Uchwyty Bitcoinów Uważajcie: Od łowienia ryb do podróbek, oto 5 najlepszych sposobów na kradzież krypty.
Pomimo znacznego wzrostu cen Bitcoinów i innych krypto walut w 2020 r., ilość skradzionych krypto walut w wyniku hakerów jest w rzeczywistości mniejsza niż w 2019 r.
Według raportu firmy Ciphertrace, łączna kwota skradzionych środków wyniosła szacunkowo 468 milionów dolarów.
Zgodnie z oficjalnym komentarzem Binance’a, 7,000 haków The News Spy stało się możliwe po tym jak hakerzy zebrali klucze API, 2FA i inne dane.
Większość ataków w 2020 roku miała miejsce na projekty DeFi, co świadczy o niedojrzałości tego szybko rozwijającego się segmentu. Niemniej jednak, liczba skradzionych kryptotek z usług scentralizowanych jest nadal znacznie wyższa. Przykładowo, w wyniku włamania do Kucoinu skradziono krypto walutę w równowartości 275 mln dolarów. Hacki DeFi stanowią około 21% wolumenu hakowania i kradzieży kryptotek w 2020 roku.
Niemniej jednak hakerzy atakują nie tylko platformy z kryptokurrency, ale również użytkowników. Codziennie w Internecie publikowane są historie o tym, jak hakerzy ukradli krypto walutę użytkownika, uzyskując dostęp do jego portfela lub konta wymiany. Niektórzy użytkownicy nie mają pojęcia, jak wysokie może być ryzyko włamania się na ich konto lub portfel.
Opisane w tym artykule pięć najbardziej popularnych sposobów, w jaki użytkownicy mogą stracić kryptokryptę.
Fałszywe strony phishingowe
Phishing jest rodzajem ataku inżynierii społecznej często wykorzystywanym do kradzieży danych użytkowników, w tym fraz mnemotechnicznych, kluczy prywatnych i danych uwierzytelniających do logowania na platformach kryptokurrency. Zazwyczaj ataki phishingowe wykorzystują fałszywe wiadomości e-mail, które przekonują użytkownika do wprowadzenia poufnych informacji na oszukańczą stronę internetową. Odbiorca jest następnie oszukiwany w celu kliknięcia na złośliwe łącze, co może doprowadzić do wyłudzenia informacji na stronie internetowej lub instalacji złośliwego oprogramowania.
Najprostszym przykładem udanego ataku phishingowego była sprawa MyEtherWallet z 2017 roku. Cyberprzestępcy wysłali wiadomość e-mail do potencjalnych klientów użytkowników MyEtherWallet i ogłosili, że muszą zsynchronizować swój portfel, aby był zgodny z twardym widelcem Ethereum. Po kliknięciu na link, użytkownik został przeniesiony na stronę phishingową, która wyglądała legalnie, ale zawierała dodatkowy, ledwo zauważalny znak w adresie URL. Nieostrożni użytkownicy wprowadzali swoje tajne frazy, klucze prywatne i hasła do portfela, przekazując w ten sposób swoje dane napastnikom i tracąc kryptokurrency.
Najnowszym tego przykładem był udany atak na użytkowników portfeli Ledger. Oszustwo wykorzystało wiadomość e-mail typu phishing, kierując użytkowników do fałszywej wersji strony internetowej Ledger, która zastąpiła homoglif w adresie URL, jak w poprzednim przypadku z MyEtherWallet. Na fałszywej stronie internetowej, niczego niepodejrzewający użytkownicy zostali oszukani, aby pobrać złośliwe oprogramowanie, udając, że jest to aktualizacja bezpieczeństwa, która następnie usuwała saldo z ich portfela w Księdze. Z tego przykładu wynika wniosek, że nawet użytkownicy portfeli sprzętowych nie są chronieni przed atakami typu phishing.
Podobne ataki zostały przeprowadzone na użytkowników wymiany kryptograficznej walut. Oznacza to, że użytkownicy otrzymywaliby list z linkiem do strony internetowej, która jest identyczna z oryginalną, ale z nieco zmienionym adresem URL. W ten sposób atakujący kradną nazwy użytkowników i hasła, a pod pewnymi warunkami mogą wykraść kryptokurrency z portfela giełdy. Mimo to, użytkownicy mają możliwość obrony nawet w przypadku udanego ataku, ponieważ giełdy oferują dodatkowe narzędzia ochrony.
Kradzież klucza API
Niektórzy handlowcy używają narzędzi do automatyzacji handlu, zwanych „handlowanie botami“. W przypadku tego typu oprogramowania, użytkownik musi utworzyć klucze API i zezwolić na pewne uprawnienia, aby bot mógł wchodzić w interakcję ze swoimi środkami.
Często, gdy użytkownik tworzy klucz API, giełda prosi o następujące uprawnienia.
- Widok – umożliwia przeglądanie wszelkich danych związanych z kontem użytkownika, takich jak historia transakcji, historia zleceń, historia wypłat, saldo, pewne dane użytkownika itp.
- Trading – pozwala na składanie i anulowanie zleceń.
- Wypłata – pozwala na wypłatę środków.
- Biała lista IP – pozwala na wykonywanie dowolnych operacji tylko z określonych adresów IP.
Aby móc handlować kluczami API bota, giełda musi posiadać uprawnienia do przeglądania, handlowania, a czasami do wypłacania środków.
Istnieją różne sposoby na kradzież kluczy API użytkowników przez hakerów. Na przykład, cyberprzestępcy często tworzą złośliwe, „wysokodochodowe“ boty handlowe, dostępne bezpłatnie, aby zwabić użytkownika do wprowadzenia jego kluczy API. Jeśli klucz API ma prawo do wycofania się bez ograniczeń IP, hakerzy mogą natychmiast wycofać całą walutę kryptograficzną z salda użytkownika.
Nawet bez zezwolenia na wypłatę, hakerzy mogą ukraść krypto walutę użytkownika za pomocą strategii pomp, pewnej pary transakcji krypto walut o niskiej płynności. Najczęstszymi przykładami takich ataków są pompa Viacoin i pompa Syscoin. Hakerzy zgromadzili te kryptowaluty i sprzedali je po znacznie zawyżonych kursach w trakcie pompowania za pomocą środków użytkownika.