攻撃者は、Binance と Changenow を使用して資金を現金化しようとしているようです。
ブロックチェーン分析プロバイダー OKLink のレポートによると、12月 26 日に発生した Bitkeep エクスプロイトは、フィッシング サイトを使用して、ユーザーをだまして偽のウォレットをダウンロードさせました。
報告によると、攻撃者は、Bitkeep ウォレットのバージョン 7.2.9 に似た APK ファイルを含む、いくつかの偽の Bitkeep Web サイトをセットアップしました。ユーザーが悪意のあるファイルをダウンロードしてウォレットを「更新」すると、秘密鍵またはシード ワードが盗まれ、攻撃者に送信されます。
【12-26 #BitKeep Hack Event Summary】
1/nAccording to OKLink data, the bitkeep theft involved 4 chains BSC, ETH, TRX, Polygon, OKLink included 50 hacker addresses and total Txns volume reached $31M.
— OKLink (@OKLink) December 26, 2022
レポートには、悪意のあるファイルが暗号化されていない形式でユーザーの鍵を盗んだ方法については言及されていません。ただし、「更新」の一環としてシード ワードを再入力するようにユーザーに求めただけの可能性があり、ソフトウェアがログに記録して攻撃者に送信した可能性があります。
攻撃者がユーザーの秘密鍵を入手すると、すべての資産をステーク解除し、攻撃者の管理下にある 5 つのウォレットに流出させました。そこから、彼らは中央集権的な取引所を使用して資金の一部を現金化しようとしました: 2 イーサ(ETH)および 100 USD コイン(USDC)Binance に 21 ETH が送金され、Changenow に 21 ETH が送金されました。
攻撃は、BNB チェーン、トロン、イーサリアム、ポリゴンの 5 つの異なるネットワークで発生し、BNB チェーン ブリッジの Biswap、Nomiswap、Apeswap を使用して、一部のトークンがイーサリアムにブリッジされました。OKLink によると、この攻撃で合計 992 万ドル以上の仮想通貨が盗まれましたが、他の情報源によると、それはわずか 800 万ドルにすぎません。
関連:デフロストv1ハッカーは、「出口詐欺」の申し立てが表面化したため、資金を返したと伝えられています
攻撃者が偽の Web サイトにアクセスするようにユーザーを誘導した方法はまだ明らかではありません。BitKeep の公式 Web サイトは、アプリの公式 Google Play ストア ページにユーザーを誘導するリンクを提供しましたが、アプリの APK ファイルはまったく含まれていません。
BitKeep 攻撃は、UTC 午前 7 時 30 分にPeck Shield によって最初に報告されました。当時、「APK版のハッキング」が原因とされていました。OKLink からのこの新しいレポートは、ハッキングされた APK は悪意のあるサイトからのものであり、開発者の公式 Web サイトは侵害されていないことを示唆しています。
