Когда PinkDrainer, хакерская банда, пристрастившаяся к воровству, прекратит частые фишинговые атаки?

С начала 2024 года рынок хорошо вырос, и рынок показал высокие результаты, и большинство пользователей Web3 могут ослабить бдительность в отношении потенциальных хакерских инцидентов, что приведет к потере личных активов. С развитием технологии Web3 методы мошенничества в кругу криптоактивов также обостряются, и «фишинг» также стал распространенной тактикой, используемой хакерами.

Итак, что же такое фишинговая атака? Почему хакеры могут похищать активы с помощью фишинговых атак и одновременно обвинять другие платформы? Как конкретно происходит фишинговая атака DeGame? Кто нападающий? Нанесет ли распространение фишинговых атак тяжелый удар по отрасли? Ниже приведена исчерпывающая интерпретация для читателей.

Фишинговые атаки, которые радуют хакеров: берешь активы в руки, и весь горшок несет участник проекта

Проще говоря, «фишинг» — это тактика киберспуфинга, которая нацелена на пользователей криптовалют путем создания поддельных веб-сайтов, маскирующихся под официальные веб-сайты, для кражи авторизации, подписей и криптоактивов пользователей. Большинство фишинговых атак похищаются хакерами, которые публикуют фишинговые ссылки в своих официальных твитах, чтобы обманом заставить пользователей перейти по ссылкам и взаимодействовать с кошельками для прямой кражи их активов.

С декабря прошлого года фишинговым атакам подвергся ряд проверенных Web3-проектов, в том числе протокол децентрализованных финансов Set Protocol, платформа DeFi-кредитования Compound, 15 марта был украден аккаунт издателя игр платформы Activision Blizzard X и выпущена криптоскам-ссылка на экологический токен Solana, а 19 марта официальный Twitter-аккаунт TON заподозрили в краже и обнародовали адрес предпродажи мем-монеты.

В отличие от предыдущих методов хакерской атаки, как только злоумышленнику удастся украсть с помощью «фишинга», жертва и большинство ничего не подозревающих пользователей будут ошибочно думать, что это платформа защищает и крадет, поэтому они будут использовать различные способы защиты своих прав от платформы.

Психология и поведение пользователей по возмещению убытков заслуживают сочувствия и понимания, но в этом процессе платформа, которая лежит на спине пистолета без причины, также является жертвой, и в случае сложного спора платформе, которая также является жертвой, нужно потратить больше энергии и средств, чтобы доказать свою невиновность, и в то же время ей также нужно приложить все усилия, чтобы успокоить пользователя-жертву и оказать помощь в расследовании и взыскании убытков.

Если фишингу будет позволено процветать, фундамент доверия в отрасли продолжит рушиться, и любая проектная команда, занимающаяся созданием экосистемы Web3, столкнется с огромным влиянием.

Недавно DeGame быстро и активно разобралась с кризисом после фишинговой атаки, и предложила SlowMist вмешаться в расследование

Недавно платформа агрегатора игр Web3 DeGame также подверглась серьезной фишинговой атаке. Пользователь по незнанию перешел по фишинговой ссылке, размещенной в официальном твите DeGame с украденным аккаунтом, и понес убытки.

После инцидента пользователь ошибочно посчитал, что DeGame охраняет и ворует во время процесса, поэтому он предал инцидент огласке в Twitter, а ряд лидеров мнений, СМИ и значительное количество пользователей продолжали распространять этот вопрос, не зная об этом, что негативно сказалось на имидже бренда DeGame и репутации платформы. В этом случае DeGame все же проявила инициативу связаться с жертвой и договориться с ней о компенсации.

После инцидента DeGame запустила план действий в чрезвычайных ситуациях и предупредила пользователей о рисках, а также всесторонне усилила технологию кибербезопасности платформы. Чтобы доказать свою невиновность и помочь жертве вернуть активы, DeGame взяла на себя инициативу пригласить Slowfog, стороннее агентство по аудиту безопасности в отрасли, для расследования этого вопроса. Результаты расследования показали, что инцидент был злонамеренной атакой стороннего хакера, а сама DeGame также стала жертвой.

Согласно результатам расследования SlowMist, история фишинговой атаки на DeGame выглядит примерно следующим образом:

1. С 4:00 до 9:30 утра 14 марта официальный аккаунт DeGame X (@degame_l2y) отправлял 4 твита с аирдропом в день, и все ссылки на аирдропы в твитах были имитацией официальных фишинговых сайтов DeGame. Один пользователь сообщил, что потерял около 57 PufETH после того, как нажал на ссылку аирдропа;

2. Официальные операторы DeGame в Twitter обнаружили фишинговую ссылку на платформе после 9:30 утра и удалили ее в кратчайшие сроки. В то же время DeGame синхронизировал новость со всеми пользователями через официальные социальные сети и сообщество, а также выпустил напоминание, и ни один другой пользователь не сообщил о краже активов;

3. Пользователь-жертва просмотрел ссылку фишингового сайта и пояснительный текст, опубликованный злоумышленником в период аномального периода времени официального аккаунта DeGame в Twitter, и он неосознанно подумал, что ссылка действительно является мероприятием по раздаче токенов, организованным официальным лицом DeGame и другими участниками проекта, и перешел по ссылке и последовал заданным подсказкам злоумышленника, а затем потерял свои активы;

4. Отчет Slow Mist показывает, что после того, как пользователь нажмет на фишинговый сайт для подключения к кошельку, сайт автоматически определит, есть ли активы в адресе кошелька. Если есть активы, подпись транзакции Permit Token Approval будет отображаться напрямую. В отличие от обычных подписей транзакций, эта подпись является полностью оффчейн, полностью анонимной и, скорее всего, будет использоваться в ненадлежащих целях. Кроме того, пользователям не требуется предварительная авторизация для взаимодействия с контрактом приложения путем проставления подписи авторизации (Permit).

5. В данном случае фишинговый хакер получил подпись транзакции одобрения токена разрешения, авторизованной украденным пользователем, на 0xd560b5325d6669aab86f6d42e156133c534cde90 адреса фишингового контракта и отправил разрешение в транзакции атаки, чтобы вызвать устройство для получения авторизации токена и перевода украденных средств. В отличие от этого, в аирдропе, проводимом DeGame и командой проекта, все транзакции будут находиться в цепочке, а ссылка авторизации транзакций с активами строго контролируется, что невозможно при обычных обстоятельствах.

Медленная проверка туманом: Рецидивист Pink Drainer предоставляет инструменты для фишинговых злоумышленников и получает комиссию в размере 25%

Результаты отчета, опубликованного Slow Mist, показывают, что это злонамеренная атака с четкой целью и планированием, и DeGame не подозревается в самокраже. Результаты работы Slow Mist выглядят следующим образом:

О. Инструмент фишинговых ссылок предоставлен хакерской бандой Pink Drainer, которая является заядлым нарушителем в отрасли. По данным обозревателя блоков сети ETH Etherscan, можно увидеть, что исходный адрес украденной транзакции помечен как PinkDrainer: Wallet 1, то есть адрес кошелька номер 1 фишинговой банды PinkDrainer;

Б. Около 25% украденных средств в этой украденной транзакции были переведены на PinkDrainer: Wallet 2, адрес кошелька номер 2 фишинговой банды PinkDrainer. Согласно разведданным команды SlowMist AML о фишинговой банде PinkDrainer, хакеры предполагаемых исполнителей фишинга дали PinkDrainer долю после использования фишинговых инструментов фишинговой банды PinkDrainer;

C. Создателем контракта с адресом фишингового контракта 0xd560b5325d6669aab86f6d42e156133c534cde90 авторизованным украденным пользователем также является PinkDrainer: Wallet 1.

Следует отметить, что Pink Drainer — это вредоносное ПО как услуга (MaaS), которое позволяет пользователям быстро настраивать вредоносные веб-сайты и получать незаконные активы через вредоносное ПО. Компания Beosin, специализирующаяся на безопасности блокчейна, отметила, что фишинговый URL-адрес использует инструмент кражи криптокошелька, чтобы обманом заставить пользователей подписывать запросы. Как только запрос будет подписан, злоумышленник сможет перевести NFT и токены ERC-20 с кошелька жертвы. Pink Drainer взимает с пользователей плату за украденные активы, которые, как сообщается, могут составлять до 30% от украденных активов. Команда Pink Drainer печально известна громкими атаками на такие платформы, как Twitter и Discord, включая такие инциденты, как Evomos, Pika Protocol и Orbiter Finance.

Исходя из вышеизложенной информации, можно сделать следующие выводы:

В этом фишинговом инциденте PinkDrainer является поставщиком инструмента, 0xe5621a995c80387a4f87978477be0dcf85cd3289 является хакерским адресом разработчика фишинга, и после успешного фишинга разработчик фишинга передаст около 25% доли поставщику инструмента.

По мере того, как рынок набирает обороты, инцидент с возвращением фишинга может стать более распространенным, и большинству проектов и пользователей нужно быть осторожными в этом вопросе

В настоящее время исполнители и сообщники этой злобной атаки все еще находятся на свободе, и их злодеяния будут продолжаться под побуждением к огромным выгодам, но и DeGame, и Slowfog заявили, что они все равно будут расследовать до конца и никогда не пойдут на компромисс с хакерами.

Особенно с 2024 года, под влиянием сильных позитивных факторов, таких как снижение процентных ставок в США и спотовые биткоин-ETF, рынок в криптовалютном кругу продолжает расти, а интерактивные действия в сети продолжают накаляться, что, вероятно, даст возможность злоумышленникам, таким как PinkDrainer, воспользоваться этим. Если их не остановить, это может привести к еще более страшным трагедиям.

Здесь автор напоминает большинству участников проекта о необходимости обращать внимание на безопасность всей информации об учетной записи, а пользователи также должны проверять больше информации, такой как ссылки на веб-сайты и процессы взаимодействия при участии в проекте, поскольку процесс отслеживания чрезвычайно громоздкий после потери активов. Безопасность активов в индустрии Web3 — это предпосылка всего, и мы должны быть осторожны.