Pelaku eksploitasi BitKeep menggunakan situs phishing untuk menarik pengguna: Laporan

Eksploitasi Bitkeep yang terjadi pada 26 Desember menggunakan situs phishing untuk menipu pengguna agar mengunduh dompet palsu, menurut laporan oleh penyedia analisis blockchain OKLink.
Laporan tersebut menyatakan bahwa penyerang membuat beberapa situs web Bitkeep palsu yang berisi file APK yang tampak seperti versi 7.2.9 dari dompet Bitkeep. Ketika pengguna "memperbarui" dompet mereka dengan mengunduh file berbahaya, kunci pribadi atau kata kunci awal mereka dicuri dan dikirim ke penyerang.
【Ringkasan Acara Peretasan#BitKeep12-26】1/nMenurut data OKLink, pencurian bitkeep melibatkan 4 rantai BSC, ETH, TRX, Polygon, OKLink menyertakan 50 alamat peretas dan total volume Transaksi mencapai $31 juta.
— OKLink (@OKLink) 26 Desember 2022
Laporan tersebut tidak menjelaskan bagaimana berkas berbahaya tersebut mencuri kunci pengguna dalam bentuk yang tidak terenkripsi. Namun, kemungkinan berkas tersebut hanya meminta pengguna untuk memasukkan kembali kata kunci mereka sebagai bagian dari "pembaruan", yang dapat dicatat dan dikirimkan oleh perangkat lunak kepada penyerang.
Setelah penyerang mendapatkan kunci pribadi pengguna, mereka melepas semua aset yang dipertaruhkan dan mengurasnya ke dalam lima dompet di bawah kendali penyerang. Dari sana, mereka mencoba mencairkan sebagian dana menggunakan bursa terpusat: 2 ETH dan 100 USDC dikirim ke Binance, dan 21 ETH dikirim ke Changenow.
Serangan tersebut terjadi di lima jaringan berbeda: BNB Chain, Tron, Ethereum, dan Polygon. Jembatan BNB Chain, yaitu Biswap, Nomiswap, dan Apeswap, digunakan untuk menjembatani beberapa token ke Ethereum. Secara total, aset kripto senilai lebih dari $13 juta dicuri dalam serangan tersebut.
Belum jelas bagaimana penyerang meyakinkan pengguna untuk mengunjungi situs web palsu tersebut. Situs web resmi BitKeep menyediakan tautan yang mengarahkan pengguna ke halaman resmi Google Play Store untuk aplikasi tersebut, tetapi tidak memuat berkas APK aplikasi tersebut sama sekali.
Serangan BitKeep pertama kali dilaporkan oleh Peck Shield pukul 07.30 UTC. Saat itu, serangan tersebut diduga disebabkan oleh "peretasan versi APK". Laporan terbaru dari OKLink ini menunjukkan bahwa APK yang diretas berasal dari situs berbahaya, dan situs web resmi pengembang tidak diretas.