W tym tygodniu Taylor Monahan opublikowała analizę, w której zidentyfikowała kradzieże z wielu portfeli kryptowalut na 11 różnych blockchainach, nie będąc w stanie zdefiniować ich przyczyny. Co wiemy o tych ciekawych włamaniach
Wielokrotne kradzieże wpływają na portfele kryptowalut
W tym tygodniu założyciel i CEO MyCrypto, Taylor Monahan, opublikował swoją analizę on-chain pokazującą, że od grudnia ubiegłego roku równowartość 5000 ETH została usunięta z wielu portfeli na 11 różnych blockchainach.
Co ciekawe, na podstawie analizy wydaje się, że trudno jest ustalić podobieństwa między ofiarami, ale odkryto wiele podobieństw w modus operandi.
Dotknięte portfele zostały utworzone między 2014 r. a grudniem ubiegłego roku:
Jeśli to czytasz, jesteś typem, który zostanie przez to osuszony.
To NIE jest niskobudżetowa strona phishingowa ani przypadkowy oszust. NIE przyciągnęła ani jednego nooba. To TYLKO OGs.
Jeśli masz wszystkie swoje rzeczy pod jedną tajną frazą odzyskiwania / kluczem prywatnym, prosimy o bezpieczną migrację. pic.twitter.com/o50pcBaUWT
– Tay (@tayvano_) April 18, 2023
Wykorzystywany błąd nie został jeszcze odkryty, ale najgorszy scenariusz, w którym błąd jest związany z szyfrowaniem kluczy prywatnych, jest wykluczony. W rzeczywistości, gdyby hakerowi udało się przeprowadzić taki exploit, szkody byłyby znacznie większe.
Według analiz, większość tych kradzieży ma miejsce między godziną 10:00 a 16:00 czasu UTC w przypadku głównych aktywów, podczas gdy mniejsze kwoty są zazwyczaj kradzione między 16:00 a 22:00 czasu UTC. Co więcej, duża część tych kradzieży ma miejsce w weekendy:
Wreszcie, wiele kradzieży wydaje się mieć miejsce w weekendy Oczywiście nie mam każdej transakcji, ale to dziwne. Nie wiem. To po prostu dziwne.
18 grudnia = niedziela
25 grudnia = niedziela
29 stycznia = niedziela
17-19 lutego = piątek-niedziela
15 kwietnia = sobota pic.twitter.com/b4TEAMjmdO– Tay (@tayvano_) 18 kwietnia 2023
Warto również zauważyć, że czasami aktywa są wysyłane z jednego adresu ofiary na inny, aby skonsolidować łup. Na przykład środki skradzione ofierze A są wysyłane do ofiary B, której środki i środki ofiary A są wysyłane do ofiary C.
Ponadto atakujący zachowuje prostotę, często pomijając NFT lub otwarte pozycje w zdecentralizowanych protokołach finansowych (DeFi). Zdarzały się jednak przypadki, w których atakujący powracał do wcześniej odwiedzanego adresu.
Jak chronić się przed takim atakiem
Teoretycznie ten rodzaj kradzieży dotyczy głównie gorących portfeli, takich jak MetaMask, xDeFi czy Rabby, ale należy zauważyć, że żaden z nich nie wydaje się być specjalnie ukierunkowany.
W rzeczywistości decydujący będzie sposób przechowywania klucza prywatnego portfela. Ponieważ gorące portfele przechowują klucz prywatny w pliku hostowanym na komputerze użytkownika, są one łatwiejszym celem. Jeśli jednak fraza seed portfela sprzętowego jest przechowywana w pliku tekstowym na komputerze użytkownika, jest on nie mniej podatny na ataki.
Ogólnie rzecz biorąc, rozsądnie jest zdywersyfikować lokalizacje swoich funduszy, tak aby adresy, na których się znajdują, nie zależały od jednej frazy seed. Ponadto rozsądne może być regularne przenoszenie aktywów na adresy utworzone z nowych fraz zalążkowych na wypadek, gdyby ostatnia z nich została naruszona.
Co więcej, chociaż najrozsądniejszym sposobem działania jest korzystanie z portfeli hardwarowych, frazy seed nigdy nie powinny być zapisywane na komputerze z dostępem do Internetu.
Podczas gdy czekamy na dalsze informacje na temat tej fali siphoningu kont, zaleca się maksymalne ograniczenie ilości środków przechowywanych w gorących portfelach, jednocześnie odnawiając je w regularnych odstępach czasu.
