nano X, принадлежащий получателю письма, требует замены, и к письму прилагается бесплатная замена кошелька по гарантии. На самом деле в приложенной коробочке лежала замаскированная под Nano X флешка с вредоносным софтом. При первом запуске программа требовала провести «импорт ключа» и ввести свою секретную сид-фразу для восстановления доступа к кошельку — с понятными последствиями. Многие жертвы, правда, не попались на уловку: несмотря на убедительную упаковку, само письмо содержало несколько орфографических ошибок. Внимательность окупается!
Способ: вредоносное ПО
Одной из наиболее незаметных атак остается , совершаемая обычно при помощи трояна. Заразив компьютер жертвы, зловред тихо следит за буфером обмена и, когда туда попадает адрес криптокошелька, подменяет его в буфере на адрес кошелька злоумышленника. Таким образом, просто копируя и вставляя адреса во время переводов, очень легко своими руками подписать транзакцию в пользу злоумышленников.
Способ: романтическая переписка
Мы опишем эту атаку на конкретном примере, но «романтические аферы» — один из популярнейших способов обмана частных криптоинвесторов. Кевин Кок много лет работал с криптой, но преступники смогли . Познакомившись с девушкой на сайте знакомств, он общался с ней несколько месяцев, причем тема инвестиций вообще не возникала в их разговорах. Однажды, впрочем, она поделилась информацией от друзей о новом удобном приложении для криптоинвестиций.
Она не могла разобраться с приложением и попросила о помощи, чтобы внести туда ее собственные (!) деньги. Кевин, конечно, помог, а заодно убедился, что приложение работает, а активы его пассии дорожают день ото дня. Тогда он решил вложить и свои деньги и с удовольствием наблюдал за высокой доходностью вложений. Неладное Кевин заподозрил, только когда девушка неожиданно пропала из всех мессенджеров и перестала отвечать на сообщения. Тут-то и оказалось, что вывести деньги из «инвестиционной системы» невозможно в принципе.
Преимущества криптовалюты — слабое регулирование и неподконтрольность правительству — оборачиваются весьма серьезными недостатками, когда эту самую валюту крадут у законного владельца. Угрозы криптоактивам весьма разнообразны, и мы рекомендуем изучить , а также . Но в этих наших постах не до конца раскрыты все многообразие и масштаб схем обмана, связанных с криптой.
Чтобы вы лучше понимали, насколько привлекательна сфера криптофинансов для мошенников, мы решили собрать самые яркие примеры атак последних лет воедино. В нашей преступной олимпиаде — победители самых ярких атак в разных номинациях. Мы не пытались делать рейтинг по причиненному ущербу, потому что его сложно определить для многих видов атак, и исключили из рейтинга .
1. Самая сложная
Ущерб: $ 30 000Способ: троянизированный аппаратный кошелек
Об этой атаке у нас есть , поскольку ее расследовали наши специалисты. Инвестор приобрел популярный аппаратный кошелек, который выглядел и работал точь-в-точь как настоящий — до какого-то момента. Впоследствии оказалось, что это — умелая подделка, в которую злоумышленники прошили заранее известные им приватные ключи и систему ослабления паролей. Когда в кошельке оказались деньги, хакеры свободно их вывели. Кошелек при этом вообще не подключался к компьютеру.
2. Самая крупная
Ущерб: $ 540 000 000Способ: взлом серверов
Долгое время крупнейшим взломом в истории криптовалют оставалась на 460 миллионов долларов, которая привела компанию к краху в 2014 году. Но в 2022 году сомнительное лидерство перешло к компании Sky Mavis, разработчику игры Axie Infinity из категории «играй, чтобы зарабатывать». Мост Ronin, обслуживающий взаимодействие между внутриигровыми токенами Axie Infinity и сетью Ethereum, был скомпрометирован, что привело на общую сумму — по разным оценкам — от 540 до 650 миллионов долларов. Не погружаясь в специфические детали взлома блокчейн-мостов, отметим, что транзакции в Ronin удостоверялись девятью узлами-валидаторами, и злоумышленники смогли скомпрометировать пять из них, чтобы подписать свои переводы. Судя по всему, проникновение в сеть произошло через комбинацию вредоносного ПО и легитимных, но устаревших и не отозванных вовремя реквизитов доступа.
В качестве вишенки на торте — хакеры рассчитывали дополнительно заработать на обвале рыночной капитализации атакованных компаний, но взлом заметили лишь неделю спустя, и их попытка сыграть на коротких продажах (short selling) провалилась.
3. Самая настойчивая
Ущерб: неизвестенСпособ: фальшивое расширение Chrome
Атаки, , проводились группировкой BlueNoroff и в первую очередь были нацелены на финтех-компании, работающие с криптовалютой. В рамках серии этих атак хакеры проникали во внутренние сети пострадавших компаний при помощи фишинговых писем, якобы от венчурных фондов. Когда жертва открывала вредоносное вложение в письмо, на компьютер устанавливался троян, с помощью которого атакующие могли как воровать информацию, так и устанавливать дополнительное ПО. Хакеры сидели в некоторых сетях месяцами, если переписка компании представляла для них интерес. А сама кража криптовалюты осуществлялась с помощью модифицированного расширения Chrome под названием Metamask. Установив свою версию Metamask вместо официальной, преступники могли наблюдать и модифицировать легитимные криптотранзакции жертвы, и даже использование аппаратного криптокошелька в данном случае не гарантировало защиту.
4. Самая непонятная
Ущерб: $ 35 000 000Способ: непонятен
Второго июня 2023 года децентрализованный кошелек Atomic Wallet , в рамках которой у жертвы несанкционированно списываются токены. Это самый свежий пример на момент написания поста. Разработчики , но пока так и не разобрались в его причине. Atomic Wallet гордится тем, что на серверах не хранятся ни пароли, ни приватные ключи, поэтому атака должна быть связана с происходящим на компьютерах самих пользователей.
Специалисты по отслеживанию криптовалют говорят, что способы отмыва краденого похожи на почерк группировки Lazarus. Если это так, то наиболее вероятные версии атаки — либо фальшивая троянизированная версия Atomic Wallet (по аналогии с ), либо атака на самих разработчиков и троян в официальном приложении.
5. Самая кинематографичная
Ущерб: $ 4 000 000Способ: личная встреча
Ради кражи криптовалюты некоторые злоумышленники устраивают аферы в стиле фильма «Поймай меня, если сможешь». Мишень — компании, ищущие инвесторов, к которым обращаются «инвестиционные фонды» и предлагают детально обсудить крупное вложение в бизнес. После нескольких созвонов и переписки жертвам — директорам стартапа — назначают личную встречу в роскошном отеле. На встрече долго обсуждаются юридические и финансовые вопросы, и под удобным предлогом возникает разговор об инвестициях или комиссионных сборах в криптовалюте. В итоге у жертвы подсматривают сид-фразу или кратковременно выманивают криптокошелек, а затем освобождают этот кошелек от всех денег. В одном из случаев жертв «нагрели» на , в другом, , — на 206 тысяч.
6. Самая элегантная
Ущерб: неизвестенСпособ: фальшивые письма и кошельки
Сюжет для хорошего детектива: злоумышленники рассылали бумажные письма покупателям аппаратных кошельков Ledger. Чтобы получить базу рассылки, они либо взломали неназванную «третью сторону» (вероятно, одного из подрядчиков Ledger), либо воспользовались ранее произошедшей утечкой данных пользователей.
В пришедшем письме сообщалось, что из-за проблем безопасности аппаратный кошелек Ledger Nano X, принадлежащий получателю письма, требует замены, и к письму прилагается бесплатная замена кошелька по гарантии. На самом деле в приложенной коробочке лежала замаскированная под Nano X флешка с вредоносным софтом. При первом запуске программа требовала провести «импорт ключа» и ввести свою секретную сид-фразу для восстановления доступа к кошельку — с понятными последствиями. Многие жертвы, правда, не попались на уловку: несмотря на убедительную упаковку, само письмо содержало несколько орфографических ошибок. Внимательность окупается!
7. Самая незаметная
Ущерб: неизвестенСпособ: вредоносное ПО
Одной из наиболее незаметных атак остается , совершаемая обычно при помощи трояна. Заразив компьютер жертвы, зловред тихо следит за буфером обмена и, когда туда попадает адрес криптокошелька, подменяет его в буфере на адрес кошелька злоумышленника. Таким образом, просто копируя и вставляя адреса во время переводов, очень легко своими руками подписать транзакцию в пользу злоумышленников.
8. Самая обидная
Ущерб: $ 15 000Способ: романтическая переписка
Мы опишем эту атаку на конкретном примере, но «романтические аферы» — один из популярнейших способов обмана частных криптоинвесторов. Кевин Кок много лет работал с криптой, но преступники смогли . Познакомившись с девушкой на сайте знакомств, он общался с ней несколько месяцев, причем тема инвестиций вообще не возникала в их разговорах. Однажды, впрочем, она поделилась информацией от друзей о новом удобном приложении для криптоинвестиций.
Она не могла разобраться с приложением и попросила о помощи, чтобы внести туда ее собственные (!) деньги. Кевин, конечно, помог, а заодно убедился, что приложение работает, а активы его пассии дорожают день ото дня. Тогда он решил вложить и свои деньги и с удовольствием наблюдал за высокой доходностью вложений. Неладное Кевин заподозрил, только когда девушка неожиданно пропала из всех мессенджеров и перестала отвечать на сообщения. Тут-то и оказалось, что вывести деньги из «инвестиционной системы» невозможно в принципе.
