Привет, это команда «Шард». В статье поговорим о том, как хакеры используют возможность добавления подписей к транзакциям для обмана жертв.
Как хакеры используют переписку?
При осуществлении транзакций на некоторых платформах присутствует возможность добавлять к ним подписи. Например, блокчейн на базе Ethereum как раз можно использовать для обмена сообщениями. Это происходит с помощью функции IDM (Input Data Messages), которая позволяет пользователям создавать чат по выбранным адресам. В других сетях сделать такое тоже возможно, однако Ethereum является самым распространенным. Этой функцией достаточно часто пользуются хакеры для взаимодействия со своими жертвами. Они добавляют подписи к переводам и таким образом сохраняют свою приватность. Просматривают такие сообщения на базе обозревателя Etherscan. Etherscan — это обозреватель блоков и аналитическая платформа для блокчейна Ethereum. Сервис предназначен для навигации по общедоступным данным сети. Платформа содержит сведения об адресах, смарт-контрактах, блоках, состоянии сети и других ончейн-показателях.
За последний год произошло немало хакерских атак, которые сопровождались перепиской между злоумышленниками и их жертвами. Мы проанализировали несколько подобных случаев.
Атака биржи Kyberswap
23 ноября 2023 года биржа Kyberswap подверглась хакерской атаке, в ходе которой было украдено почти $50 млн. Сразу после взлома хакер связался с командой проекта, отправив минимальную сумму на публичный адрес кошелька разработчиков, и сопроводил транзакцию текстовым сообщением: «Уважаемые разработчики, сотрудники, члены ДАО и провайдеры ликвидности Kyberswap, я готов начать переговоры через несколько часов, когда отдохну», — написал хакер.
KyberSwap предлагала хакеру вернуть 90% украденных средств и оставить себе оставшиеся 10%. Однако после того, как хакер не выполнил немедленные действия, KyberSwap пригрозила судебным иском и заявила, что располагает цифровыми следами злоумышленника для отслеживания.
30 ноября хакер потребовал передачу полного контроля над компанией Kyber, которой принадлежит сервис, а также всех оставшихся активов и внутренней документации с переуступкой прав на интеллектуальную собственность. Биржа предложила пострадавшим пользователям гранты. Выплаты производились в размере, «не превышающем стоимость средств в долларах США на момент их изъятия из аккаунта».
Хакер, ответственный за атаку на децентрализованную биржу KyberSwap, перевел $2,5 млн с украденных средств из блокчейна Arbitrum в блокчейн Ethereum. Кроме этой суммы, хакер также перевел около $1 млн в стабильных монетах. Атака на KyberSwap была одним из крупнейших взломов 2023 года, в результате которой было похищено около $49 млн.
Атака биржи Poloniex
Похожий случай произошел и с биржей Poloniex. Вследствие атаки, случившейся 10 ноября 2023 года, было украдено около $125 млн в Ethereum, Bitcoin и Tron. Вскоре после взлома представители Poloniex опубликовали в социальной сети Х официальное обращение к хакерам, в котором предложили им награду в размере 5% от украденных активов в обмен на возврат всех средств, и дали на обдумывание 7 дней. Однако трюк не сработал, и вскоре на адреса, связанные с этим взломом, было отправлено новое сообщение. Кошельки Джастина Сана инициировали шестнадцать транзакций, каждая стоимостью $0,10 в Ethereum, содержащих одно и то же послание на нескольких языках. В сообщении говорится о том, что команда Poloniex уже идентифицировала личность злоумышленника, а также привлекла правоохранительные органы из Китая, США и России, и если хакер не вернет украденные средства до 25 ноября, то «правоохранители из нескольких стран начнут действовать».
В течение нескольких месяцев киберпреступники выжидали. Только в апреле 2024 года они начали пытаться вывести средства и отмыть их. В соответствии с отчётом компании Coindesk, хакеры отправили 1100 эфиров (ETH), что приблизительно составляет 3,3 миллиона долларов, несколькими партиями в Tornado Cash. 30 апреля хакеры также перевели 501 биткойн (BTC), что составляет около 32 миллионов долларов США, на немаркированный кошелек. Несмотря на эти переводы, 181 миллион долларов США из первоначального ограбления остаётся в различных блокчейнах.
Атака платформы Euler Finance
Также в марте 2023 года взлому подверглась платформа Euler Finance. Хакеры украли около $200 млн в криптовалюте. Вечером 13 марта команда Euler направила первое ончейн-сообщение на адрес хакера, в котором предлагала обсудить дальнейшие действия с украденными активами: «Мы понимаем, что вы несете ответственность за сегодняшнюю утреннюю атаку на платформу Euler. Мы пишем, чтобы узнать, готовы ли вы обсудить с нами возможные следующие шаги», — говорилось в сообщении.
Спустя несколько дней переговоров хакер согласился вернуть все украденные средства, а также выразил глубокое раскаяние, признав, что причинил вред, вмешиваясь в финансовую систему Euler, работу и жизнь других людей.
Что в итоге?
Есть несколько вариантов того, как начинаются «переговоры» через транзакции. В некоторых случаях жертва выходит на хакера и предлагает злоумышленнику оставить вознаграждение в размере 10-20% от украденной суммы, а остальные 80-90% требует вернуть под угрозой обращения в правоохранительные органы. Другой вариант развития событий складывается, когда хакер сам отправляет сообщение жертве, выдвигая определенные требования, взамен на возврат средств.
Стоит отметить, что такой вид взаимодействия вызывает большой интерес, поскольку он является прозрачным и доступным для всех пользователей, а, соответственно, каждый может проследить за развитием событий и ходом переговоров.
* * *
Мы настоятельно рекомендуем перед вложением средств осуществлять проверку на обман. Если вы хотите проверить криптовалютный адрес, получить аналитическую поддержку и правовую помощь, наши услуги можно изучить здесь.
