Sembra che l'aggressore stia tentando di prelevare fondi tramite Binance e Changenow.

Secondo un rapporto del fornitore di analisi blockchain OKLink, l'exploit Bitkeep avvenuto il 26 dicembre ha utilizzato siti di phishing per indurre gli utenti a scaricare portafogli falsi.

Secondo il rapporto, l'aggressore ha creato diversi siti Web Bitkeep falsi che contenevano un file APK che sembrava essere la versione 7.2.9 del portafoglio Bitkeep. Le chiavi private o le seedword degli utenti venivano rubate e inviate all'aggressore quando questi "aggiornava" i propri portafogli scaricando il file dannoso.

Il rapporto non ha specificato come il file dannoso abbia ottenuto le chiavi non crittografate degli utenti. Tuttavia, come parte dell'"aggiornamento", avrebbe potuto semplicemente chiedere agli utenti di reinserire le loro parole seed, che il software avrebbe potuto registrare e inviare all'attaccante.

Dopo aver ottenuto le chiavi private degli utenti, l'attaccante ha scoperto tutti gli asset e li ha prosciugati in cinque wallet sotto il suo controllo. Ha quindi tentato di incassare parte dei fondi tramite exchange centralizzati, inviando 2 ETH e 100 USDC a Binance e 21 ETH a Changenow.

L'attacco ha avuto luogo su cinque reti: BNB Chain, Tron, Ethereum e Polygon, con i bridge BNB Chain Biswap, Nomiswap e Apeswap utilizzati per collegare alcuni token a Ethereum. L'attacco ha rubato più di 13 milioni di $ in criptovaluta.

Non è chiaro come l'attaccante abbia convinto gli utenti a visitare i siti Web fasulli. Il sito Web ufficiale di BitKeep ha fornito un collegamento che ha portato gli utenti alla pagina ufficiale dell'app su Google Play Store, ma non contiene un file APK.

Peck Shield ha segnalato per la prima volta l'attacco BitKeep alle 7:30 UTC. Inizialmente è stato attribuito a un "hack della versione APK". Secondo un nuovo rapporto di OKLink, l'APK hackerato è stato ottenuto da siti Web dannosi e il sito Web ufficiale dello sviluppatore non è stato compromesso.