Как хакеры крадут криптовалюту, используя мошенничество с «дерганием коврика»

Такие выводы команда Check Point Research (CPR) сделала на основе предыдущих исследований. Например, в октябре прошлого года специалисты CPR предотвратили кражу криптовалютных кошельков на OpenSea, крупнейшей торговой площадке NFT. А в ноябре прошлого года они обнаружили, что хакеры украли полмиллиона долларов за считанные дни с помощью Google Ads. 

В новом отчете эксперты Check Point Research (CPR) рассказали, как хакеры крадут деньги, создавая вредоносные токены. 

Как выглядит поддельная криптовалюта: 

∙ Некоторые токены включают комиссию за покупку и продажу в размере 99%, которая крадет все деньги жертвы на этапе покупки или продажи.

∙ Некоторые токены покупатель не сможет перепродавать, так как продажа доступна только первоначальному владельцу.

∙ Некоторые токены дают возможность обладателю приумножать их в своем кошельке и затем продавать. 

Как хакеры пользуются смарт-контрактами 

Чтобы создать мошеннические токены, хакеры особым образом настраивают смарт-контракты. Смарт-контракты — программы, хранящиеся в блокчейне, которые запускаются при выполнении заранее определенных условий. 

Шаги злоумышленников при этом мошенничестве: 

1. Использование мошеннических сервисов. Сначала хакеры используют мошеннические сервисы для создания контракта, либо копируют уже известный мошеннический смарт-контракт и изменяют название и символ токена, а также некоторые названия функций.
2. Управление функциями. Потом они работают функциями с переводом денег, не дают возможности продавать, увеличивают размер комиссии и прочее. Большинство манипуляций связаны с переводами денег.
3. Подключение социальных сетей. Злоумышленники используют Twitter, Discord, Telegram и через фейковые аккаунты раскручивают свой проект, чтобы люди начали покупать валюту.
4. Кража. Это и есть суть метода дергания коврика. После того, как они набирают желаемую сумму, они выводят все деньги из контракта и удаляют все аккаунты социальных сетей.
5. Введение временных блокировок – таймлоков. Далее эти токены блокируют определенную сумму денег в пуле контрактов или даже добавляют временную блокировку к контракту. Таймлоки в основном используются для задержки административных действий и считаются надежным показателем того, что проект законен. 

Как оставаться в безопасности и не потерять свои деньги 

∙ Заводите несколько кошельков.  Чтобы себя обезопасить, нужно иметь как минимум два разных криптокошелька. Один из них можно использовать для хранения средств, другой — для торговли и обмена. Это поможет защитить активы, потому что кошельки хранят пароли и имеют открытый ключ, — чтобы другие пользователи могли отправлять криптовалюты на этот кошелек. Если киберпреступнику удастся получить доступ к одному вашему кошельку, то скорее всего, это будет доступ только к тому, с которого вы торгуете. А тот кошелек, где вы храните свои накопления, будет в безопасности. 

∙ Проверяйте, где именно вы вводите свои данные. Пользователи часто ищут платформы биткойн-кошельков через Google. На этом этапе они могут случайно кликнуть на одну из рекламных ссылок, которые появляются в самом верху страницы. Но это могут быть вредоносные объявления – злоумышленники вставляют в них ссылки на свои сайты. Если пользователь не проверит этот момент и введет там свои данные, они могут попасть к мошенникам. 

∙ Совершайте тестовые транзакции. Злоумышленники пользуются невнимательностью пользователей. Поэтому перед отправкой большой суммы криптовалюты сначала отправьте минимальную тестовую транзакцию. В этом случае, даже если вы отправите ее на поддельный кошелек, вы сразу обнаружите обман и потеряете гораздо меньше. 

∙ Используйте двухфакторную аутентификацию. Одна из лучших мер защиты от любого типа кибератак — активация двухфакторной аутентификации на всех платформах, где у вас есть учетная запись. В этом случае, если злоумышленник попытается войти в ваш аккаунт, он не получит сообщение для дополнительной проверки, которое придет на вашу почту или устройство. 

«Check Point Research вкладывает значительные ресурсы в изучение безопасности криптовалют, ¾ рассказывает Одед Вануну, руководитель отдела исследования уязвимостей продуктов в Check Point Software. — В прошлом году мы выявили кражу криптовалютных кошельков на OpenSea, крупнейшем в мире рынке NFT. А также предупредили владельцев криптовалюты о масштабной фишинговой кампании в Google Ads, в результате которой за несколько дней было украдено около полумиллиона долларов. нашей последней публикации мы показываем, как выглядит мошенничество с реальными смарт-контрактами, и разоблачаем реальное мошенничество с токенами.  Есть все основания предположить, что пользователи криптовалюты и дальше будут попадать в эти ловушки и терять свои деньги. Наша цель — предупредить криптосообщество о том, что злоумышленники действительно создают мошеннические токены для кражи средств. Чтобы избежать потери денег, рекомендую владельцам криптовалюты диверсифицировать свои кошельки, игнорировать рекламные объявления и совершать тестовые транзакции».