Хакерские атаки на криптосервисы: от “А” до “Я”
05.03.2024 | CoinKyt Company

Существует множество способов взломать компьютерную систему организации или пользователя и украсть ценные сведения. Для многих компаний такое событие становится катастрофой. В ряде случаев утечка конфиденциальных данных способна полностью разрушить репутацию и бизнес предприятия и привести к его краху. Для пользователя взлом компьютера чаще грозит кражей учетных данных и потерей денег.

 

Компания Positive Technologies (разработчик продуктов и решений для кибербезопасности с 2002 года) установила, что во II квартале 2023 года количество кибератак увеличилось на 4% по сравнению с предыдущим кварталом и на 17% относительно II квартала 2022 года. Выросла доля целевых атак — они составили 78% от общего количества. Самые частые последствия успешных кибератак:

 

  • утечки конфиденциальной информации (67%);
  • нарушение основной деятельности (44%).

 

При атаках с утечками конфиденциальной информации хакеры стремятся похитить персональные данные (53%) и коммерческую тайну (18%) организаций. Если атаки ведутся на частных лиц, крадут преимущественно учетные данные (43%).

 

Отдельную нишу в сфере цифровых преступлений занимают хакерские атаки на блокчейн-проекты, в частности на криптосервисы. Криптовалюта очень привлекательна для мошенников, поскольку нередко не защищена обычными мерами финансовой безопасности

 

Да, блокчейн сам по себе основан на механизмах шифрования, но любой шифр реально взломать. Чем больше уязвимостей в коде, тем выше риск успеха атаки в исполнении хакеров. В случае взлома и кражи криптовалюты клиенту значительно сложнее добиться правосудия и вернуть свои активы. Платформы блокчейн-аналитики помогают искать украденные средства, но, к сожалению, в большинстве случаев не могут предотвратить кражу криптовалюты, поскольку источник взлома находится вне блокчейна.

 

Наиболее распространенные хакерские атаки на блокчейн

 

В общем случае, если не вдаваться в подробности многочисленных разновидностей взломов, атаки на блокчейн бывают нескольких видов: эксплойт (использование уязвимостей программного кода), взаимодействие с жертвой (атака на пользователя), перехват и подмена (клиппинг).

 

Эксплойт (Exploit) — подвид вредоносных программ. Это данные или исполняемый код, который может воспользоваться одной или несколькими уязвимостями в программном обеспечении на локальном или удаленном компьютере. Пользователь либо посещает сайт, содержащий вредоносный код, либо открывает файл со скрытым вредоносным кодом. Во втором случае для доставки эксплойта, как правило, пользуются спамом (фишингом). Например, вирус-шифровальщик Deadbolt  (появился в 2022 году) шифрует информацию на компьютере жертвы и вымогает выкуп в криптовалюте за ее расшифровку.

 

Рис. 1. Так выглядит всплывающее окошко шифровальщика Deadbolt

 

Активное взаимодействие с жертвой атаки — другой распространенный способ увести крипту. Мошенники создают фейковые аккаунты, знакомятся с “клиентом”, втираются в доверие. Жертву побуждают воспользоваться фишинговой ссылкой или сомнительным ресурсом. В результате клиент сам передает хакерам информацию, которая необходима для кражи криптовалюты с его кошелька.

 

Перехват подразумевает “подделку” интерфейса между ИТ-сервисами. Он происходит после того, как пользователь начинает сеанс под своим аккаунтом. Браузер создает временный файл сеанса с данными пользователя. Вот тут-то и вмешивается хакер, разными способами получая доступ к чужому сеансу. Пока пользователь совершает покупки или ищет нужную ему информацию, хакер использует его активный сеанс, чтобы украсть личные данные и деньги.

 

Клиппинг — подмена данных в буфере обмена. В подобных атаках используются вредоносные программы. Они отслеживают содержимое буфера обмена и, когда определяют, что жертва скопировала адрес кошелька, незаметно подменяют его. Средства уходят на кошелек злоумышленника. 

 

Например, вредоносный установщик Tor, который активно распространялся по странам СНГ в 2022–2023 гг., встраивался в цепочку программ, допущенных к просмотру буфера обмена Windows. Он получал уведомления об изменении данных в буфере. Если это был текст, вредоносная программа искала в нем регулярные выражения из существующего набора. Если видела совпадения, заменяла текст случайно выбранным адресом из заданного списка. После этого деньги уходили злоумышленникам.

 

Рис. 2. Суммы криптовалют, украденных с помощью вредоносного установщика Tor в 2022–2023 годах (по данным “Лаборатории  Касперского”)

 

Довольно любопытный вариант мошенничества — поддельные аппаратные кошельки. О таком способе сообщает, например, Лаборатория Касперского. В ее блоге можно найти подробный материал с разбором поддельного аппаратного кошелька Trezor Model T. В один злополучный день крупная сумма в криптовалюте с этого кошелька ушла на сторону. Вскрытие кошелька показало, что это подделка.

 

Самый распространенный способ (до 70% всех атак) — эксплойт. Причем если раньше атаки были связаны преимущественно с получением доступа к механизму консенсуса, то теперь это чаще атаки на смарт-контракты DeFi протоколов, а также на блокчейн-мосты (помогают проводить операции со средствами в разных блокчейнах).

 

Хакерские атаки последних лет

 

По данным экспертов, за один лишь третий квартал 2023 года количество взломов криптобирж, DeFi-сервисов и других блокчейн-проектов  составило 25 [1]. Хакерским атакам подверглись биржи CoinEx (ущерб составил $70 млн), Huobi (ущерб — $8 млн), Remitano (ущерб — $2,7 млн). Больше всего пострадали DeFi-сервисы, особенно Mixin (ущерб составил $200 млн), Multichain (ущерб — $126 млн) и Curve Finance (ущерб — $ 62 млн). Среди блокчейн-мостов мишенью стала Poly Network (ущерб — $5,5 млн). Пострадало даже одно крипто-казино Stake (ущерб — $41.3 млн). Преобладали атаки на DeFi-проекты, затем с большим отрывом шли платежные сервисы и криптобиржи.

 

Рис. 3. Биржа CoinEx пережила атаку хакеров (скрин сделан 25 февраля 2024 года)

 

В июне 2023 года произошла атака на децентрализованный кошелек Atomic Wallet. У пользователей начали несанкционированно списывать токены. Убытки составили, по разным данным, от $35 млн до $100 млн. Эксперты аналитической компании Elliptic по способу отмывания “грязной крипты” предположили, что за взломом стоят хакеры из Северной Кореи (группировка Lazarus). Способ взлома непонятен, ведь на серверах кошелька не хранились ни пароли, ни приватные ключи. Возможно, атаке подверглись сами разработчики.

 

В 2022 году компания Sky Mavis (разработала игру Axie Infinity, которую относят к категории pay-to-earn, или “играй, чтобы зарабатывать”) потеряла по разным оценкам от $540 млн до $650 млн в криптовалютах ETH (Эфириум) и USDC (USD-coin, криптовалюта, привязанная к доллару). Блокчейн-мост Ronin, который обеспечивал связь между внутриигровыми токенами Axie Infinity и сетью Ethereum, был скомпрометирован. Транзакции в Ronin удостоверялись девятью узлами-валидаторами. Хакеры умудрились скомпрометировать пять из них, чтобы подписать свои переводы. Проникновение в сеть предположительно произошло путем комбинации вредоносного ПО и устаревших и не отозванных вовремя реквизитов доступа [2].

 

В июне 2022 года года атаку пропустил блокчейн-мост Harmony’s Horizon. Хакерам удалось похитить активы стоимостью $100 млн. А в августе в руках мошенников оказалось почти $200 млн в результате взлома моста Nomad.

 

В феврале 2022 года хакеры украли $36 млн ($21 млн в криптовалюте BTC и $15 млн — в ETH) со счетов фонда IRA Financial. Это американский пенсионный фонд, инвестирующий в криптовалютную индустрию. Он был связан с криптовалютной биржей Gemini. Оказывается, в день инцидента хакеры сделали ложный вызов в полицию. Та прибыла в офис IRA и отвлекла сотрудников компании от мониторинга безопасности транзакций.

 

В 2022 году атакам подверглись биржи Maiar (ущерб $113 млн), Crypto.com (ущерб $34 млн) и Derbit (ущерб $28 млн). Среди DeFi сервисов пострадавшими числятся Beanstalk (ущерб $181 млн), Wintermute (ущерб $161 млн), Mango Market (ущерб $114 млн).

 

Злоумышленники не обходят вниманием и криптообменики. Так, в июне 2021 года взломали обменник Bithub.im. За семь часов хакеры получили около $5 млн. Часть пользователей получила свои деньги назад (компания вернула пользователям около $2,1 млн).

 

Мы перечислили лишь несколько громких хакерских атак за последние годы. На самом деле их десятки и сотни. Разработчики блокчейнов не прекращают поиски уязвимостей, чтобы предотвратить утечку криптовалют, а хакеры продолжают попытки взлома.

 

--------------------------

[1] Хакерские атаки на криптосервисы за 3 квартал 2023 года // Шард. URL: https://shard.ru/article/hacking_attacks_on_crypto_services_for_q3_2023
(дата обращения 24.02.2024)

[2] Восемь самых ярких криптокраж в истории // Лаборатория Касперского. URL:

https://www.kaspersky.ru/blog/top-eight-crypto-scams-2023/35628/ (дата обращения 25.02.2024).