Криптоінвестор втратив $200 000 через складну схему злому: деталі інциденту

Відомий криптотрейдер під нікнеймом Unihax0r повідомив про суттєві збитки, спричинені кібератакою. За його словами, він втратив приблизно 200 000 доларів США (близько 8 000 000 ₴ за поточним курсом). Трейдер висловив припущення, що причиною стала компрометація приватного ключа, а не будь-які вразливості смарт-контрактів чи ненавмисне схвалення токенів.

Деталі кібератаки

Як зазначив Unihax0r, зловмисники діяли оперативно, здійснивши атаку вручну протягом 10–30 хвилин. В результаті було спустошено два гаманці, що використовувалися у трьох різних блокчейн-мережах: Ethereum, Base та BSC. Найбільші втрати припали на токени POD у мережі Base (125 000 $ ≈ 5 000 000 ₴), токени FHE у мережі BSC (21 000 $ ≈ 840 000 ₴), а також ефір та невелика кількість токена SAT1. Цікаво, що для виведення залишків токенів зловмисники навіть поповнили один з Ethereum-гаманців невеликою сумою ETH. Unihax0r вважає це свідченням високої кваліфікації операторів, які мали повний контроль над підписанням транзакцій.

Розслідування та свідчення

Unihax0r надав адресу гаманця в мережі Base (0xF7cFFC27732a5C9c4E2D592F3E33435F8dDb019A), на якому зберігається значна частина коштів, що потрапили під контроль нападників. Трейдер також поділився наступною інформацією щодо інциденту:

• Два гаманці були виведені з ладу в кількох мережах (ETH/Base/BSC).
• Обидва гаманці були спочатку створені через Telegram-бот SIGMA.
• Згодом гаманці були імпортовані в Telegram-бот для торгівлі та аналітики GMGN та браузерний гаманець Rabby Wallet.
• Злом стався вручну протягом приблизно 10 хвилин.
• Жодних підозрілих сесій у Telegram не виявлено.
• Інші гаманці в Rabby та Jupiter, які не були створені через SIGMA, залишилися недоторканими.

Ймовірні вектори атаки

Unihax0r повідомив, що обидва скомпрометовані гаманці були створені через Telegram-бот SIGMA, який підтримує блокчейни Ethereum, BSC, Base, Solana, Avalanche та інші. Згодом трейдер імпортував ці гаманці до Telegram-боту GMGN для торгівлі та аналітики, а також до браузерного гаманця Rabby Wallet. Важливо, що інші гаманці, підключені до Rabby та Jupiter, але не створені через SIGMA, залишилися в безпеці. Користувачі у соціальній мережі X (раніше Twitter) висловили припущення, що атака могла бути реалізована через фішинг у Telegram. Серед можливих векторів називалися:

• Шкідливі CAPTCHA-боти, що з’являються під час взаємодії з SIGMA.
• Шкідливе програмне забезпечення для викрадення даних.
• Компрометація пристрою користувача.
• Шкідливі розширення для браузера.
• Підроблений робочий процес GMGN.

Unihax0r зазначив, що не виявив підозрілих сесій у своєму обліковому записі Telegram. Він пояснив, що CAPTCHA-боти часто маскуються під етапи верифікації. Взаємодія з фальшивою CAPTCHA може призвести до збору токенів сесій, встановлення шкідливого ПЗ, яке замінює вміст буфера обміну, або прямого викрадення приватних ключів, що зберігаються у Telegram. Спеціалісти компанії CTM360 нещодавно підтвердили тенденцію до зростання використання Telegram-ботів та вбудованих міні-застосунків для крадіжок криптовалют. За їхніми даними, зловмисники активно використовують платформу FEMITBOT, яка дозволяє створювати фейкові Telegram-боти для різноманітних тем, включаючи криптовалюти та фінанси.

Порада від Business News:

Ця новина підкреслює зростаючі ризики, пов’язані з використанням децентралізованих інструментів та платформ у криптосвіті. Вона нагадує про необхідність ретельної перевірки будь-яких ботів, застосунків чи сервісів, особливо тих, що вимагають доступу до приватних ключів або керування гаманцями. Особливу увагу слід приділяти безпеці при використанні популярних месенджерів, таких як Telegram, де можуть поширюватися шкідливі програми та фішингові схеми.

Оригінал статті: cryptocurrency.tech