Gumamit ang BitKeep exploiter ng mga phishing site upang mang-akit ng mga user: Ulat

Ang pagsasamantala ng Bitkeep na naganap noong Dis. 26 ay gumamit ng mga phishing site para lokohin ang mga user na mag-download ng mga pekeng wallet, ayon sa sa isang ulat ng provider ng analytics ng blockchain na OKLink.

Nakasaad sa ulat na nag-set up ang attacker ng ilang pekeng website ng Bitkeep na naglalaman ng APK file na mukhang bersyon 7.2.9 ng Bitkeep wallet. Kapag ang mga user ay "nag-update" ng kanilang mga wallet sa pamamagitan ng pag-download ng nakakahamak na file, ang kanilang mga pribadong key o seed na salita ay ninakaw at ipinadala sa umaatake.

【12-26 #BitKeep Buod ng Kaganapan sa Pag-hack】
1 / n

Ayon sa data ng OKLink, ang bitkeep na pagnanakaw ay nagsasangkot ng 4 na chain BSC, ETH, TRX, Polygon, OKLink kasama ang 50 hacker address at ang kabuuang dami ng Txns ay umabot sa $31M.

— OKLink (@OKLink) Disyembre 26, 2022

Hindi sinabi ng ulat kung paano ninakaw ng malisyosong file ang mga susi ng mga user sa isang hindi naka-encrypt na form. Gayunpaman, maaaring hiniling lang nito sa mga user na muling ipasok ang kanilang mga seed na salita bilang bahagi ng "update," na maaaring nai-log at naipadala ng software sa umaatake.

Kapag nagkaroon na ng mga pribadong key ng user ang attacker, inalis nila ang stake ng lahat ng asset at itinago ang mga ito sa limang wallet sa ilalim ng kontrol ng attacker. Mula doon, sinubukan nilang i-cash out ang ilan sa mga pondo gamit ang mga sentralisadong palitan: 2 ETH at 100 USDC ang ipinadala sa Binance, at 21 ETH ang ipinadala sa Changenow.

Ang pag-atake ay nangyari sa limang magkakaibang network: BNB Chain, Tron, Ethereum, at Polygon, at BNB Chain bridges Biswap, Nomiswap, at Apeswap ay ginamit upang i-bridge ang ilan sa mga token sa Ethereum. Sa kabuuan, mahigit $13 milyon na halaga ng crypto ang kinuha sa pag-atake.

Nauugnay: Ang Defrost v1 hacker ay naiulat na nagbabalik ng mga pondo habang lumalabas ang mga paratang sa 'exit scam'

Hindi pa malinaw kung paano nakumbinsi ng attacker ang mga user na bisitahin ang mga pekeng website. Ang opisyal na website para sa BitKeep ay nagbigay ng isang link na nagpadala ng mga user sa opisyal na pahina ng Google Play Store para sa app, ngunit wala itong anumang APK file ng app.

Ang pag-atake ng BitKeep ay unang iniulat ni Peck Shield sa 7:30 am UTC. Noong panahong iyon, sinisi ito sa isang "pag-hack ng bersyon ng APK." Ang bagong ulat na ito mula sa OKLink ay nagmumungkahi na ang na-hack na APK ay nagmula sa mga nakakahamak na site, at ang opisyal na website ng developer ay hindi nalabag.