Setki Portfeli Opróżnione w Trwającym Ataku Cross-Chain, Ostrzega ZachXBT

Aktywny exploit międzyłańcuchowy opróżnia setki portfeli kryptowalutowych w wielu blockchainach kompatybilnych z EVM, a straty przekraczające 107 000 USD wciąż rosną w miarę trwania ataku.

Śledczy blockchainowy ZachXBT zgłosił incydent we wczesnych godzinach piątkowych, ostrzegając, że ofiary tracą stosunkowo niewielkie kwoty na portfel (zazwyczaj poniżej 2000 USD), podczas gdy przyczyna źródłowa pozostaje nieznana.

Skoordynowany atak następuje po niszczycielskim grudniu dla bezpieczeństwa kryptowalut, w którym skradziono 76 milionów USD w 26 głównych exploitach, w tym oszustwo z zatruwaniem adresów o wartości 50 milionów USD oraz naruszenie Trust Wallet w Boże Narodzenie, które opróżniło około 7 milionów USD od użytkowników.

Wzorzec ataku ujawnia się w wielu blockchainach

ZachXBT zidentyfikował podejrzany adres (0xAc2***9bFB), który może być powiązany z trwającymi kradzieżami wymierzonymi w łańcuchy EVM.

Śledczy kompiluje zweryfikowane adresy ofiar kradzieży, ponieważ zgłasza się coraz więcej ofiar i prosi, aby poszkodowani użytkownicy skontaktowali się z nim bezpośrednio przez X (dawniej Twitter).

Rozproszony atak odzwierciedla taktyki obserwowane w ostatnich głośnych incydentach, w których atakujący wykorzystują wiele mniejszych portfeli zamiast celować w jeden duży zasób.

Takie podejście często unika natychmiastowego wykrycia, jednocześnie maksymalizując całkowitą wyciąganą kwotę ze skompromitowanych kont.

Badacze bezpieczeństwa zauważają, że międzyłańcuchowy charakter sugeruje wyrafinowaną infrastrukturę, z podmiotami zagrażającymi działającymi jednocześnie w różnych sieciach blockchainowych, aby opróżnić środki, zanim ofiary będą mogły zareagować.

Poza łańcuchami EVM metodologia ataku przypomina wzorce obserwowane w schematach zatruwania adresów i kompromitacji kluczy prywatnych, które nękały branżę w ostatnich miesiącach.

Eksperci podkreślają, że skoordynowany czas i wielołańcuchowe wykonanie wskazują na dobrze wyposażonych atakujących, zdolnych do utrzymania trwałej infrastruktury w różnych środowiskach blockchainowych.

Naruszenie Trust Wallet podkreśla szerszy kryzys podatności

Alert pojawia się kilka dni po tym, jak użytkownicy Trust Wallet napotkali nowe komplikacje, gdy rozszerzenie Chrome firmy zostało tymczasowo usunięte z Chrome Web Store, opóźniając kluczowe narzędzie weryfikacji roszczeń dla ofiar włamania w Boże Narodzenie.

CEO Trust Wallet Eowyn Chen potwierdził, że Google uznał błąd techniczny napotkany podczas wydania nowej wersji.

"Rozumiemy, jak bardzo jest to niepokojące i nasz zespół aktywnie pracuje nad problemem," oświadczył Trust Wallet po zidentyfikowaniu 2520 opróżnionych adresów portfeli powiązanych z około 8,5 miliona USD w skradzionych aktywach w 17 portfelach kontrolowanych przez atakujących.

Naruszenie z 25 grudnia wynikało ze złośliwej wersji 2.68 rozszerzenia przeglądarki Trust Wallet, która wydawała się legalna, przeszła proces przeglądu Chrome, ale zawierała ukryty kod wyciągający frazy odzyskiwania.

Użytkownicy, którzy zainstalowali skompromitowane rozszerzenie i zalogowali się między 24 a 26 grudnia, stanęli w obliczu natychmiastowego odpływu środków w wielu blockchainach, w tym Ethereum, Bitcoin i Solana.

Trust Wallet powiązał incydent z szerszym atakiem na łańcuch dostaw znanym jako Sha1-Hulud, który pojawił się w listopadzie i skompromitował wiele firm poprzez ujawnione sekrety GitHub i wyciekły klucz API Chrome Web Store.

Atak ominął wewnętrzne kontrole zatwierdzania, umożliwiając bezpośrednie przesyłanie złośliwego kodu, który wydawał się autentyczny zarówno dla zautomatyzowanych systemów bezpieczeństwa, jak i ręcznych recenzentów.

Branża staje w obliczu kryzysu bezpieczeństwa warstwy ludzkiej

Mitchell Amador, CEO Immunefi, ostrzega, że sektor kryptowalut staje w obliczu fundamentalnego rozrachunku bezpieczeństwa, ponieważ wektory ataków coraz częściej celują w podatności operacyjne, a nie w kod smart kontraktów.

"Krajobraz zagrożeń przesuwa się z podatności kodu onchain do ataków na bezpieczeństwo operacyjne i poziom skarbca," powiedział Cryptonews. "W miarę jak kod się utwardza, atakujący celują w element ludzki."

Pomimo 60% spadku strat z włamań w grudniu do 76 milionów USD w porównaniu miesiąc do miesiąca, w dół z 194,2 miliona USD w listopadzie, eksperci ds. bezpieczeństwa podkreślają, że utrzymują się trwałe zagrożenia.

"Kryptowaluty stoją w obliczu rozrachunku bezpieczeństwa," stwierdził Amador. "Większość włamań w tym roku nie nastąpiła z powodu słabych audytów, zdarzyły się po uruchomieniu, podczas aktualizacji protokołów lub poprzez podatności integracyjne."

Firma zajmująca się bezpieczeństwem blockchainowym PeckShield udokumentowała 26 głównych exploitów w grudniu, z oszustwami zatruwania adresów i wyciekami kluczy prywatnych stanowiącymi znaczne straty.

Jedna ofiara straciła 50 milionów USD po błędnym skopiowaniu oszukańczego adresu, który wizualnie naśladował ich zamierzony cel.

Inny poważny incydent dotyczył wycieku klucza prywatnego powiązanego z portfelem wielopodpisowym, powodując straty w wysokości około 27,3 miliona USD.

Podatność branży wykracza poza exploity techniczne do schematów inżynierii społecznej, z mieszkańcem Brooklynu Ronaldem Spektorem, któremu postawiono zarzuty kradzieży 16 milionów USD od około 100 użytkowników Coinbase, podszywając się pod pracowników firmy.