Wygląda na to, że osoba atakująca próbuje wypłacić środki za pośrednictwem Binance i Changenow.

Według raportu dostawcy analiz blockchain OKLink, exploit Bitkeep, który miał miejsce 26 grudnia, wykorzystywał witryny phishingowe w celu nakłonienia użytkowników do pobrania fałszywych portfeli.

Według raportu osoba atakująca stworzyła kilka fałszywych witryn Bitkeep, które zawierały plik APK, który wyglądał na wersję 7.2.9 portfela Bitkeep. Klucze prywatne lub słowa początkowe użytkowników zostały skradzione i przesłane atakującemu, gdy ten „zaktualizował” swoje portfele poprzez pobranie szkodliwego pliku.

Raport nie precyzuje, w jaki sposób złośliwy plik uzyskał niezaszyfrowane klucze użytkowników. Jednak w ramach „aktualizacji” mógł po prostu poprosić użytkowników o ponowne wprowadzenie słów kluczowych, które oprogramowanie mogło zarejestrować i wysłać atakującemu.

Po uzyskaniu kluczy prywatnych użytkowników atakujący wykradł wszystkie aktywa i przelał je do pięciu portfeli pod kontrolą atakującego. Następnie próbował wypłacić część środków za pośrednictwem scentralizowanych giełd, wysyłając 2 ETH i 100 USDC do Binance i 21 ETH do Changenow.

Atak miał miejsce w pięciu sieciach: BNB Chain, Tron, Ethereum i Polygon, a mosty BNB Chain Biswap, Nomiswap i Apeswap zostały użyte do połączenia niektórych tokenów z Ethereum. Atak ukradł ponad 13 milionów dolarów w kryptowalucie.

Nie jest jasne, w jaki sposób atakujący przekonał użytkowników do odwiedzenia fałszywych stron internetowych. Oficjalna strona internetowa BitKeep zawierała link, który przekierowywał użytkowników na oficjalną stronę aplikacji w sklepie Google Play, ale nie zawierała pliku APK.

Peck Shield po raz pierwszy poinformował o ataku BitKeep o 7:30 rano UTC. Początkowo obwiniano go o „hack wersji APK”. Według nowego raportu OKLink, zhakowany APK został uzyskany ze złośliwych stron internetowych, a oficjalna strona internetowa dewelopera nie została naruszona.