O explorador BitKeep usou sites de phishing para atrair usuários: Relatório

A exploração do Bitkeep que ocorreu em 26 de dezembro usou sites de phishing para enganar os usuários e fazê-los baixar carteiras falsas, de acordo com um relatório do provedor de análise de blockchain OKLink.
O relatório afirmou que o invasor configurou vários sites falsos do Bitkeep que continham um arquivo APK semelhante à versão 7.2.9 da carteira Bitkeep. Quando os usuários “atualizavam” suas carteiras baixando o arquivo malicioso, suas chaves privadas ou palavras-semente eram roubadas e enviadas ao invasor.
【12-26#BitKeepHack Event Summary】1/nDe acordo com dados da OKLink, o roubo do bitkeep envolveu 4 cadeias BSC, ETH, TRX, Polygon, OKLink incluiu 50 endereços de hackers e o volume total de Txns atingiu US$ 31 milhões.
-OKLink (@OKLink) 26 de dezembro de 2022
O relatório não disse como o arquivo malicioso roubou as chaves dos usuários de forma não criptografada. No entanto, ele pode simplesmente ter solicitado aos usuários que digitassem novamente suas palavras iniciais como parte da “atualização”, que o software poderia ter registrado e enviado ao invasor.
Depois que o invasor obteve as chaves privadas dos usuários, ele desempacotou todos os ativos e os esgotou em cinco carteiras sob o controle do invasor. A partir daí, eles tentaram sacar parte dos fundos usando exchanges centralizadas: 2 ETH e 100 USDC foram enviados para a Binance e 21 ETH foram enviados para a Changenow.
O ataque aconteceu em cinco redes diferentes: BNB Chain, Tron, Ethereum e Polygon, e as pontes BNB Chain Biswap, Nomiswap e Apeswap foram usadas para conectar alguns dos tokens ao Ethereum. No total, mais de US$ 13 milhões em criptomoedas foram levados no ataque.
Ainda não está claro como o invasor convenceu os usuários a visitar os sites falsos. O site oficial do BitKeep forneceu um link que direcionava os usuários à página oficial do aplicativo na Google Play Store, mas não contém nenhum arquivo APK do aplicativo.
O ataque BitKeep foi relatado pela primeira vez por Peck Shield às 7h30 UTC. Na época, a culpa foi de um “hack da versão APK”. Este novo relatório da OKLink sugere que o APK hackeado veio de sites maliciosos e que o site oficial do desenvolvedor não foi violado.