G. Love, amerykański muzyk z Filadelfii, podobno stracił około 5,92 BTC o wartości około 420 000 USD po tym, jak padł ofiarą dobrze spreparowanego schematu phishingowego z wykorzystaniem fałszywej aplikacji portfela Ledger w Apple App Store.
Publicznie udostępnione szczegóły wskazują, że artysta pobrał zhakowaną wersję tego, co uważano za legalną aplikację do konfiguracji portfela sprzętowego. W ramach procesu instalacji został poproszony o wpisanie swojej frazy seed składającej się z 24 słów, która jest kluczowym elementem każdego portfela kryptowalutowego dającym pełny dostęp.
Po wprowadzeniu frazy seed haker natychmiast przejął kontrolę nad portfelem i błyskawicznie wyprowadził środki. To podkreśla niepokojący trend coraz bardziej realistycznych ataków phishingowych, które mogą oszukać nawet doświadczonych użytkowników przez zaufane przez większość platformy.
G. Love udostępnił następujący wpis i zdjęcia ze swojego doświadczenia w mediach społecznościowych, ostrzegając innych użytkowników przed nieoficjalnymi aplikacjami portfeli.
Atakujący wyprowadzają środki użytkowników w czasie rzeczywistym wykorzystując exploit frazy seed
Ten rodzaj ataku jest druzgocącym przypomnieniem kluczowej zasady bezpieczeństwa kryptowalut: nie udostępniaj, a zwłaszcza nie wprowadzaj frazy seed do żadnej aplikacji, która nie jest powiązana z sprawdzonym urządzeniem sprzętowym.
W tym przypadku fałszywa aplikacja naśladowała legalny proces wdrażania portfela Ledger, tworząc tym samym fałszywe poczucie bezpieczeństwa. Poprzez naśladowanie interfejsu i instrukcji używanych przez legalne oprogramowanie, atakujący byli w stanie nakłonić użytkowników do ignorowania ostrzeżeń o potencjalnych zagrożeniach i wydobyć wrażliwe informacje.
Skompromitowanie frazy seed oznaczało, że nie była potrzebna żadna dalsza uwierzytelnianie. Atakujący mieli pełny dostęp do portfela i byli w stanie przenieść 5,92 BTC zaledwie chwilę później.
Transakcji kryptowalutowych nie można cofnąć jak tradycyjnych przelewów bankowych, więc po przeniesieniu środków są one praktycznie nieodwracalne. Ten fakt sprawia, że phishing frazy seed jest jednym z najbardziej szkodliwych wektorów ataku w kryptowalutach.
ZachXBT śledzi środki do adresu powiązanego z KuCoin
Śledczy on-chain o pseudonimie ZachXBT prześledził ścieżkę transakcji i odkrył, że środki zostały wysłane przez adres powiązany z KuCoin.
Jego analiza wskazuje, że atakujący mógł użyć infrastruktury giełdy, aby ukryć transfer środków, metoda często używana w celu utrudnienia śledzenia i zmniejszenia prawdopodobieństwa odzyskania.
ZachXBT przedstawił szczegóły dotyczące przepływu transakcji i możliwych punktów końcowych.
Głębsza analiza pokazuje, że pieniądze mogły przejść przez liczne adresy depozytowe, prawdopodobnie powiązane z usługami natychmiastowej wymiany umożliwiającymi szybką konwersję i wypłatę bez silnej weryfikacji tożsamości.
Nadzór nad giełdami kwestionowany w obliczu licznych luk w zgodności
Oprócz śledzenia środków, ZachXBT również podniósł pytania o systemowe problemy dotyczące scentralizowanych giełd w zakresie zgodności i monitorowania nielegalnej działalności.
Platformy takie jak KuCoin, które przechowują pieniądze innych ludzi, zostały dodane dla pewności: „Zawsze istnieje obawa, że złe podmioty wykorzystują konta brokerskie lub osobiste do prowadzenia operacji prania pieniędzy" – powiedział. I, jak stwierdził w swoich oświadczeniach, te konta są czasami używane jako kanały do przenoszenia skradzionych aktywów bez przyciągania wystarczającej kontroli.
Jednym z wyzwań dla działań egzekucyjnych jest to, że jeśli istnieje wiele adresów depozytowych, może to utrudnić śledzenie środków, ponieważ atakujący mogą rozprowadzić ukryte środki, a następnie przenieść je lub wymienić przez wiele punktów wejścia.
To szczególnie podkreśla większy problem w przestrzeni kryptowalut: chęć bezpieczeństwa a prywatność użytkownika. Giełdy są kluczowe dla płynności i dostępu, ale brak zgodności może łatwo umożliwić złym podmiotom działanie.
Rosnące ryzyko fałszywych aplikacji w zaufanych środowiskach
Jednak obecność takich w Apple App Store stawia poważne pytania dotyczące bezpieczeństwa na poziomie platformy i poziomu przeglądu aplikacji.
Dla wielu użytkowników oficjalne sklepy z aplikacjami są uważane za bezpieczne przestrzenie. Jednak ten incydent sugeruje, że nawet wyselekcjonowane rynki są podatne na wyrafinowane oszustwa. Atakujący stali się bardziej wykwalifikowani w obchodzeniu procesów przeglądu poprzez projektowanie aplikacji, które wyglądają i działają jak legalne usługi.
Ten trend jest szczególnie niebezpieczny dla nowszych lub mniej obeznanych z technologią użytkowników, którzy często, szczególnie podczas pobierania oprogramowania, polegają na sygnałach zaufania sklepu z aplikacjami.
Biorąc pod uwagę reputację marki Ledger w zakresie bezpieczeństwa portfeli sprzętowych, często byli oni celem kampanii phishingowych. Takie ataki wykorzystują lukę między oczekiwanym zachowaniem a rzeczywistymi praktykami bezpieczeństwa, szczególnie w zakresie zarządzania frazą seed.
Lekcje dla użytkowników kryptowalut i dokąd zmierzamy
Historia G. Love'a wskazuje na poważne przypomnienie o przywileju korzystania z samodzielnej ochrony przed cyberatakami w świecie kryptowalut. Chociaż podstawowa technologia blockchain jest bezpieczna, słabości na poziomie użytkownika stanowią słabe ogniwo.
Nawet najlepsze praktyki, takie jak sprawdzanie autentyczności aplikacji, niepobieranie aplikacji firm trzecich i nigdy niewprowadzanie frazy seed poza urządzeniem sprzętowym, są niezbędne. Jednak użytkownicy powinni weryfikować z oficjalnymi źródłami, a także używać bezpośrednich linków z zweryfikowanych stron internetowych firm podczas konfigurowania portfeli.
Jednocześnie ta sytuacja wymaga jeszcze większej odpowiedzialności w całym ekosystemie, od operatorów sklepów z aplikacjami po scentralizowane giełdy. Takie ataki można złagodzić poprzez ulepszone procesy weryfikacji i mechanizmy reagowania, a także lepsze ramy zgodności.
W miarę jak adopcja kryptowalut nadal rośnie, rośnie również raport o wyrafinowaniu zagrożeń. Branża musi znaleźć równowagę między otwartym dostępem a wystarczającą ochroną konsumentów przed coraz bardziej wyrafinowanymi oszustwami.
Ostatecznie ta sprawa jest pouczająca: przykładuje prosty fakt w krypto-świecie, gdzie posiadanie kontroli nad kluczami oznacza, że masz kontrolę nad swoimi środkami, jeśli stracisz tę kontrolę (nawet na krótki okres), szkoda może być nieodwracalna.
Ujawnienie: To nie jest porada handlowa ani inwestycyjna. Zawsze przeprowadzaj własne badania przed zakupem jakiejkolwiek kryptowaluty lub inwestowaniem w jakiekolwiek usługi.
Śledź nas na Twitterze @nulltxnews aby być na bieżąco z najnowszymi wiadomościami o kryptowalutach, NFT, AI, cyberbezpieczeństwie, przetwarzaniu rozproszonym i Metaverse!
Źródło: https://nulltx.com/musician-loses-420k-in-bitcoin-after-fake-ledger-app-scam-exposes-wallet-vulnerabilities/
