سوء استفاده کنندگان BitKeep از سایت های فیشینگ برای فریب دادن کاربران استفاده کردند: گزارش

به نظر می رسد مهاجمان در تلاش هستند تا وجوه خود را با استفاده از Binance و Changenow نقد کنند.

اکسپلویت Bitkeep در ۲۶ دسامبر از یک سایت فیشینگ برای فریب کاربران برای دانلود کیف پول جعلی استفاده کرد. مطابق با همانطور که توسط ارائه دهنده تجزیه و تحلیل بلاک چین OKLink گزارش شده است.

گزارش شده است که مهاجمان چندین وب سایت جعلی Bitkeep را راه اندازی کرده اند که حاوی فایل های APK مشابه نسخه ۷.۲.۹ کیف پول Bitkeep هستند. هنگامی که کاربر یک فایل مخرب را دانلود می کند و کیف پول خود را “به روز می کند”، کلید خصوصی یا کلمه اولیه به سرقت می رود و برای مهاجم ارسال می شود.

[۱۲-۲۶# بیت نگه دارید خلاصه پرونده هک]۱/n

بر اساس داده‌های OKLink، سرقت Bitkeep شامل ۴ زنجیره BSC، ETH، TRX و Polygon بود و OKLink حاوی ۵۰ آدرس هکر با حجم کل Txns 31 میلیون دلار بود.

– OKLink (@OKLink) ۲۶ دسامبر ۲۰۲۲

در این گزارش اشاره ای نشده است که چگونه فایل مخرب کلید کاربر را به صورت رمزگذاری نشده به سرقت برده است. با این حال، ممکن است به سادگی از کاربر خواسته شده باشد که کلمه اولیه را به عنوان بخشی از “رفرش” دوباره وارد کند، که نرم افزار آن را ثبت کرده و برای مهاجم ارسال کرده است.

هنگامی که مهاجمان کلید خصوصی کاربر را به دست آوردند، تمام دارایی ها را رها کردند و آنها را به پنج کیف پول تحت کنترل مهاجم منتقل کردند. از آنجا، ما سعی کردیم با استفاده از یک صرافی متمرکز، مقداری از وجوه را نقد کنیم. ۲ ETH و ۱۰۰ USDC به Binance و ۲۱ ETH به Changenow ارسال شد.

این حمله در پنج شبکه مختلف رخ داد: BNB Chain، Tron، Ethereum و Polygon، با برخی از توکن‌ها با استفاده از پل‌های زنجیره BNB Biswap، Nomiswap و Apeswap به اتریوم پل زدند. در مجموع، بیش از ۱۳ میلیون دلار ارز دیجیتال در این حملات به دست آمد.

مربوط: گزارش شده است که هکرهای Defrost v1 به عنوان ادعاهای «کلاهبرداری خروج» وجوهی را پس می‌دهند

هنوز مشخص نیست که مهاجمان چگونه کاربران را برای بازدید از وب سایت جعلی فریب داده اند. وب سایت رسمی BitKeep پیوندی ارائه کرده است که کاربران را به صفحه فروشگاه رسمی Google Play این برنامه هدایت می کند، اما به هیچ وجه شامل فایل APK برنامه نیست.

حمله BitKeep اولین بار توسط Peck Shield در ساعت ۷:۳۰ صبح UTC گزارش شد. در آن زمان، آن را به “هک نسخه APK” نسبت دادند. این گزارش جدید از OKLink نشان می‌دهد که APK هک شده از یک سایت مخرب آمده است و وب‌سایت رسمی توسعه‌دهنده به خطر نیفتاده است.

نویسنده: Tom Blackstone