- ZachXBT відстежив виведення коштів із гаманців у різних мережах EVM, при цьому втрати залишаються невеликими для кожної адреси.
- Одна Ethereum-адреса постійно отримує кошти, що свідчить про активність між ланцюгами.
- Аналітики вивчають дозволи, підписи та розширення, але спосіб експлуатації залишається невідомим.
Дослідник блокчейну ZachXBT попередив криптоспільноту про незрозумілу активність, пов’язану з виведенням коштів із гаманців у декількох EVM-сумісних блокчейнах. Активність вже призвела до втрат понад $107 000. Зазвичай окремі гаманці втрачають менше $2 000. Проте кількість постраждалих адрес продовжує зростати. Джерело виведення коштів досі не встановлено.
Ончейн-аналіз пов’язав викрадені кошти з однією Ethereum-адресою, яка неодноразово отримує перекази від різних жертв. Адреса 0xAc2e5153170278e24667a580baEa056ad8Bf9bFB згадується у численних транзакціях, пов’язаних із цією активністю. Кошти продовжують надходити на цю адресу, що свідчить про те, що виведення не припинилось.
Замість великих ізольованих крадіжок ця активність спирається на невеликі виведення, розподілені між багатьма гаманцями. Такий підхід, схоже, затримує виявлення. Внаслідок цього втрати накопичуються непомітно, а жертви залишаються не обізнаними до зниження балансу.
Міжланцюгова схема привертає увагу
Звіти показують, що ця активність охоплює декілька мереж на базі EVM. За даними BitPinas, постраждалі гаманці зустрічаються в Ethereum, BNB Chain, Base, Arbitrum, Polygon, Optimism та інших екосистемах EVM. Широкий спектр залучених мереж підняв питання про спільну точку відмови.
Оскільки ланцюги EVM використовують схожі стандарти гаманців і процеси підпису, слідчі підозрюють, що експлойт не націлений на окремий протокол. Замість цього він може стосуватися спільної логіки гаманців або обробки дозволів. Багато гаманців мають подібні процеси затвердження та запити користувачам.
Незважаючи на зростання обсягу даних, підтвердженої причини досі немає. Аналітики продовжують досліджувати зловживання дозволами на токени, оманливі запити підпису та можливі проблеми ланцюга постачання для програмного забезпечення гаманців. Деякі дослідження також фокусуються на браузерних розширеннях. Жодна з цих теорій поки не підтверджена.
Детальніше: ZachXBT викриває прихованого співзасновника BlockDAG та зниклі мільйони
Грудневі експлойти дають ширший контекст
Виведення коштів із гаманців відбувається після місяця, позначеного кількома великими інцидентами з безпекою у криптоіндустрії. PeckShield повідомила про 26 значних експлойтів у грудні. Невелика кількість випадків становила більшість втрат. Найбільший стосувався одного користувача, який втратив $50 мільйонів через шахрайство з підміною адреси.
У атаках із підміною адрес зловмисники надсилають невеликі суми з адрес, що дуже схожі на легітимні. Жертви потім копіюють неправильну адресу з історії транзакцій під час переказу. Кошти безповоротно переходять до атакуючого. Такі шахрайства базуються на візуальній схожості, а не на технічних вадах.
PeckShield також задокументувала ще один інцидент у грудні, пов’язаний з витоком приватного ключа для мультипідписного гаманця. Цей злам призвів до втрат близько $27,3 мільйона. Випадок показав, що навіть гаманці, які потребують декількох підтверджень, залишаються вразливими у разі порушення безпеки ключів.
Браузерні гаманці залишаються вразливими
Браузерні гаманці завжди залишаються основною мішенню для зловмисників, головним чином через постійне підключення до Інтернету. PeckShield згадала одну з атак на Різдво, під час якої було виведено близько $7 мільйонів через браузерне розширення Trust Wallet. Інший інцидент у грудні був спрямований на протокол Flow із приблизними втратами $3,9 мільйона.
Ці випадки чітко свідчать про ризики, які все ще існують в онлайн-середовищах гаманців. Більшість дослідників безпеки рекомендують апаратні гаманці, які зберігають приватні ключі офлайн, як найбезпечніший варіант для довготривалого зберігання.
Щодо поточного виведення коштів із EVM-гаманців, команди з безпеки радять користувачам відкликати невикористані дозволи, перевірити підключені додатки та зменшити активність підпису. Багато хто також рекомендує перевести активи на нові гаманці з новими seed-фразами, поки триває моніторинг.
