Изначально сообщалось, что «счастливый» получатель Arbitrum airdrop, на самом деле один крипто-адрес обманул более 600 различных крипто-кошельков на более чем 930 000 токенов ARB.
Аналитическая компания Arkham подтвердила TCN, что они тоже определили, что адрес «принадлежит хакеру, который выманивает средства у пользователей Arbitrum. «
При более детальном рассмотрении транзакций конкретного адреса выясняется, что он получил 933 365 токенов ARB с другого адреса Arbitrum 24 марта, на следующий день после долгожданного выпуска сети второго уровня. ARB — это собственный токен управления, стоящий за решением для масштабирования второго уровня сети Ethereum под названием Arbitrum.
Источником этих токенов является другой контракт, создатель которого отмечен как «Fake_Phishing18» в блокчейн-проводнике Arbitrum.
Независимый исследователь блокчейна 0xKnight также подтвердил, что нашел сообщения жертв взлома. Пользователи жаловались, что их токены ARB были «автоматически переведены» на кошельки хакеров.
Разработчик смарт-контрактов Ethereum компания Brainsy 24 марта также сигнализировала о вредоносном контракте, созданном «Fake_Phishing18». По их словам, при взаимодействии с контрактом создается дополнительный запрос на транзакцию, который выглядит так, будто он исходит от кошелька отправителя, но на самом деле является фишинговой атакой.
Остерегайтесь этого поддельного контракта Arbitrum.
Когда я совершаю отправку, поддельный контракт также совершает «транзакцию», которая выглядит как транзакция из моего кошелька. Я предполагаю, что это делается для того, чтобы заставить меня взаимодействовать с контрактом. Оставайтесь там в безопасности. pic.twitter.com/ygGOddlTGU
— Brainsy (@BrainsyEth) 24 марта 2023
MetaMask предупредила о подобной атаке и назвала ее «отравлением адресов».
Это попытка злоумышленников отравить список адресов кошельков пользователей путем отправки произвольных транзакций с адресов, которые очень похожи на те, с которыми пользователь уже взаимодействовал.
В данном случае злоумышленник, по-видимому, использовал как фишинговую атаку через вредоносный смарт-контракт, так и отравление адресов, при этом Brainsy указал, что транзакция выглядит «как будто она из кошелька [пользователя]»
Метка «Fake_Phishing18» также связана с другим адресом под названием «Fake_Phishing47», который развернул поддельный контракт на токен ARB 21 марта.
На изображении ниже видно, что учетная запись с меткой «Fake_Phishing18» создала контракт на поддельные токены ARB, а затем передала право собственности «Fake_Phishing47. «
Этот же субъект мог создать поддельный сайт Aribtrum, утверждающий, что если пользователи будут взаимодействовать с сайтом, это даст хакеру контроль над кошельками пользователей.
Например, в день эфириума в некоторых группах социальных сетей циркулировала, по крайней мере, одна идентичная веб-страница с сайтом требований Arbitrum Foundation.
Поддельный сайт требовал токены ARB от имени пользователей и переводил их на их кошельки. Единственное тонкое различие между ними заключается в том, что на оригинальном сайте есть обратный отсчет времени, когда закончится процесс подачи заявки.