Не все рекорды в сфере криптовалют можно считать позитивом – особенно когда речь идёт о злоумышленниках. В частности, 2024 год уже оказался хорошим периодом для них по многим показателям в сравнении с предыдущим годом. Только в первом квартале этого года хакеры украли около 542.7 миллиона долларов за счёт взлома различных протоколов, что на 42 процента выше показателя аналогичной квартала 2023 года. При этом уязвимости смарт-контрактов не всегда становятся первопричиной взлома проекта. Подробнее о новых тенденциях в сфере рассказал Мриганка Паттнаик, сооснователь и генеральный директор криптоплатформы Merkle Science.
Как крадут криптовалюты в блокчейне
Из интервью Паттнаик журналистам Cointelegraph прежде всего нужно выделить следующую цитату.
И хотя уязвимости смарт-контрактов остаются причиной для беспокойства, хакеры всё чаще применяют другие векторы атак — например, охотясь за слитыми приватными ключами. Подобные инциденты стали повседневностью из-за многочисленных фишинговых атак и просто небезопасных практик хранения секретной информации.
Напомним, фишинг – это кража важной информации жертвы путём спама "наживок" для владельцев криптовалют. Речь идёт о вредоносных ссылках, подмене личностей известных людей в криптосфере, фейковых раздачах монет и так далее.
Приватные ключи и сид-фразы представляют собой уникальные комбинации символов и цифр, а также последовательности слов, которые являются универсальными ключами для доступа к содержимому криптовалютных кошельков. Это именно те комбинации, которые генерируются при первичной настройке аппаратных кошельков. А поскольку любой человек с доступом к вашему сиду может распоряжаться криптой на кошельке, эту фразу крайне важно хранить от посторонних глаз.
Уязвимости смарт-контрактов раньше были настоящей головной болью для пользователей и разработчиков. Однако в соответствии с недавним отчётом Merkle Science, объём потерь от уязвимостей снизился с 2.6 миллиардов до 179 миллионов долларов в период с 2022 по 2023 год. А значит данное направление как минимум по состоянию на сегодня потеряло собственную актуальность среди мошенников.
Как отмечает Паттнаик, именно утечки приватных ключей сейчас являются наибольшей проблемой для кибербезопасности.
По статистике компании, более 55 процентов объёма цифовых активов было утеряно в 2023 году как раз из-за слитых приватных ключей. Уязвимости смарт-контрактов хоть и остаются проблемой, но уже отошли на второй план по важности из-за развития систем кибербезопасности и новых методов работы, разрабатываемых хакерами.
Вот реплика эксперта по данному поводу.
Новые инструменты помогают нам идентифицировать и исправлять уязвимости в смарт-контрактах ещё до их использования злоумышленниками. Наконец, хакеры могут просто искать более лёгкие цели, атака на которые требует менее изощрённых знаний в области защиты данных.
Действительно, заставить пользователя раскрыть собственную сид-фразу или попросту отправить монеты на нужный адрес проще, чем искать уязвимости в смарт-контракте, которые вдобавок не всегда можно использовать. Именно поэтому в том же Твиттере под публикациями известных криптокомпаний буквально сразу возникает масса спама, сообщающего о якобы раздаче серьёзных объёмов монет для всех желающих.
На самом же деле хакеры хотят заставить своих жертв подписать нужную транзакцию и предоставить соответствующее разрешение, которое позволит им вывести монет с кошелька пользователя в дальнейшем.
Паттнаик также акцентировал внимание на общем росте капитализации индустрии и оживлении активности внутри неё. Всё же восходящий тренд как правило привлекает мошенников к крипте.
К примеру, только в мае убыток от 30 индивидуальных хакерских атак составил 574 миллиона долларов. Это почти на 666 процентов больше итога предыдущего месяца.
😈 БОЛЬШЕ ИНТЕРЕСНОГО МОЖНО НАЙТИ У НАС В ЯНДЕКС.ДЗЕНЕ!
Популярный трекер для криптовалют CoinGecko тоже столкнулся с активностью хакеров. Как оказалось накануне, сторонняя платформа для обработки рассылки электронной почты GetResponse зафиксировала утечку данных.
Команда CoinGecko подтвердила, что более 1.9 миллиона пользователей их платформы могут стать жертвами фишинговой атаки. Вот реплика по данному поводу.
Злоумышленнику удалось получить доступ к аккаунту сотрудника GetResponse, что привело к утечке информации. 6 июня в 11:58 по UTC мы получили подтверждение об инциденте от GetResponse.
В руки злоумышленника попали имена, адреса электронной почты, IP-адреса и другие метаданные пользователей трекера. При этом логины и пароли учётных записей в самой CoinGecko остались под защитой.
Основной узел для рассылки писем не подвергся атаке, хотя хакеры уже разослали более 23 723 писем с вредоносным содержимым. Представители платформы продолжают.
Злоумышленник экспортировал 1 916 596 контактов из аккаунта GetResponse компании CoinGecko и отправил фишинговые письма на 23 723 электронных адреса из аккаунта другого клиента GetResponse (alj.associates).
Ещё во время предыдущего буллрана в подобном инциденте фигурировала компания Ledger, которая выпускает самые популярные аппаратные криптокошельки. Тогда ситуация была более масштабной и убыточной для клиентов компании. Однако в итоге данный вектор стал разве что поводом для попыток фишинговых атак со стороны мошенников.
Статистика оказалась не из приятных, вдобавок она чётко намекает на то, что по мере роста криптоиндустрии хакеров будет становиться всё больше. Поэтому инвесторам как никогда важно разобраться с работой аппаратных кошельков и использовать их в качестве холодных хранилищ, то есть исключительно для отправки и получения монет. Также важно игнорировать все ссылки, которые отправляют незнакомцы в мессенджерах и социальных сетях. Таким образом сохранить свою крипту будет значительно проще.
Больше интересного ищите в нашем крипточате будущих богачей. Скорее подписывайтесь, чтобы не упустить возобновление этого буллрана в полную мощь.
ПОДПИСЫВАЙТЕСЬ НА НАШ КАНАЛ В ТЕЛЕГРАМЕ, ЧТОБЫ БЫТЬ В КУРСЕ.
2Bitcoins.ru
Автор: Дмитрий Кузюк