Судя по всему, злоумышленник пытается вывести средства через Binance и Changenow.

Согласно отчету поставщика аналитики блокчейнов OKLink, эксплойт Bitkeep, произошедший 26 декабря, использовал фишинговые сайты, чтобы обманом заставить пользователей загрузить поддельные кошельки.

Согласно отчету, злоумышленник создал несколько поддельных веб-сайтов Bitkeep, содержащих APK-файл кошелька Bitkeep версии 7.2.9. Приватные ключи или начальные слова пользователей были украдены и отправлены злоумышленнику, когда они «обновили» свои кошельки, загрузив вредоносный файл.

В отчете не уточняется, как вредоносный файл получил незашифрованные ключи пользователей. Однако в рамках «обновления» оно могло просто попросить пользователей повторно ввести начальные слова, которые программа могла бы записать и отправить злоумышленнику.

Получив приватные ключи пользователей, злоумышленник вывел все активы и перевел их в пять кошельков, находящихся под контролем злоумышленника. Затем они попытались обналичить часть средств через централизованные биржи, отправив 2 ETH и 100 USDC на Binance и 21 ETH на Changenow.

Атака произошла в пяти сетях: BNB Chain, Tron, Ethereum и Polygon, при этом мосты BNB Chain Biswap, Nomiswap и Apeswap использовались для подключения некоторых токенов к Ethereum. В результате атаки было украдено более 13 миллионов долларов в криптовалюте.

Неясно, как злоумышленник убедил пользователей посетить поддельные сайты. Официальный сайт BitKeep предоставил ссылку, которая привела пользователей на официальную страницу приложения в Google Play Store, но она не содержит APK-файла.

Пек Шилд впервые сообщил об атаке BitKeep в 7:30 утра по всемирному координированному времени. Первоначально в этом обвиняли «взлом версии APK». Согласно новому отчету OKLink, взломанный APK был получен с вредоносных сайтов, а официальный сайт разработчика не был скомпрометирован.