Опасные тренды: как именно крадут деньги с криптокошельков

Игорь получает зарплату за фриланс в USDT. Оплачивает в DOGE подписку за комфортные сервисы и серверы по работе. В 2023 году мы все немного Игорь и деньги на блокчейне нас не пугают.

Цифровой сектор активно привлекает держателей, инвесторов и новую поросль трейдеров с 2017 года. С тех времен, когда шумели первые ICO и появились удобные биржи. Тем не менее, как хорошо бы пользователи не умели управлять криптовалютами, стоит время от времени обновлять кругозор. В этом материале — о безопасности: какие атаки сейчас наиболее актуальны среди злоумышленников и что такое Address Poisoning Attack (APA).

В пору первых ICO переводы в криптовалютах было делом нечастым. Неосведомленность в нюансах играла на руку злоумышленникам. Сейчас без базовых знаний о блокчейне сложнее. Они помогают безопаснее и дешевле проводить транзакции, избегать сомнительных проектов и время от времени вкладывать активы ко что-то поистине стоящее. Но тема этого материала — не об инвестициях, а про безопасность. Итак, Address Poisoning Attack (APA). Дословно — это атака с подменой адресов. В переводе на понятный язык — так называют причины большинства краж из блокчейна, таких как:

Способ не новый, но все еще остается актуальной угрозой. Самая частая ситуация — e-mail с вредоносной ссылкой. Кликать по ней нельзя, но если это произошло, то можно подцепить скрытую автозагрузку скрипта. Последствия могут оказаться не очень серьезными — появятся навязчивые рекламные баннеры. В более тяжелом случае — вредители крадут приватные ключи, а затем и активы с баланса криптокошелька.

К фишинговым атакам относятся и все сайты-имитации официальных страниц (бирж, проектов и даже госучреждений). Поэтому нужно проверять адреса в строке сервисов для работы с деньгами перед первым входом, а затем сохранять в «Избранное». Это уменьшит угрозу фишинга во много раз.

Вариант не так распространен, как в предыдущем случае. Атакующие мониторят блокчейн в поиске адресов, которые часто используются. Прозрачность криптосетей позволяет злоумышленникам видеть историю транзакций с участием любого кошелька. Если на балансе регулярно вводятся активы и скапливается значительный баланс, то адрес становится хорошей мишенью. В таком случае атакующие могут приложить больше сил для поиска уязвимостей.

Однако некоторые кошельки позволяют генерировать новый адрес для каждой транзакции. Это снижает риск попасться на охотников на повторными адресами и потерять криптовалюты со счета.

В этом случае злоумышленники перехватывают отправленные криптовалютные средства «на лету». Например, держатель со своего кошелька хочет перевести активы реальному получателю, но в момент инициации адрес программно подменивают. Внезапно такие манипуляции не происходят. Как правило, это следствие явного или скрытого взлома устройства или установки вредоносного скрипта.

Принцип действия тот же. С помощью QR-кодов можно также незаметно подменить адрес.

Поэтому рекомендуется недоверять любой информации, полученной из неофициальных источников. Особенно, если речь идет о сторонних сервисах — например, хайповых проектах и криптовалютах на стадии предпродаж. Их активно рекламируют и упоминают блогеры. Внутри обзоров и в шапках профилей публикуются ссылки и QR-коды. Ненамеренно (или не очень) такие ресурсы могут быть зловредными или ложными. Поэтому важно проверять их подлинность:

Если коротко — это создание криптовалютных адресов, которые очень напоминают настоящие. Злоумышленники пользуются невнимательностью и даже добрыми побуждениями держателей. Например, злодеи генерируют Bitcoin-кошелек, который визуально схож с адресом благотворительной организации. Благодетели могут ненароком отправить пожертвование не фонду, а злоумышленникам.

Последние 2 варианта вне контроля частных пользователей. Однако если вы Web3-разработчик, то можете с ними столкнуться в работе своего проекта. Атаки Сибиллы — это несколько фиктивных идентификаций или узлов. Другими словами злоумышленники выдают себя за рабочую силу, которая позволяет криптосети функционировать. Но цель атаки Сивиллы — криминальная. Узел будет намеренно создавать уязвимость.

Это продлится до тех пор, пока не появится удачный момент для хищения криптовалют. Такие эксплойты накрывают волной сотни и тысячи кошельков в уязвимом блокчейне.

Не всегда злоумышленники выдают себя за узел. Порой они находят ошибки в программном коде смарт-контрактов. Именно поэтому и происходят крупные хищения из протоколов децентрализованных финансов, как это было с Curve в конце лета или Ronin в прошлом году. Из последнего из-за уязвимости украдены криптовалюты на $625 млн.

Технически, активы не крадутся с кошельков, а выводятся из смарт-контракта. Но факт все же в том, что держатели не получили эти средства обратно. Се-ля-ви (пер. с французского C'est La Vie — «такова жизнь»).

Уязвимости смарт-контрактов находят во всех сферах их применения, среди них:

Здесь все просто, главная цель кражи — желание злоумышленников присвоить криптовалюты с кошелька. Потеря денег — всегда неприятно. Особенно, если это средства, заработанные трудом.

Если кошелек предоставляет возможность создавать новый адрес для транзакции — стоит ею пользоваться. Эту функцию дает, например Trezor. Про внимательность и недоверие к любым данным было сказано выше. Среди прочих рекомендаций:

В завершение, если появилось подозрение на атаку, важно написать обращение в техподдержку кошелька. Это поможет уберечь других пользователей, а иногда и вернуть средства.