Penyerang tampaknya mencoba menarik dana melalui Binance dan Changenow.

Menurut laporan oleh penyedia analisis blockchain OKLink, eksploitasi Bitkeep yang terjadi pada tanggal 26 Desember menggunakan situs phishing untuk mengelabui pengguna agar mengunduh dompet palsu.

Menurut laporan tersebut, penyerang membuat beberapa situs web Bitkeep palsu yang berisi file APK yang tampaknya merupakan versi 7.2.9 dari dompet Bitkeep. Kunci pribadi atau kata kunci milik pengguna dicuri dan dikirim ke penyerang saat mereka "memperbarui" dompet mereka dengan mengunduh file berbahaya tersebut.

Laporan tersebut tidak menjelaskan secara rinci bagaimana file berbahaya tersebut memperoleh kunci pengguna yang tidak terenkripsi. Namun, sebagai bagian dari "pembaruan", file tersebut dapat meminta pengguna untuk memasukkan kembali kata-kata awal mereka, yang dapat dicatat dan dikirim oleh perangkat lunak kepada penyerang.

Setelah memperoleh kunci pribadi pengguna, penyerang mengambil semua aset dan mengurasnya ke dalam lima dompet di bawah kendali penyerang. Mereka kemudian mencoba mencairkan sebagian dana melalui bursa terpusat, dengan mengirimkan 2 ETH dan 100 USDC ke Binance dan 21 ETH ke Changenow.

Serangan tersebut terjadi di lima jaringan: BNB Chain, Tron, Ethereum, dan Polygon, dengan jembatan BNB Chain Biswap, Nomiswap, dan Apeswap yang digunakan untuk menghubungkan beberapa token ke Ethereum. Serangan tersebut mencuri lebih dari $13 juta dalam bentuk mata uang kripto.

Tidak jelas bagaimana penyerang membujuk pengguna untuk mengunjungi situs web palsu tersebut. Situs web resmi BitKeep menyediakan tautan yang mengarahkan pengguna ke halaman Google Play Store resmi aplikasi tersebut, tetapi tidak berisi berkas APK.

Peck Shield pertama kali melaporkan serangan BitKeep pada pukul 7:30 pagi UTC. Awalnya serangan ini disebabkan oleh "peretasan versi APK." Menurut laporan baru dari OKLink, APK yang diretas diperoleh dari situs web berbahaya, dan situs web resmi pengembang tidak diretas.