- В 2019 году у технического менеджера биржи BitGo было украдено $100 000 с биржи Coinbase с помощью SIM swapping: смс-код от 2FA пришел на устройство преступников и они получили доступ к его аккаунту на бирже.
- В 2023 году технического директора OpenSea обманом заставили подписать вредоносную подпись, что привело к потере 40 NFT.
- В 2023 году кроссчейн-мост Allbridge потерял цифровые активы стоимостью около $570 000 в результате хакерской атаки, которая была связана с манипуляцией ценой свопа.
- В 2023 году злоумышленники похитили $500 000 в ходе стартовавшего накануне аирдропа Arbitrum, подделав vanity-адреса легитимных получателей токенов.
- В 2023 году произошла атака на банкомат General Bytes, в результате которой было украдено около $1.8 млн. Злоумышленник смог удаленно загрузить собственное java-приложение через мастер-сервисный интерфейс, используемый терминалами для загрузки видео, и запустить его, используя привилегии пользователя batm.
Согласно отчету Slowmist в 2022 году большинство атак на проекты были вызваны недостатками в дизайне самой программы или уязвимостями в контрактах. Наиболее часто встречающийся тип атак это атака с использованием флэш-кредита.
Атака с использованием флэш-кредита - это использование функции смарт-контрактов флэш- кредита, при которой злоумышленник занимает большие суммы денег без обеспечения. Затем он манипулирует ценой криптоактива на одной бирже, прежде чем быстро продать его на другой. Такие атаки являются наиболее распространенными из-за их дешевизны и легкости исполнения.
Другие типы атак были нацелены на проблемы с повторным входом, манипулирование ценами и проблемы с проверкой. Кража секретных ключей происходила всего в 6,6 процентах случаев. Самыми большими потерями от кражи секретных ключей стали инциденты с Ronin и Harmony; оба случая связаны с кроссчейн-мостами.
Кроссчейн-мост это протокол, который позволяет передавать токены или произвольные данные из одной цепочки блокчейна в другую.
Отчет Slowmist сообщает, что наиболее популярные методы фишинговых атак включают в себя:
- использование вредоносных закладок браузера для кражи токена Discord: вставляя код JavaScript в закладки через фишинговые страницы, злоумышленник потенциально может получить доступ к Discord информации пользователя и завладеть правами учетной записи;
- «Blank Check» eth_sign: при подключении кошелька на каком-либо сайте может появиться окно заявки на подпись с красным предупреждением от Metamask. Из этого окна может быть трудно определить, что именно просят подписать. Этот тип подписи позволяет мошенникам использовать закрытый ключ пользователя для подписания любой транзакции, которую они выберут. Метод eth_sign может подписывать любой хэш, т.е. как только злоумышленник получит адрес пользователя и подключится к DApp, он может создать любой запрос (например, отправку средств или вызов контракта) и попросить подписать его через the_sign;
- использование похожих на клиентские адресов для отправки поддельных транзакций.
Также компания Kaspersky разработала новый инструмент - Klipper, который может распознавать мнемонические фразы из скриншотов, сделанных на устройствах с Android.
Harmony кроссчейн мост: Кроссчейн мост включал в себя мультиподпись типа 2 из 5, т.е. для проверки транзакций потребовалось 2 ключа из общего числа 5 ключей. Злоумышленники скомпрометировали 2 адреса, скорее всего, горячих кошельков, чтобы вывести деньги. Далее полагается, что злоумышленники скомпрометировали серверы, на которых работали эти горячие кошельки, и получили доступ к ключам, которые хранились в “plaintext” для подписания законных транзакций. Когда ключ хранится в “plaintext”, он представляет собой обычный читаемый текст и не был зашифрован. Таким образом, злоумышленники смогли получить доступ к ключу, не обязательно расшифровывая его.
Wintermute маркетплейс:
Хранилище Wintermute позволяет выполнять эти переводы только администраторам, и горячий кошелек Wintermute выполнял эту роль. Злоумышленник cмог вычислить секретные ключи адреса администратора хранилища и таким образом вывести средства. Для этого он воспользовался уязвимостью инструмента Profanity. Инструмент Profanity позволял генерировать удобночитаемые Ethereum-адреса (vanity-адреса), содержащие слова, имена или фразы. Адрес администратора хранилища начинался с префикса «0x0000000», характерного для vanity-адресов.
Ronin - проект компании Sky Mavis, которая развивает блокчейн-игру Axie Infinity. Изначально приложение работало на Ethereum, но Sky Mavis разработала сайдчейн Ronin для увеличения скорости обработки внутриигровых операций. Каналом связи между ним и Ethereum был кроссчейн-мост Ronin Bridge, благодаря которому в Axie Infinity можно было переводить активы стандарта ERC-20.
Сеть Ronin работала по принципу 5 из 9 подписей.
В ноябре 2021 г. Sky Mavis обратилась к Axie DAO за помощью с выполнением бесплатных транзакций. Из-за большого количества пользователей Axie DAO внесла Sky Mavis в белый список, что позволило Sky Mavis подписывать различные транзакции от ее имени, и этот процесс был прекращен в декабре 2021 г. Доступ к белому списку не был отозван, и как только злоумышленники получили доступ к Sky Mavis это позволило им подписать заявку на вывод средств от валидатора Axie DAO с помощью RPC-ноды.
Доступ к Sky Mavis был получен благодаря тому, что один из сотрудников команды подвергся фишинговой атаке, в результате чего злоумышленник получил доступ к инфраструктуре компании и валидаторам Ronin. По данным The Block, хакеры связались через LinkedIn от имени поддельной компании, и когда сотрудники клюнули на приманку, провели несколько раундов поддельных собеседований, а затем «чрезвычайно щедрый» поддельный компенсационный пакет. В итоге один старший инженер щелкнул PDF-файл, предположительно содержащий официальное предложение, после чего хакеры сначала взломали компьютер инженера, а затем четыре из девяти узлов, используемых для проверки финансовых транзакций в Ronin.
Сеть Ronin Sky Mavis состоит из девяти проверяющих узлов, каждый из которых требует не менее пяти подписей для идентификации депозита или вывода средств. Злоумышленники обнаружили бэкдор с помощью безгазовой RPC-ноды, где они в конечном итоге получили контроль над пятым закрытым ключом стороннего валидатора Axie DAO.