Данная статья перевод твита зарубежного крипто-эксперта под логином Tay
За последние 48 часов я расследовал огромную операцию по опустушению кошельков, которая ввела меня в ступор!
Я не знаю, насколько большой этот масштаб, но с декабря 2022 года она высосала более 5000 ETH в токенах / NFT / монетах по 11+ цепочкам.
Это коснулось лично моих друзей и OGs, которые мягко говоря не новички и знают, как себя обезопасить.
До сих пор до конца неизвестно, как это удалось злоумышелнникам, но самое главное, это НЕ низкопробный фишинговый сайт и не случайный мошенник, которому просто повезло.
Он НЕ скамнул ни одного новичка. Он опустошает только OGs. - кошельки крупных игроков.
Если вы храните всё в одной секретной фразе / приватном ключе, пожалуйста, обезапосьтесь и диверсефицуруйтесь по разным кошелькам.
Все жертвы связаны парой общих вещей:
- Ключи были созданы между 2014-2022 годами
- Люди более связаны с криптовалютами, чем большинство (например, несколько адресов, работают в крипто сфере и т.д.)
Самое главное, что вам нужно сейчас осознать:
НЕ ХРАНИТЕ ВСЕ ВАШИ АКТИВЫ В ОДНОМ КЛЮЧЕ ИЛИ СЕКРЕТНОЙ ФРАЗЕ НА ПРОТЯЖЕНИИ МНОГИХ ЛЕТ. Это самое главное!.
- Разделите свои активы;
- Сделайте аппаратный кошелек;
- Мигрируйте и чем раньше, тем лучше.
Моя основная догадка заключается в том, что кто-то получил себе жирный кэш данных более года назад и методично сливает ключи, как только они парсят их из этой кучи.
Но это только догадка. Наверняка я не знаю.
Но это точно НЕ связано с криптографией / энтропией, на эти домыслы даже не тратьте свое время.
Кража и движение по сети после кражи - сильно отличаются. Это невероятно.
Основные транзакции кражи почти всегда выполняются между 10:00 и 16:00 по координированному всемирному времени (UTC).
Вторичные кражи и сбор "мусора" могут происходить в любое время, но обычно между 16:00 и 22:00 по UTC.
Дополнительные снятия (для активов, которые были пропущены при первоначальной проверке) обычно выполняются примерно через 4 часа после первоначальной кражи или на следующий день примерно в 7:00 по UTC.
Иногда аккаунты повторно проверяются через недели или месяцы.
3. За исключением случаев кражи очень больших сумм, злоумышленник свопает ваши токены на ETH внутри вашего кошелька, и только потом выводит их.
Они используют MM🦊 Swaps, Uniswap или 0x (особенно недавно через 0x, обозначенный как "0x: Exchange Proxy Flash Wallet").
4. Злоумышленник часто пропускает стейкинговые позиции, NFT или малоизвестные токены.
Иногда злоумышленник возвращается за оставшимися активами через часы, дни или месяцы.
5. Для небольших сумм и активов на других EVM-цепочках злоумышленник часто перемещает активы с одного из ваших адресов на другой, или даже от жертвы 1 -> жертва 2 -> жертва 3....
Когда в одном адресе накапливается достаточное количество ETH, они его выводят.
Это может выглядеть так, будто случайное лицо с именем ENS отправило 0,0X ETH на комиссию и затем украл все ваши средства.
"Случайное имя ENS - НЕ ваш злоумышленник, это еще одна жертва.
НЕ БУДЬТЕ КАК НИК!🤣
6. Вывод происходит всегда через централизованный своппер, такой как:
- FixedFloat
- SimpleSwap
- SideShift
- ChangeNOW
- LetsExchange
- Неизвестный обменник @ 0xca60
- Другие не помеченные свопалки в Binance
Крупные кражи в декабре 2022 года использовали RenBridge
Конечным местом назначения всегда является биткоин
LTC, XRP, XMR и т. д. также переходят в BTC.
7. Около 20-30 перемещений объединяются в 4-6 адресов биткоина, затем они стоят, и далее в течение следующих 0-6+ дней идут в:
- Coinomize
- Wasabi
- CryptoMixer
Переводы BTC скорее всего происходят рано утром (10:00-13:00 UTC) или в качестве последнего шага после кражи (22:00 UTC или 01:00 UTC).
8. За исключением крупных операций, злоумышленник отправляет транзакции через MetaMask🦊.
Да, он вытягивает средства у пользователей OG MM и сотрудников OG MM, используя MM.
(пс: Я знаю об этом не из-за какой-то секретной информации от MM - я знаю это, потому что это легко видно на блокчейне)
9. Остатки "пыли" (маленькие незначительные суммы) в оригинальных опустошенных адресах и/или из других ключей под тем же сидом были украдены более, чем через 80 дней после того, как был опустошен первый адрес.
Известные крупные сборы "пыли" с уже опустошенных аккаунтов произошли:
- 15 февраля
- 17 февраля
- 22 февраля
- 23 марта
- 26 марта
- 6 апреля
Последние IP-адреса в основном являются HideMy, но также было замечено множество IP-адресов и User Agents (идентификационных строк браузеров). VPN-ы, невидимые VPN-ы, прокси, не помеченные данные.
Операционные системы:
Обычно используется Windows/Chrome, но также виделись Windows/FF и Mac/Chrome. Вообще, везде это выглядит странно.
(MM / Infura НЕ ИМЕЮТ User Agents (идентификационных строк браузеров) и IP-адресов.)
Наконец, много краж происходят в выходные. Почему? Да без понятия.
Я, конечно, не знаю о каждой транзакции, но это странно.
Это очень странно:
- 18 декабря = воскресенье
- 25 декабря = воскресенье
- 29 января = воскресенье
- 17-19 февраля = пятница-воскресенье
- 15 апреля = суббота
Если вы подумали, что эти кражи произошли по тупости пользователей, то напомню, что кражи произошли по очень крупным кошелькам, владельцы которых не первый год в крипте. Есть множество умных, методичных и безумных APT-атак, нацеленных на эту сферу.
Чтобы быть абсолютно ясным: это НЕ эксплойт, связанный только с MM.
Пользователи всех кошельков, даже тех, которые созданы на аппаратных кошельках или сгенерированы для предпродажи Ethereum, пострадали от этого.
Источник этого эксплойта неопределен, и я пытаюсь его идентифицировать
Завершение:
Мы уже несколько месяцев на связи с несколькими жертвами, и вот что они нам рассказали:
Они использовали различные криптовалютные кошельки и программы, такие как: MM Mobile, Extension, MEW, Ledger Live, MyCrypto, Trust, Exodus, Electrum, Coinomi, Coinbase Wallet.
Они использовали различные операционные системы, такие как: Mac, PC, Linux, Android, iOS.
Ключи для доступа к кошелькам могли быть 12- или 24-словными мнемоническими фразами, прямыми приватными ключами, зашифрованными приватными ключами (keystore), файлами wallet.dat или Genesis presale wallet.
Также оказалось, что в некоторых случаях ключи хранились в облачных хранилищах или менеджерах паролей, в то время как в других случаях они не использовали облачные хранилища или менеджеры паролей. Мы заметили, что некоторые пользователи использовали одинаковые менеджеры паролей, а некоторые - нет, и не все пользователи хранили свои ключи или пароли в таких менеджерах.
Были случаи, когда средства списывались с нескольких счетов, принадлежащих одной мнемонической фразе. Иногда средства списывались только с одного счета. А были случаи, когда средства списывались с нескольких счетов, не принадлежащих одной мнемонической фразе, но хранившихся вместе или в одном кошельке.
То есть никакой закономерности и логической последовательности НЕТ вообще!
Такая ситуация проявляется прямо перед нами, смешно, правда?
