A exploração Bitkeep que ocorreu em 26 de dezembro usou sites de phishing para enganar os usuários a baixar carteiras falsas, segundo a um relatório do provedor de análise de blockchain OKLink.
O relatório afirmou que o invasor configurou vários sites falsos do Bitkeep que continham um arquivo APK semelhante à versão 7.2.9 da carteira Bitkeep. Quando os usuários “atualizaram” suas carteiras baixando o arquivo malicioso, suas chaves privadas ou seed words foram roubadas e enviadas ao invasor.
【12-26 #BitKeep Resumo do evento de hack】
1 / nDe acordo com dados da OKLink, o roubo de bitkeep envolveu 4 cadeias BSC, ETH, TRX, Polygon, OKLink incluiu 50 endereços de hackers e o volume total de Txns atingiu US$ 31 milhões.
—OKLink (@OKLink) 26 de dezembro de 2022
O relatório não disse como o arquivo malicioso roubou as chaves dos usuários de forma não criptografada. No entanto, pode ter simplesmente pedido aos usuários que reinseríssem suas palavras iniciais como parte da “atualização”, que o software poderia ter registrado e enviado ao invasor.
Uma vez que o invasor tinha as chaves privadas dos usuários, ele retirou todos os ativos e os drenou para cinco carteiras sob o controle do invasor. A partir daí, eles tentaram sacar parte dos fundos usando exchanges centralizadas: 2 ETH e 100 USDC foram enviados para a Binance e 21 ETH foram enviados para a Changenow.
O ataque aconteceu em cinco redes diferentes: BNB Chain, Tron, Ethereum e Polygon, e as pontes BNB Chain Biswap, Nomiswap e Apeswap foram usadas para ligar alguns dos tokens ao Ethereum. No total, mais de US$ 13 milhões em criptomoedas foram roubados no ataque.
Relacionado: Defrost v1 hacker supostamente devolve fundos à medida que surgem alegações de 'exit scam'
Ainda não está claro como o invasor convenceu os usuários a visitar os sites falsos. O site oficial do BitKeep forneceu um link que enviou os usuários à página oficial da Google Play Store para o aplicativo, mas não carrega um arquivo APK do aplicativo.
O ataque BitKeep foi relatada pela primeira vez por Peck Shield às 7h30 UTC. Na época, a culpa foi de um “hackeamento da versão do APK”. Este novo relatório da OKLink sugere que o APK hackeado veio de sites maliciosos e que o site oficial do desenvolvedor não foi violado.
Fonte: https://cointelegraph.com/news/bitkeep-exploiter-used-phishing-sites-to-lure-in-users-report