Фишинг лудост: Учениците крадат NFT за милиони долари — за да купуват кожи на Roblox
NFT дренажи като Inferno и Venom обикновено се използват за извършване на фишинг атаки, включващи компрометирани сървъри на Discord и Twitter акаунти.
Тези дренажи са били използвани за кражба на $73 милиона от повече от 32 000 портфейла – оставяйки след себе си 900 компрометирани Discord сървъра.
Ние се гмуркаме в мрачния подземен свят зад тази дейност и разглеждаме кой извършва атаките.
Понякога е добре да сме подозрителни към журналистите.
Вземете случая с Orbiter Finance. Миналия месец предполагаем журналист, който твърди, че е от сайт за крипто новини, се свърза с един от неговите модератори на Discord и ги помоли да попълнят формуляр. Модераторът не осъзнаваше, че този прост акт ще предаде контрола над техния Discord сървър.
След като влезе вътре, извършителят замрази контрола на други администратори върху сървъра и ограничи възможността членовете на общността да изпращат съобщения. Те публикуваха съобщение за фалшив еърдроп, изпращайки всички до фишинг уебсайт, предназначен да открадне техните NFT. Проработи. Като цяло те откраднаха NFT и токени на стойност един милион долара светкавично, докато екипът можеше само да наблюдава.
„Бяхме толкова загрижени“, каза Гуен, мениджър бизнес развитие в Orbiter Finance, който разказа случилото се в интервю. „Ако причиним щети на членовете на нашата общност, просто ще загубим доверието им.“
Атаката на Orbiter е само един скорошен пример в дълга поредица от експлойти, включващи източване на NFT и компрометирани сървъри на Discord или акаунти в Twitter. Данните, събрани от NFT анализатор и експерт по сигурността, известен като OKHotshot, показват, че най-малко 900 сървъра на Discord са били компрометирани от декември 2021 г. за извършване на фишинг атаки — със забележима възходяща тенденция през последните три месеца.
Подобни атаки са засегнали най-малко 32 000 портфейла на жертви през последните девет месеца, според данни, събрани от PeckShield и множество табла за управление на Dune Analytics от Scam Sniffer и други. Общо нападателите са откраднали NFT и токени на обща стойност 73 милиона долара.
Лицата зад атаките
Тези схеми често включват движение и търговия на възникващ черен пазар за код за източване.
Оркестраторите на фишинг атаките първо се насочват към Telegram и Discord, където могат да намерят канали, управлявани от разработчиците на множество различни видове дрейнери. Те се свързват с разработчика и купуват дрейнера, който е под формата на набор от кодове, които могат да бъдат интегрирани в уебсайтове, като обикновено се съгласяват да дадат 20-30% от приходите на разработчика.
След това те ще използват свои собствени методи — един от тях е описаният по-горе пример за сайт за фалшиви новини — за компрометиране на сървър на Discord или акаунт в Twitter и рекламиране на фалшив уебсайт, съдържащ кода за източване на NFT, за кражба на NFT и всичко, до което могат да се докопат.
Тоест, когато не са заети с домашните.
„95% от тях са деца под 18-годишна възраст и все още са в гимназията“, каза изследовател с псевдоним на сигурността, известен като Plum, който работи в екипа за доверие и безопасност в NFT marketplace OpenSea, добавяйки, че това е причината броят на атаките има тенденция да се увеличава по време на летните ваканции.
„Аз лично съм говорил с доста от тях и знам, че все още са в училище“, каза Плъм. „Виждал съм снимки и видеоклипове на различни от техните училища. Говорят за учителите си, как се провалят в часовете си или как трябва да си пишат домашните.“
Тези деца изглежда не полагат много усилия, за да скрият новооткритите си богатства.
„Ще си купят лаптоп, няколко телефона, обувки и ще похарчат огромни суми пари за Roblox. Всички те играят Roblox в по-голямата си част. Така че те ще купят най-готиното оборудване за техния аватар в Roblox, видеоигри, кожи и подобни неща“, каза Плъм.
Плъм добави, че те често купуват карти за подаръци с криптовалута на пазара за карти за подаръци Bitrefill, харчат хиляди долари за Uber Eats, купуват дизайнерски дрехи, плащат на хората да пишат домашните им вместо тях и дори купуват коли, които все още не могат да карат. И те също залагат.
„Те ще залагат $40 000 на поп на онлайн покер игра и ще го предават на всички останали играчи в разговор на Discord. Всички ще гледат как този човек играе тази покер игра“, казаха те.
Експлоататорите се опитват да прикрият следите си, като плащат на хора в страни с по-ниски доходи да използват личните им данни, за да се регистрират на борси, прикривайки следите, когато теглят, каза Плъм. Но те казаха, че поне някои от тях е трябвало да бъдат заловени досега, защото оставят след себе си достатъчно доказателства за действията си – ако не беше липсата на интерес от страна на правоприлагащите органи да ги хванат.
Що се отнася до това защо извършителите смятат, че могат да се разминат с подобни атаки, Плъм спекулира, че „те се чувстват непобедими, имат режим на Бог – никой не може да ги докосне“.
Докато държави като Северна Корея също участват във фишинг атаки, насочени към NFT, те обикновено използват свои собствени дренажи и са по-малко ангажирани с дренажи за продажба, каза Плъм. Що се отнася до тези, които създават източващите NFT — които в някои случаи извършват атаки, използвайки собствената си технология — те са малко по-неуловими, но въпреки това техните псевдонимни профили оставят ясна следа.
Възходът на NFT дренажите
Един от най-ранните източватели на NFT, Monkey, създаде своя канал в Telegram през август. Но едва през октомври започна наистина да става активен. През следващите няколко месеца тяхната технология е използвана за кражба на 2200 NFT според PeckShield на стойност 9,3 милиона долара и допълнителни 7 милиона долара в токени.
На 28 февруари Маймуната реши да им окачи шапката. В прощално съобщение неговият разработчик каза, че „всички млади киберпрестъпници не трябва да се губят в преследването на лесни пари“. Те казаха на клиентите си да използват конкурентен дренаж, известен като Venom.
Venom беше достоен конкурент. Това беше друг от най-ранните дренажи и с течение на времето беше използван за кражба на повече от 2000 NFT от над 15 000 жертви. Клиентите на дрейнера са използвали 530 фишинг сайта, за да извършат атаки, насочени към крипто проекти като Arbitrum, Circle и Blur – прибирайки общо $29 милиона чрез NFT, етер и различни токени.
Въпреки че Venom беше един от първите дрейнери на NFT, които станаха многоверижни, те не го направиха много добре, отбелязаха експерти по сигурността. Но техният беше първият дрейнер, използван за кражба на NFT на NFT пазара Blur.
Други конкуренти включваха Inferno, който беше използван за кражба на 9,5 милиона долара от 11 000 жертви и Pussy, който беше използван за кражба на 14 милиона долара от 3000 жертви. Клиенти на Angel, който произхожда от руски хакерски форум, го използваха, за да откраднат 1 милион долара от над 500 жертви под формата на NFT и различни токени – последно компрометирайки акаунта в Twitter на крипто портфейла Zerion.
И тогава дойде Пинк.
Любопитният случай с Пинк
На 25 октомври Fantasy, експерт по сигурността и съосновател на фирмата за крипто сигурност BlockMage, копаеше в Discord Server за Wallet Guard, крипто продукт, предназначен да защитава срещу фишинг атаки. Именно тук те се натъкнаха на друг акаунт, наречен BlockDev, който твърдеше, че е изследовател по сигурността и управляваше акаунт в Twitter, наречен Chainthreats, където публикуваха информация за сигурността за експлойти.
Докато Fantasy и BlockDev имаха някои разногласия, когато се срещнаха за първи път, с течение на времето те започнаха да говорят редовно. Тогава BlockDev излезе с идея: да използва крипто горещия портфейл, собственост на разработчика на Venom drainer – използвайки собствен API срещу него. BlockDev обясниха как са планирали да го направят и след това извършиха атаката, като откраднаха 14 000 долара криптовалута от разработчика на Venom. Fantasy наблюдаваше как се случва всичко и записа портфейла, който BlockDev използва за извършване на атаката.
В началото на годината нов NFT дрейнер излезе на сцената, наречен Pink. Този изглеждаше по-напреднал от предшествениците си. Той бързо стана популярен и беше използван за кражба на NFT в вълна от атаки. Едва когато Fantasy го разгледаха, те проследиха източника на средствата, използвани за настройка на дренажа, до портфейла на BlockDev — което предполага, че са едно и също лице.
„Погледнах назад към първоначалния източник на финансиране, както и към общата дейност между двата портфейла – те споделят сходна дейност. Изправих се срещу него и той не беше много доволен от това“, каза Фентъзи. „Той беше разочарован от мен като човек. Той смяташе, че може да ми се довери, което според мен беше много забавно.
В този момент предполагаемият изследовател, сега известен като Pink, изтри своите акаунти в Discord и Twitter и прекъсна връзките си с изследователи по сигурността като Fantasy и Plum.
Pink drainer продължи да се използва за по-големи експлойти през май и юни, включително в Discords of Orbiter Finance, LiFi, Flare и Evmos, както и Twitter акаунта на Steve Aoki и други.
Нападателите отново използваха тактиката да се представят за журналисти, които се обръщат, за да дадат интервюта, и често казваха на модераторите на Discord или който и да е целта им, да маркират определена уеб страница. Според Scam Sniffer, тази ключова стъпка е как те в крайна сметка проникват в сървъри.
Plum and Fantasy отбелязаха, че Pink drainer успява да избегне защити, като разширения на портфейла, които са предназначени да предотвратят подобни кражби. Те казаха, че Pink е успял да заобиколи разширенията на портфейла Pocket Universe и Wallet Guard. Те също така внедриха начин за кражба на токени и NFT едновременно на Blur, което описаха като значително развитие.
Що се отнася до това какво може да се направи за защита срещу подобни атаки, Plum каза, че фокусираните върху сигурността разширения на портфейла все още са добри за защита на портфейлите като цяло. Те отбелязаха, че е добра практика да се използват множество портфейли и да се съхраняват големи суми средства в студени портфейли и добавиха, че също така е добре да се отменят одобренията – когато портфейлът дава разрешение на блокчейна да взаимодейства с определен токен – ако въпросният токен не се използва активно.
„Не се настройвайте така, че една грешка – ако сте разсеяни от крясъците на децата си – ви кара да загубите всичко, което имате“, каза Плъм.
