El explotador de BitKeep utilizó sitios de phishing para atraer a los usuarios: informe

El exploit Bitkeep que ocurrió el 26 de diciembre utilizó sitios de phishing para engañar a los usuarios para que descargaran billeteras falsas, según un informe del proveedor de análisis de blockchain OKLink.
El informe indicó que el atacante creó varios sitios web falsos de Bitkeep que contenían un archivo APK que se parecía a la versión 7.2.9 de la billetera Bitkeep. Cuando los usuarios "actualizaron" sus billeteras descargando el archivo malicioso, sus claves privadas o palabras iniciales fueron robadas y enviadas al atacante.
【12-26 Resumen del evento de pirateo de #BitKeep】 1/n Según los datos de OKLink, el robo de bitkeep involucró a 4 cadenas BSC, ETH, TRX, Polygon, OKLink incluyó 50 direcciones de piratas informáticos y el volumen total de Txns alcanzó los 31 millones de dólares.
– OKLink (@OKLink) 26 de diciembre de 2022
El informe no dice cómo el archivo malicioso robó las claves de los usuarios sin cifrar. Sin embargo, es posible que simplemente haya pedido a los usuarios que volvieran a ingresar sus palabras iniciales como parte de la "actualización", que el software podría haber registrado y enviado al atacante.
Una vez que el atacante tuvo las claves privadas de los usuarios, quitó todos los activos y los vació en cinco billeteras bajo el control del atacante. A partir de ahí, intentaron retirar algunos de los fondos mediante intercambios centralizados: se enviaron 2 ETH y 100 USDC a Binance, y 21 ETH a Changenow.
El ataque se produjo en cinco redes diferentes: BNB Chain, Tron, Ethereum y Polygon, y los puentes de BNB Chain, Biswap, Nomiswap y Apeswap, se utilizaron para unir algunos de los tokens a Ethereum. En total, en el ataque se incautaron más de 13 millones de dólares en criptomonedas.
Aún no está claro cómo el atacante convenció a los usuarios para que visitaran los sitios web falsos. El sitio web oficial de BitKeep proporcionó un enlace que dirigía a los usuarios a la página oficial de Google Play Store para la aplicación, pero no contiene ningún archivo APK de la aplicación.
Peck Shield informó por primera vez del ataque BitKeep a las 7:30 a. m. UTC. En ese momento, se atribuyó el hecho a un “hackeo de la versión APK”. Este nuevo informe de OKLink sugiere que el APK pirateado proviene de sitios maliciosos y que el sitio web oficial del desarrollador no ha sido violado.