Очередной день, очередная фишинговая атака в криптовалюте.
Официальный Twitter-аккаунт популярного сборщика Ethereum NFT Gutter Cat Gang и аккаунт его сооснователя были взломаны, в результате чего было потеряно не менее 750 тыс. долл.
По другим данным, в результате взлома было потеряно до 900 тыс. долл. По крайней мере, один из кошельков злоумышленников впоследствии продал украденные средства за 640 000 долларов США, что подтверждает AegisWeb3.
Кто-то потерял свою обезьянуpic.twitter.com/idcePIfyZa
— ZachXBT (@zachxbt) 7 июля 2023
Большой разброс оценок, скорее всего, объясняется широким спектром выявленных НМТ и их различной ценой.
Если говорить иначе, то у 16 пользователей было украдено по меньшей мере 87 NFT, причем один адрес потерял 36 NFT, включая Bored Ape, который был продан за 125 000 долларов еще в сентябре 2021 года.
В пятницу хакер опубликовал в Твиттере сообщение, в котором он рекламировал «публичную раздачу» GutterMelo- легитимной коллекции Gutter Cat Gang, выпущенной в конце прошлого месяца. Хакер разместил фишинговую ссылку на фальшивую рассылку, которая опустошала кошельки, подключившиеся к сайту.
«В большинстве случаев [при подобных атаках] жертва взаимодействует с вредоносным контрактом, которому жертва дает разрешение на расходование токенов от имени пользователя. Именно так работает функция ‘transferFrom()'», — рассказал TCN Адриан Хетман, ведущий технический триггер компании Immunefi. «Отсюда хакер, контролирующий контракт, в принципе может переводить NFT пользователя как угодно».
Спустя два дня в Twitter банды Gutter Cat Gang появилось сообщение о случившемся, в котором она выразила раскаяние, сообщила, что сотрудничает с правоохранительными органами и предпринимает меры для предотвращения повторения атаки.
Поклонники проекта были разочарованы тем, что не увидели упоминания о возможной компенсации пострадавшим.
Вчера была совершена атака на Twitter-аккаунты Gutter Cat Gang. Вредоносные твиты были опубликованы днем в пятницу, 7 июля (по восточному времени). Команда восстановила контроль над известными взломанными учетными записями.
Мы оперативно связались с нашими контактами в Twitter, правоохранительными органами и мобильной связью…
— Gutter Cat Gang (@GutterCatGang) July 8, 2023
TCN связался с командой Gutter Cat Gang, но они не ответили на момент публикации.
Безопасность Gutter Cat Gang?
Несмотря на взлом, Gutter Cat Gang утверждает, что использовала «многофакторную аутентификацию и меры безопасности».
Неясно, какие именно меры многофакторной аутентификации и безопасности использовала команда. Twitter предлагает три варианта многофакторной аутентификации: аутентификация через приложение, SMS или специальный ключ.
«Наиболее безопасным вариантом, безусловно, является аутентификация через приложение с помощью таких программ, как Authy, Microsoft Authenticator или Google Authenticator», — сказал TCN эксперт по кибербезопасности Джеймс Бор. «Код аутентификации никогда не передается по сети, поэтому нет никакой возможности перехватить его».
«Специальный USB-ключ безопасности — более надежный вариант, чем приложение для телефона, но зачастую менее популярный из-за дополнительных расходов, неудобств, а также из-за того, что вероятность потерять или забыть аппаратный ключ выше, чем телефон», — добавил Боре.
Однако криптоаналитик ZachXBT утверждает, что команда использовала SMS-аутентификацию, добавляя, что «это грубая халатность — использовать SMS [двухфакторную аутентификацию] в своих социальных сетях после всех недавних случаев подмены SIM-карт».
«Атака с подменой SIM-карты — это когда мошенник завладевает номером телефона жертвы, убедив ее телефонного оператора, что телефон был утерян и номер необходимо перенести на новую SIM-карту», — говорит Эндрю Уэйли (Andrew Whaley), старший технический директор компании Promon, специализирующейся на защите социальных сетей. Новая SIM-карта, разумеется, принадлежит мошеннику, и после переноса номера он получает доступ к телефонным звонкам и SMS-сообщениям». В данном случае Twitter позволяет сбрасывать пароль путем отправки одноразового кода на телефон пользователя. Таким образом, после замены SIM-карты мошенник воспользовался этим, чтобы завладеть учетной записью Twitter».
Атаки с подменой SIM-карт в последнее время широко распространены в криптовалютном мире: ZachXBT утверждает, что за последние несколько недель произошло «более 30 подмен SIM-карт, связанных с криптовалютами»
Это проект, который не смог обеспечить безопасность не одного, а двух своих командных аккаунтов…
За последние несколько недель было совершено 30+ подмен SIM-карт, связанных с криптовалютами. Если вы знаете, что проекты подвергаются атакам, зачем продолжать использовать SMS 2FA вместо приложения Authenticator или ключа безопасности…
— ZachXBT (@zachxbt) 7 июля 2023 года
«Это наглядно показывает, почему SMS не является особенно надежной формой двухфакторной аутентификации (2FA)», — говорит Уэйли. «Атаки с подменой SIM-карт различаются в зависимости от страны и оператора мобильной связи по степени простоты их осуществления. В некоторых странах они осуществляются так же просто, как нажатие «1» на клавиатуре телефона».
Как защитить себя?
В связи с этим возникли вопросы о том, как криптопроекты защищают свои аккаунты в социальных сетях.
Bore рекомендует использовать «длинный, уникальный пароль», а также применять аппаратный ключ для двухфакторной аутентификации.
Пользователям также следует включить защиту от сброса пароля, которая требует указания электронной почты и номера телефона, прежде чем кто-то сможет попытаться сбросить пароль учетной записи.
В качестве последнего уровня защиты Боре рекомендует иметь номер телефона, который используется только для обеспечения безопасности, то есть никогда не сообщать его людям для связи.