Эксплойтёр BitKeep использовал фишинговые сайты для заманивания пользователей: отчет

Согласно отчету поставщика аналитики блокчейнов OKLink, эксплойт Bitkeep, произошедший 26 декабря, использовал фишинговые сайты, чтобы обманом заставить пользователей загружать поддельные кошельки.
В отчете говорится, что злоумышленник создал несколько поддельных веб-сайтов Bitkeep, содержащих APK-файл, похожий на версию 7.2.9 кошелька Bitkeep. Когда пользователи «обновляли» свои кошельки, загружая вредоносный файл, их приватные ключи или начальные слова были украдены и отправлены злоумышленнику.
【12-26 Сводка событий взлома #BitKeep】1/nПо данным OKLink, в краже Bitkeep участвовали 4 цепочки BSC, ETH, TRX, Polygon, OKLink, включая 50 хакерских адресов, а общий объем Txns достиг 31 миллиона долларов.
– OKLink (@OKLink) 26 декабря 2022 г.
В отчете не говорится, как вредоносный файл украл ключи пользователей в незашифрованном виде. Однако он мог просто попросить пользователей повторно ввести свои начальные слова в рамках «обновления», которое программное обеспечение могло зарегистрировать и отправить злоумышленнику.
Получив приватные ключи пользователей, злоумышленник снял все активы и перевел их на пять кошельков, находящихся под контролем злоумышленника. Оттуда они попытались обналичить часть средств с помощью централизованных бирж: 2 ETH и 100 USDC были отправлены на Binance, а 21 ETH — на Changenow.
Атака произошла через пять различных сетей: BNB Chain, Tron, Ethereum и Polygon, а мосты BNB Chain Biswap, Nomiswap и Apeswap использовались для соединения некоторых токенов с Ethereum. В общей сложности в ходе атаки было похищено криптовалюты на сумму более 13 миллионов долларов.
Пока не ясно, как злоумышленник убедил пользователей посетить поддельные сайты. Официальный сайт BitKeep предоставил ссылку, которая перенаправляла пользователей на официальную страницу Google Play Store для приложения, но на ней вообще не было APK-файла приложения.
Об атаке BitKeep впервые сообщил Peck Shield в 7:30 утра по UTC. В то время ее обвинили во «взломе версии APK». Этот новый отчет от OKLink предполагает, что взломанный APK пришел с вредоносных сайтов, и что официальный сайт разработчика не был взломан.