Bericht: BitKeep-Exploiter nutzte Phishing-Sites, um Benutzer anzulocken

Der Angreifer versucht offenbar, Geld über Binance und Changenow abzuheben.
Laut einem Bericht des Blockchain-Analyseanbieters OKLink wurden beim Bitkeep-Exploit vom 26. Dezember Phishing-Sites verwendet, um Benutzer zum Herunterladen gefälschter Wallets zu verleiten.
Dem Bericht zufolge erstellte der Angreifer mehrere gefälschte Bitkeep-Websites, die eine APK-Datei enthielten, die anscheinend Version 7.2.9 der Bitkeep-Wallet war. Die privaten Schlüssel oder Seed-Wörter der Benutzer wurden gestohlen und an den Angreifer gesendet, als sie ihre Wallets durch Herunterladen der bösartigen Datei „aktualisierten“.
Der Bericht gab keine Auskunft darüber, wie die Schaddatei an die unverschlüsselten Schlüssel der Benutzer gelangte. Im Rahmen des „Updates“ hätte sie die Benutzer jedoch einfach zur erneuten Eingabe ihrer Seed-Wörter auffordern können. Diese hätte die Software dann protokollieren und an den Angreifer senden können.
Nachdem der Angreifer die privaten Schlüssel der Benutzer erlangt hatte, entwendete er sämtliche Vermögenswerte und verteilte sie auf fünf Wallets unter seiner Kontrolle. Anschließend versuchte er, einen Teil der Gelder über zentralisierte Börsen auszuzahlen, indem er 2 ETH und 100 USDC an Binance und 21 ETH an Changenow schickte.
Der Angriff fand über fünf Netzwerke statt: BNB Chain, Tron, Ethereum und Polygon. Die BNB-Chain-Brücken Biswap, Nomiswap und Apeswap wurden genutzt, um einige der Token mit Ethereum zu verbinden. Bei dem Angriff wurden Kryptowährungen im Wert von über 13 Millionen US-Dollar gestohlen.
Es ist unklar, wie der Angreifer Nutzer dazu brachte, die gefälschten Websites zu besuchen. Die offizielle BitKeep-Website enthielt zwar einen Link, der zur offiziellen Google Play Store-Seite der App führte, dort war jedoch keine APK-Datei enthalten.
Peck Shield meldete den BitKeep-Angriff erstmals um 7:30 Uhr UTC. Zunächst wurde ein Hack der APK-Version dafür verantwortlich gemacht. Einem neuen Bericht von OKLink zufolge stammte die gehackte APK von bösartigen Websites; die offizielle Website des Entwicklers war nicht kompromittiert.
 