538 миллионов долларов украдено дренерами: ETH и SOL кошельки объединяются для блокировки фишинга в реальном времени

SEAL, некоммерческая организация в сфере безопасности, которая с конца 2023 года нарушает работу крипто-дрейнеров, 22 октября запустила сеть защиты от фишинга в реальном времени в партнерстве с MetaMask, WalletConnect, Backpack и Phantom.

Коалиция внедряет технологию Verifiable Phishing Reports, которая позволяет пользователям отправлять криптографически подтвержденные доказательства вредоносных сайтов, тем самым обходя узкое место ручной проверки, что позволяет дрейнерам менять инфраструктуру быстрее, чем защитники могут реагировать.

Согласно отчетам CertiK, опубликованным в течение года, к 30 сентября с помощью фишинговых атак было похищено примерно 538 миллионов долларов. Эта оценка не включает эксплойт Bybit на 1.4 миллиарда долларов в феврале.

Данное сотрудничество направлено на решение проблемы эскалации, при которой дрейнеры адаптируются к каждой мере противодействия.

Когда SEAL ускорил обновления eth-phishing-detect, операторы дрейнеров стали чаще менять лендинговые страницы.

Когда провайдеры инфраструктуры блокировали злоупотребляющий хостинг, дрейнеры переходили на офшорные bulletproof-сервисы. Когда SEAL внедрил автоматическое сканирование через свой Phishing Bot, дрейнеры применили методы сокрытия и анти-фингерпринтинга для обхода обнаружения.

В результате возникла гонка вооружений, в которой преимущество было на стороне атакующих, сохранявших инициативу, в то время как защитники сталкивались с трудностями при масштабной валидации заявок.

Verifiable Phishing Reporter меняет модель взаимодействия. Пользователи отправляют отчеты, содержащие точный контент, предоставляемый подозреваемым фишинговым сайтом, сопровождаемый TLS-подтверждением, доказывающим, что контент не был подделан.

SEAL обрабатывает эти заявки в реальном времени без ручной сортировки, обходя методы сокрытия, которые скрывают вредоносные нагрузки от автоматических сканеров.

Коалиция направляет проверенные отчеты в сквозную систему обнаружения, которая блокирует фишинговые домены и рискованные взаимодействия с контрактами во всех участвующих кошельках, превращая локальную информацию в защиту на уровне всей сети.

Ом Шах, исследователь безопасности MetaMask, заявил:

«Дрейнеры — это постоянная игра в кошки-мышки, как и большинство вопросов безопасности. Работая вместе с SEAL и их независимыми исследователями, это позволяет командам кошельков, таким как MetaMask, быть более гибкими и эффективно применять исследования SEAL на практике, что серьезно мешает инфраструктуре дрейнеров».

Дерек Рейн, технический директор WalletConnect, добавил, что партнерство расширяет защиту для WalletConnect Certified кошельков, которые уже предупреждают пользователей о известных мошеннических сайтах.

Армани Ферранте, CEO Backpack, охарактеризовал интеграцию как часть миссии кошелька по обеспечению большей безопасности владения цифровыми активами, а Ким Перссон, старший инженер Phantom, подчеркнул, что безопасность доменов и пользователей остается ключевым приоритетом.

Оценка эффективности

Эффективность сети может опираться на три столпа: меньшее количество пользователей, теряющих средства, более быстрое нейтрализование угроз и высокое качество обнаружения, измеряемое относительно базового уровня до запуска и сопоставимой контрольной группы.

Основной метрикой является уровень потерь на одного активного пользователя, например, долларовые потери от фишинга на 1 000 ежемесячно активных кошельков, которые можно оценить по ончейн-кластерам дрейнеров, самостоятельным сообщениям жертв и телеметрии кошельков.

Скорость определяет второй уровень измерения. Time-to-protect отслеживает медианное и 95-процентильное время от первого Verifiable Phishing Report до предупреждения или блокировки в кошельке.

Time-to-neutralize отдельно измеряет веб-векторы — от отчета до распространения в блоклистах и удаления сайта, а также ончейн-векторы, где отчеты инициируют перехват рискованных контрактов или адресов.

Постоянное сокращение этих интервалов должно коррелировать с уменьшением фактических потерь.

Охват и качество составляют третий столп. Recall отражает долю известных фишинговых доменов и адресов, помеченных до первой транзакции-жертвы, подтвержденную независимыми источниками и расследованиями после инцидентов.

Точность измеряется как единица минус уровень ложных срабатываний, подтвержденная последующими чистыми TLS-подтверждениями и апелляциями пользователей.

Дополнительные проверки качества включают долю сетевых действий, подтвержденных валидными TLS-аттестациями, уровень дедупликации среди репортеров и медианное время жизни домена после первой аттестации.

Поведенческие метрики покажут, изменяют ли меры защиты действия пользователей. Коэффициент отклонения делит количество предупреждений, приведших к отказу от рискованных действий, на общее количество показанных предупреждений, а коэффициент заблокированных подписей учитывает полностью остановленные транзакции.

Организация приглашает дополнительные кошельки присоединиться к сети и призывает исследователей безопасности и пользователей вносить вклад через клиент Verifiable Phishing Reporter, доступный на их сайте.

Публикация $538M stolen by drainers: ETH & SOL wallets unite with real-time phishing blocks впервые появилась на CryptoSlate.