【安全圈】史上最大胆的8起加密货币盗窃案,值得深思

新闻资讯   2023-07-12 20:39   63   0  


关键词

盗窃货币


加密货币对所有者的优势——监管宽松和缺乏政府控制——也是吸引网络窃贼的主要因素。为了让您更好地了解加密金融对网络犯罪分子的吸引力,我们编制了近年来最引人注目的攻击示例列表。

(* 我们没有根据损害程度对它们进行排名,因为这对于许多类型的攻击来说很难确定,而且,我们的评级中并不包括像 BitConnect 这样的传销计划。)

1. 最复杂的

·损失:3 万美元

·方法:木马化硬件钱包

加密货币易于窃取和套现,是攻击者最青睐的数字资产之一。因此,严谨的投资者经常使用硬件加密钱包来保护他们的加密投资。这种钱包将私钥存储在易受攻击的电脑和智能手机之外,使签署交易更加安全。但不幸的是,拥有一个硬件钱包并不能保证资金安全,正如下述客户所经历的那样。

2023 年 5 月,一名加密货币投资者购买了一款非常流行的硬件钱包 Trezor Model T.,它使用完全开源代码(软件和硬件方面)并且基于流行的 STM32F427 微控制器。Trezor Model T 供应商采取了广泛的安全措施,从理论上讲,应该可以可靠地保护设备免受攻击者的攻击。

然而,分析结果显示,这是一个非常狡猾的假货,带有网络犯罪分子知道的预闪私钥和密码弱化系统。当钱包里出现钱时,黑客们就会直接把钱取出来,这甚至是在钱包没有连接到电脑的情况下实现的。


【虚假硬件钱包更新模式屏幕】

2. 最大的

·损失:5.4 亿美元

·方法:服务器破解

很长一段时间以来,加密货币历史上最大的黑客攻击都是 Mt. Gox 交易所 4.6 亿美元被盗,导致该交易所在 2014 年倒闭。但在 2022 年,著名的边玩边赚(P2E)游戏 Axie Infinity 背后的开发团队 Sky Mavis 遭遇了一次巨大的黑客攻击。该团队负责管理支撑 Ronin 跨链桥(bridge)的基础设施,该跨链桥允许用户在以太坊和 Axie Infinity 的 Ronin 侧链之间来回发送加密货币。然而,该基础设施遭到黑客攻击,损失高达 5.4- 6.25 亿美元。

据悉,Ronin 侧链目前由 9 个验证者节点保护,为了识别 Deposit(存款)事件或 Withdraw (取款)事件,需要这 9 个验证者中的 5 个进行签名。但 2022 年 3 月 23 日,攻击者成功地控制了 9 个节点中的 5 个(包括 Sky Mavis 自己运行的 4 个验证者节点以及 1 个由 Axie DAO 运行的验证者节点),并盗取了私钥。然后,该攻击者使用这 5 个节点的签名从 Ronin 跨链桥取出 173,600 ETH 和 2550 万 USDC,预计价值约合 5.4- 6.25 亿美元。

直至 3 月 29 日,一名用户无法通过 Ronin 跨链桥取出自己的 5,000 ETH,这才使 Sky Mavis 团队意识到这些资金已经在上周从该跨链桥被窃走。

Sky Mavis 对此次攻击的回应是暂停了 Ronin 跨链桥和 Ronin 侧链上的 Katana 交易所,迁移了节点基础设施,并与执法部门、大型加密交易所和 Chainalysis 合作,以尽可能地捕获该攻击者。

3. 最执着的

·损失:未知

·方法:假冒 Chrome 扩展

这些攻击由 BlueNoroff 组织实施,并于 2022 年被卡巴斯基研究人员发现,主要针对使用加密货币的金融科技公司。在这一系列攻击中,黑客利用看似来自风险投资基金的网络钓鱼邮件渗透到目标公司的内部网络。当受害者打开恶意电子邮件附件时,一个木马会自动安装在计算机上,允许攻击者窃取信息并安装额外的恶意软件。如果攻击者对目标组织的电子邮件感兴趣,他们甚至会在该组织的网络中 " 潜伏 " 数月,耐心程度可见一斑。

与此同时,密码盗窃本身是通过一个名为 "Metamask" 的修改版 Chrome 扩展进行的。通过安装他们的 Metamask 版本而非官方版本,网络犯罪分子能够观察和修改受害者的合法加密货币交易。在这种情况下,即使使用硬件加密钱包也无法提供足够的保护。

4. 最费解的

·损失:3500 万美元

·方法:未知

2023 年 6 月 2 日,攻击者瞄准了去中心化的原子钱包(Atomic Wallet),这是一款移动端和桌面端的加密货币钱包应用,允许用户存储不同类型的加密货币。

6 月 3 日,Atomic Wallet 开发人员证实了此次黑客攻击事件,但尚不清楚攻击是如何实现的。值得庆幸的是,Atomic Wallet 的服务器上既没有存储密码,也没有存储私钥,因此攻击可能与用户计算机上发生的事情存在联系。

加密货币追踪专家表示,攻击者使用的作案手法类似于 Lazarus group。如果它是 Lazarus group,那么它很可能是通过假冒的 Atomic Wallet 木马版本(类似于 Lazarus group 针对 DeFi 的攻击)进行的攻击,或者是在官方应用程序中对开发人员本身进行的木马攻击。

作为响应,Atomic Wallet 在事件发生后便对事件进行了调查 ,并拦截了在加密货币交易所交易的被盗加密货币。因为其软件可能被黑,为防止受害者范围进一步扩大,Atomic Wallet 还下线了其下载服务器。

区块链安全公司 ZachXBT 收集了从 Atomic Wallet 受害者处窃取的资金交易,据初步估计,价值约 3500 万美元的加密货币被盗。截至目前,仍不知加密货币被盗的具体原因。

5. 最戏剧化的

·损失:400 万美元

·方法:面对面会议

为了窃取加密货币,一些网络犯罪分子设置了 " 猫鼠游戏(Catch Me If You can)" 式的骗局。" 投资基金 " 会与目标公司(寻找投资者的公司)接洽,讨论对该业务的潜在大笔投资。在几次电话和电子邮件之后,他们安排在一家豪华酒店与受害者——一般是初创公司的首席执行官——进行面对面的会谈。

面谈过程中,所有的法律和财务问题都会被详细讨论,然后,在一个巧妙的借口下,谈话转向投资和加密货币费用。这时候,诈骗者会偷看受害者的助记词(seed phrase,用于恢复钱包,以重新恢复对钱包的所有权),或者短暂地掌控他们的加密钱包,清空其中的所有资金。在一起案件中,受害者被骗了 400 万美元。

6. 最优雅的

·方法:虚假信件和钱包

这听起来像是侦探小说的情节:网络犯罪分子向购买 Ledger 硬件钱包的买家发送纸质信件。为了获得邮件列表,他们要么入侵了一个未具名的第三方(可能是 Ledger 的承包商),要么利用了之前泄露的用户数据。

这封信通知收件人,由于安全问题,他们的 Ledger Nano X 硬件钱包必须更换,并且将保修期内免费更换的钱包随意地附在信上。事实上,这个封闭的盒子里装着一个伪装成 Nano x 且被恶意软件感染的闪存盘。在第一次启动时,该程序要求受害者执行 " 密钥导入 " 并输入他们的秘密助记词来恢复对钱包的访问,这样做的后果显而易见。值得庆幸的是,许多收信人并没有上当:尽管包装令人信服,但这封信本身就有许多拼写错误。所以说,保持警惕是有好处的!

7. 最不起眼的

·方法:恶意软件

最不起眼的当属 " 地址替换攻击 ",这种攻击通常在剪贴板注入恶意软件的帮助下进行。在感染受害者的计算机后,恶意软件会默默地监控剪贴板上的加密钱包地址:当一个地址抵达时,恶意软件会用攻击者的钱包地址替换它。因此,通过在转账过程中简单地复制和粘贴地址,网络犯罪分子就可以很轻松地将资金转移到他们控制的钱包中。

8. 最伤人的

·损失:15,000 美元

·方法:情书

" 浪漫骗局 "(Romantic scam)仍然是欺骗私人加密投资者的最常见方式之一。让我们来看一个具体的例子。Kevin Kok 拥有多年的加密投资经验,但即使是他,也被一段攻势猛烈的恋情所蒙蔽。

他在一个约会网站上认识了一个女人,和她聊了几个月,在此期间,并未出现过任何有关投资的话题。后来有一天,她突然分享了一款方便的新型加密投资应用程序,并表示自己不会操作,也不清楚是否可靠,于是寻求帮助,这样她就可以把自己的钱存进去了。当然,Kevin 主动提出了要帮忙。在看到新情人的资产增值后,他确信这款应用程序运行良好。所以他决定用自己的钱投资,并期待获取高回报率。直到那个女人突然从所有的通讯软件中消失,不再回复他的信息,Kevin 才开始怀疑起来。但悔之已晚的是,他发现不可能从 " 投资系统 " 中提取资金。

结语

我们之前已经为加密投资者提供了详细的建议,所以在这里我们只重复两点:以最大的怀疑对待所有与加密相关的报价、电子邮件、信件和无辜的问题;并始终在所有相关设备上使用为加密投资量身定制的安全软件。

   END  

阅读推荐

【安全圈】利用网络漏洞,“薅羊毛”赚100万!

【安全圈】网信办关于《网络暴力信息治理规定(征求意见稿)》公开征求意见的通知

【安全圈】来自伊朗黑客组织的TA453,正在瞄准 Windows 和 macOS 用户

【安全圈】9大钓鱼网络攻击事件,损失累计超3.5亿万美元!

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!

文章引用微信公众号"安全圈",如有侵权,请联系管理员删除!

博客评论
还没有人评论,赶紧抢个沙发~
发表评论
说明:请文明发言,共建和谐网络,您的个人信息不会被公开显示。