У опытных криптоинвесторов украли NFT на 765 тысяч долларов. Как это произошло, и как защитить свои токены?
Инвесторы и даже создатели NFT-проекта под названием Gutter Cat Gang стали жертвами мошеннической атаки с использованием так называемого SIM-своппинга. В результате ситуации убытки достигли немалой суммы в 765 тысяч долларов. Команда проекта в Твиттере раскрыла некоторые детали действий мошенников. Также не исключено, что вскоре появится больше информации о компенсациях с их стороны. Рассказываем о произошедшем подробнее.
Вообще суть SIM-своппинга или подмены SIM-карты заключается в получении информации мошенником о жертве. Затем хакер обращается к оператору мобильной связи жертвы с просьбой перевыпуска карты якобы в связи с её утерей. В итоге на руках у злоумышленника оказывается рабочий номер телефона, с помощью которого можно обойти двухфакторную аутентификацию (2FA) на разных биржах и платформах.
Таким образом мошенник получает устройство, на которое приходят сообщения, адресованные реальному владельцу номера. А поскольку многие пользователи криптовалютных бирж и прочих централизованных платформ используют двухфакторную аутентификацию с задействованием SMS-сообщений, хакерам достаточно подобрать комбинацию адреса электронной почты и пароля. Ну а новая уникальная комбинация для входа в учётную запись и последующего вывода активов придёт на «захваченный» номер.
Криптовалютный хакер
Увы, данная схема позволяет проворачивать и более сложные атаки, которые при этом приносят хакерам немалые суммы. Причём «заработать» мошенники могут и на NFT, по-прежнему пользующихся огромной популярностью среди инвесторов.
Как крадут криптовалюты и NFT?
Первые признаки активности мошенников участники сообщества заметили ещё в конце прошлой недели. Спустя некоторое время сооснователь Gutter Cat Gang под ником Gutter Mitch опубликовал в Твиттере следующее предупреждение.
Наш аккаунт взломан. Пожалуйста, не переходите по публикуемым ссылкам.
Статистика NFT-коллекции под названием Gutter Cat Gang
Ещё один сооснователь проекта под псевдонимом Gutter Ric тоже стал целью хакеров, которые смогли завладеть его учётной записью. Аккаунты были использованы мошенниками для распространения ссылок на фейковый лимитированный дроп NFT-кроссовок якобы от команды Gutter Cat Gang. При переходе по таким ссылкам с горячих кошельков пользователей автоматически выводились средства.
Напомним, суть подобных взломов заключается в разрешениях на взаимодействие со смарт-контрактами, которые в том числе неосознанно предоставляют владельцы криптоактивов. К примеру, разработчик-мошенник может установить функцию, позволяющую ему выводить средства с кошелька другого человека.
В нормальных условиях подобная функция нужна для проведения обменов одного криптоактива на другой, когда платформа вынуждена забрать с кошелька токен пользователя, с которым проводится операция. Однако хакеры используют эту особенность в свою пользу и таким образом крадут криптовалюты, токены и NFT.
Отозвать все предоставленные разрешения для разных смарт-контрактов со своего адреса позволяет платформа Revoke.cash. Её необходимо использовать для отмены разрешений для неизвестных контрактов, что угрожает сохранности цифровых активов. Также опытные пользователи рекомендуют отзывать разрешения для известных платформ, которые больше не используются. Это позволит обезопасить себя на случай их взлома.
Интерфейс платформы Revoke.cash для отзыва разрешений для смарт-контрактов
Согласно данным источников Cointelegraph, хакеры использовали изображения из промо-кампании реального дропа кроссовок проекта в коллаборации с Puma и звездой NBA/Charlotte Hornets ЛаМело Болл. Выглядит он так.
Реальный дроп кроссовок NFT-коллекции
Популярный криптоэнтузиаст под ником ZachXBT в комментариях к предупреждению Gutter Mitch заявил, что команда проекта пострадала как раз от уже упомянутого SIM-своппинга, который позволил получить контроль над Твиттером проекта и опубликовать ссылки на фейковые сайты для кражи криптоактивов.
Он также отметил, что использование 2FA через SMS является ненадёжной практикой — здесь лучше использовать платформы по типу Google Authenticator. Вдобавок в свете всех событий разработчикам NFT-коллекции следовало бы задуматься над программой компенсаций для пострадавших пользователей, поскольку вина за произошедшее по сути лежит как раз на разработчиках.
Объём потенциальных компенсаций может достичь планки в 765 тысяч долларов. В отдельном треде ZachXBT подсчитал убытки некоторых пользователей. Как минимум один из пострадавших потерял токен из серии Bored Ape Yacht Club стоимостью свыше 65 тысяч долларов. Вот этот NFT.
Утерянный токен BAYC
Ещё один юзер лишился около 700 тысяч долларов в разных NFT.
Утерянные NFT-токены одного из пользователей на 700 тысяч долларов
Член команды проекта под ником Gutter Dan заявил, что его коллеги уже активно сотрудничают с разными экспертами в сфере кибербезопасности и правоохранительными органами. Возможно, больше информации о компенсациях появится позже.
Вообще в глобальном масштабе потери от хакерских атак во всей криптоиндустрии поражают – сумма убытков с 2012 года превышает уровень 30 миллиардов долларов. Более 30 процентов от этой суммы или 10.95 миллиарда долларов было украдено с централизованных бирж. Об этом говорят результаты недавнего исследования аналитиков SlowMist.
В целом в период с 2012 по 2023 год было зафиксировано 118 хакерских атак на биржи. Два наиболее значительных взлома произошли в 2021 году и принесли убыток в размере почти 5 миллиардов долларов. Эксперты также уточнили, что большинство масштабных взломов происходило во время бычьих рыночных циклов, когда индустрия цифровых активов выдавала ощутимый рост в короткие промежутки времени.
Самые распространенные типы атак
Непосредственно из блокчейнов и криптокошельков за этот период хакерам удалось «извлечь» менее 1 миллиарда долларов, сообщает CryptoSlate. Сумма убытков от взломов горячих кошельков составила 408.9 миллиона долларов, ну а атаки на блокчейн-протоколы позволили злоумышленникам «заработать» около 207.2 миллиона долларов.
Топ ниш внутри индустрии криптовалют для хакерских атак
Сфера NFT-токенов отметилась убытками в размере около 200 миллионов долларов. Здесь основным методом скама были фишинговые атаки, подобные вышеупомянутой схеме с Gutter Cat Gang. Стоит отметить, что экосистемы Эфириума и BNB Chain оказались наиболее популярными среди хакеров как по количеству взломов, так и по объёму украденных средств. В данном случае убытки составили 3.1 и 1.45 миллиарда долларов соответственно.
Похоже, индустрия цифровых активов продолжает быть неразрывно связанной с мошенничеством. Увы, для держателей крипты и токенов это означает реальную перспективу финансовых убытков вследствие взлома. Чтобы избежать подобного, необходимо хранить криптоактивы на аппаратных кошельках, а также в идеале при этом не использовать такие адресы для взаимодействия со смарт-контрактами