Първоначално съобщен като „щастлив“ получател на Arbitrum airdrop, един крипто адрес изглежда всъщност е измамил над 600 различни крипто портфейла за повече от 930 000 ARB токена.
Фирмата за блокчейн разузнаване Arkham потвърди пред TCN, че и тя е установила, че адресът „принадлежи на хакер, който изтегля средства от потребителите на Arbitrum.“
По-задълбоченият поглед върху транзакциите на конкретния адрес разкрива, че той е получил 933 365 ARB токена от друг адрес на Arbitrum на 24 март, ден след дългоочакваното хвърляне на токени в мрежата на ниво 2. ARB е местният управленски токен, който стои зад решението за мащабиране на слой 2 за Етериум, наречено Arbitrum.
Прехвърляне на 933 365 токена ARB във веригата. Източник: Arbiscan.
Източникът на тези токени е друг договор, чийто създател е маркиран като „Fake_Phishing18“ в блокчейн експлоратора на Арбитрум.
Независимият изследовател на веригата 0xKnight също потвърди, че е открил съобщения за жертви на хакерската атака. Потребителите се оплакват, че техните ARB токени са били „автоматично изискани“ в портфейлите на хакера.
Разработчикът на интелигентни договори за Ethereum Brainsy сигнализира за злонамерения договор, създаден от „Fake_Phishing18“, и на 24 март. Те заявиха, че взаимодействието с договора създава допълнителна заявка за транзакция, която изглежда така, сякаш е от портфейла на подателя, но вместо това е фишинг атака.
Внимавайте за този фалшив договор Arbitrum навън.
Когато изпратя съобщение, фалшивият договор също извършва „транзакция“, която изглежда като от моя портфейл. Предполагам, че за да ме накара да взаимодействам с договора. Бъдете в безопасност там. pic.twitter.com/ygGOddlTGU
– Brainsy (@BrainsyEth) 24 март 2023
MetaMask предупреди за този вид атака и я нарече „отравяне на адреси“.
Това е опит, при който нападателите отравят списъка с адреси на портфейлите на потребителите, като изпращат произволни трансакции от адреси, които много приличат на тези, с които потребителят вече е взаимодействал.
В този случай изглежда, че нападателят е използвал както фишинг атака чрез злонамерен интелигентен договор, така и отравяне на адреси, като Brainsy посочва, че кара транзакцията да изглежда „като от портфейла [на потребителите]“.
Тагът „Fake_Phishing18“ е свързан и с друг адрес, наречен „Fake_Phishing47“, който на 21 март разгърна фалшив договор с токени ARB.
Изображението по-долу показва, че акаунтът с таг „Fake_Phishing18“ е създал договора за фалшивите токени ARB и след това е прехвърлил собствеността на „Fake_Phishing47“. „
Подробности за договора за фалшиви ARB токени. Източник: Arbiscan
Въпросният субект може да е създал фалшив сайт на Aribtrum, в който да твърди, че ако потребителите взаимодействат с уебсайта, това ще даде на хакера контрол върху портфейлите на потребителите.
Например, в деня на хвърлянето на пари от въздуха в някои групи в социалните медии циркулираше поне една уебстраница, идентична с уебсайта за претенции на фондация „Аритрум“.
Фалшивият уебсайт заявяваше токени ARB от името на потребителите и ги прехвърляше в техните портфейли. Единствената едва доловима разлика между тях е, че на оригиналния уебсайт има обратно броене за това кога ще приключи процесът на заявяване.
