El atacante parece estar intentando retirar fondos a través de Binance y Changenow.
Según un informe del proveedor de análisis de blockchain OKLink, el exploit Bitkeep que ocurrió el 26 de diciembre utilizó sitios de phishing para engañar a los usuarios para que descargaran billeteras falsas.
Según el informe, el atacante creó varios sitios web falsos de Bitkeep que contenían un archivo APK que parecía ser la versión 7.2.9 de la billetera Bitkeep. Las claves privadas o las palabras iniciales de los usuarios fueron robadas y enviadas al atacante cuando "actualizaron" sus billeteras descargando el archivo malicioso.
El informe no especifica cómo el archivo malicioso obtuvo las claves no cifradas de los usuarios. Sin embargo, como parte de la “actualización”, podría simplemente haber pedido a los usuarios que volvieran a ingresar sus palabras iniciales, que el software podría haber registrado y enviado al atacante.
Después de obtener las claves privadas de los usuarios, el atacante despojó de todos los activos y los vació en cinco billeteras bajo su control. Luego intentaron retirar algunos de los fondos a través de intercambios centralizados, enviando 2 ETH y 100 USDC a Binance y 21 ETH a Changenow.
El ataque tuvo lugar en cinco redes: BNB Chain, Tron, Ethereum y Polygon, con los puentes de BNB Chain Biswap, Nomiswap y Apeswap utilizados para conectar algunos de los tokens a Ethereum. El ataque robó más de 13 millones de dólares en criptomonedas.
No está claro cómo el atacante convenció a los usuarios para que visitaran los sitios web falsos. El sitio web oficial de BitKeep proporcionó un enlace que llevaba a los usuarios a la página oficial de Google Play Store de la aplicación, pero no contiene un archivo APK.
Peck Shield informó por primera vez sobre el ataque de BitKeep a las 7:30 a. m. UTC. Inicialmente se atribuyó a un “truco de la versión APK”. Según un nuevo informe de OKLink, el APK pirateado se obtuvo de sitios web maliciosos y el sitio web oficial del desarrollador no se vio comprometido.