Гостевой пост HodlX Отправьте свой пост
Несмотря на значительный рост цен на биткойны и другие криптовалюты в 2020 году, количество украденной криптовалюты в результате взломов фактически меньше, чем в 2019 году. Отчет Ciphertrace,Общая сумма украденных средств составила около 468 миллионов долларов..
Большинство атак в 2020 году было совершено на проекты DeFi, что говорит о незрелости этого быстрорастущего сегмента. Тем не менее, количество украденных криптовалют с централизованных сервисов по-прежнему намного выше. Например, в результатеKucoin взлом,Криптовалюта была украдена в эквиваленте 275 миллионов долларов. Взломы DeFi составляют примерно 21% от объема взломов и краж криптовалюты в 2020 году.
Тем не менее, хакеры атакуют не только криптовалютные платформы, но и пользователей. Каждый день в Интернете публикуются истории о том, как хакеры украли криптовалюту пользователя, получив доступ к его кошельку или учетной записи биржи. Некоторые пользователи понятия не имеют, насколько высок риск взлома их учетной записи или кошелька..
В этой статье описаны пять самых популярных способов, которыми пользователи могут потерять свои криптовалюты..
Поддельные фишинговые сайты
Фишинг – это тип атаки социальной инженерии, часто используемый для кражи пользовательских данных, включая мнемонические фразы, закрытые ключи и учетные данные криптовалютных платформ. Как правило, для фишинговых атак используются мошеннические электронные письма, которые убеждают пользователя ввести конфиденциальную информацию на мошеннический веб-сайт. Затем получателя обманом заставляют щелкнуть вредоносную ссылку, которая может привести к фишинговому сайту или установке вредоносного ПО..
Простейшим примером успешной фишинг-атаки был кейс MyEtherWallet с 2017 года. Киберпреступники отправили электронное письмо потенциальной клиентской базе пользователей MyEtherWallet и объявили, что им необходимо синхронизировать свой кошелек в соответствии с жесткой вилкой Ethereum. После нажатия на ссылку пользователь попадал на фишинговый веб-сайт, который выглядел нормально, но содержал дополнительный, едва заметный символ в URL-адресе. Невнимательные пользователи вводили свои секретные фразы, приватные ключи и пароли кошельков, тем самым предоставляя свои данные злоумышленникам и теряя свою криптовалюту..
Последним примером этого был успешныйнападение на Ledger кошелек пользователей. Мошенничество использовало фишинговое письмо, направляя пользователей на поддельную версию веб-сайта Ledger, которая заменяла гомоглиф в URL-адресе, как в предыдущем случае с MyEtherWallet. На поддельном веб-сайте ничего не подозревающих пользователей обманом заставили загрузить вредоносное ПО, выдаваемое за обновление безопасности, которое затем опустошило баланс их кошелька Ledger. Из этого примера следует вывод, что даже пользователи аппаратного кошелька не защищены от фишинговых атак..
Аналогичные атаки были совершены на пользователей криптовалютной биржи. То есть пользователи получат письмо со ссылкой на веб-сайт, идентичный исходному, но с немного измененным URL-адресом. Таким образом, злоумышленники крадут логины и пароли, а при определенных условиях могут украсть криптовалюту из кошелька биржи. Тем не менее, у пользователей есть возможность защитить себя даже в случае успешной атаки, поскольку биржи предлагают дополнительные инструменты защиты..
Кража API-ключа
Некоторые трейдеры используют инструменты автоматизации торговли, называемые «торговыми ботами». С этим типом программного обеспечения пользователь должен создать ключи API и разрешить определенные разрешения, чтобы бот мог взаимодействовать со своими средствами..
Обычно, когда пользователь создает ключ API, биржа запрашивает следующие разрешения.
- Просмотр – позволяет просматривать любые данные, относящиеся к учетной записи пользователя, такие как история торговли, история заказов, история вывода средств, баланс, определенные пользовательские данные и т. Д..
- Торговля – позволяет размещать и отменять заказы.
- Вывод – позволяет вывод средств..
- Белый список IP-адресов – позволяет выполнять любые операции только с указанных IP-адресов..
Для обмена ключами API бота биржа должна иметь разрешения на просмотр, торговлю и иногда снятие средств..
Хакеры могут похитить ключи API пользователей разными способами. Например, киберпреступники часто создают вредоносных «высокодоходных» торговых ботов, доступных бесплатно, чтобы побудить пользователя ввести свои ключи API. Если ключ API имеет право на вывод без ограничения IP, хакеры могут мгновенно вывести всю криптовалюту с баланса пользователя..
СогласноОфициальный Binance комментарий, 7000 взломов биткойнов стали возможны после того, как хакеры собрали ключи API, 2FA и другие данные.
Даже без разрешения на снятие средств хакеры могут украсть криптовалюту пользователей с помощью стратегии накачки, определенной торговой пары криптовалюты с низкой ликвидностью. Наиболее частые примеры таких атак: насос Viacoin и насос Syscoin. Хакеры накопили эти криптовалюты и продали их по значительно завышенным ценам во время накачки с использованием пользовательских средств..
Загруженные файловые эксплойты
Существует множество эксплойтов «нулевого дня» и «одного дня» для продуктов Microsoft Word, Microsoft Excel и Adobe, которые гарантируют, что антивирусные продукты не обнаружат вредоносные программы и не предоставят злоумышленникам полный доступ к рабочим станциям и внутренней инфраструктуре жертв..
Zero-day – это недостаток программного обеспечения, оборудования или прошивки, который неизвестен стороне или сторонам, ответственным за исправление или исправление недостатка иным образом. Термин «нулевой день» может относиться к самой уязвимости или к атаке, у которой есть нулевые дни между моментом обнаружения уязвимости и первой атакой. Когда уязвимость нулевого дня становится общедоступной, она называется уязвимостью «n-дня» или «однодневки». После обнаружения уязвимости в программном обеспечении начинается процесс разработки вредоносного кода, использующего обнаруженную уязвимость для заражения отдельных компьютеров или компьютерных сетей. Самая известная вредоносная программа, использующая уязвимость нулевого дня в программном обеспечении, – этоПрограмма-вымогатель WannaCryЧервь, вирус, вымогавший биткойны для расшифровки.
Однако существует множество других вредоносных программ, которые могут получить доступ к кошелькам пользователей с криптовалютой, а также к приложениям для обмена криптовалютой с помощью эксплойтов нулевого дня. Самым известным случаем такого нападения за последние годы сталWhatsApp эксплойт; в результате злоумышленники получили возможность собирать данные с криптокошельков пользователей..
Вредоносные платформы
В связи с активным ростом рынка мошенники DeFi постоянно запускают новые проекты, которые практически являются точными клонами существующих проектов. После того, как пользователи инвестируют в эти проекты, мошенники просто переводят средства пользователей в свои кошельки. Самая большая афера такого рода на сегодняшний день – дело YFDEX Через два дня после запуска проекта злоумышленники украли 20 миллионов долларов из средств пользователей. Такое мошенничество является обычным явлением, поскольку в большинстве случаев члены команды проекта анонимны, и нет никаких юридических обязательств, поскольку платформы не являются зарегистрированными лицами. Раньше такое мошенничество было связано в основном с проектами ICO..
Тем не менее, аналогичные случаи имели место с централизованными платформами. Например, случай QuadrigaCX, когда умер основатель централизованной биржи, в результате чего платформа не могла получить доступ к своим кошелькам и обрабатывать запросы на снятие средств на сумму более 171 миллиона долларов США. В результате только30 миллионов долларов потерянных средств можно вернуть.Взаимодействие с другими людьми
Такие случаи возникают постоянно, поэтому вам нужно внимательно изучить платформу, прежде чем переводить свои деньги..
Поддельные приложения
С момента существования криптовалют было создано множество поддельных приложений для определенных платформ или кошельков – пользователь вносит депозит в такое приложение и обнаруживает, что средства исчезли. Злоумышленники могут создать копию существующего приложения с вредоносным кодом или новое приложение для платформы, на которой нет приложения – например,Чехол Poloniex с 2017 года.
Поскольку большинство криптовалютных кошельков имеют открытый исходный код, любой может создать свою собственную копию кошелька и внедрить туда вредоносный код. Темы, касающиеся таких кошельков, часто появляются на форумах, посвященных криптовалюте, например, поддельные приложения, выдающие себя за Доверительный кошелек.
Как защититься от злоумышленников
Как объяснялось выше, у преступников есть различные способы кражи пользовательских средств и данных. Мы рекомендуем придерживаться следующих правил, чтобы максимально защитить себя от злоумышленников..
- Всегда проверяйте домен, с которого вы получаете электронные письма.
- Настройте антифишинговый код, если платформы, которые вы используете, предлагают такие функции.
- Депозит только на биржи с хорошей репутацией. Вы можете проверить рейтинги биржи, используя следующие сервисы – CoinGecko,Взаимодействие с другими людьми CER.live,Взаимодействие с другими людьмиCoinMarketCap, Взаимодействие с другими людьмиCryptoCompare,И т. Д..
- Настройте белый список IP-адресов для входа, если платформы, которые вы используете, предлагают такие функции.
- Всегда исследуйте криптокошелек, прежде чем принимать решение об установке его на свой телефон, даже если он занимает высокое место в списке вашего магазина приложений..
- Настроить IP-ограничения для ключей API.
- Не инвестируйте в недавно запущенные проекты, в которых еще нет информации о команде, инвесторах и т. Д. Во время ажиотажа вокруг DeFi мошенники запустили десятки мошеннических проектов с целью кражи криптовалюты у инвесторов..
- Убедитесь, что вы загружаете документы и другие файлы из надежного источника..
- Всегда выполняйте регулярные обновления безопасности вашей операционной системы.
- Скачивайте приложения и соответствующие обновления только с официальных сайтов..
Вывод
Наряду с ростом рынка криптовалют продолжают появляться новые схемы в надежде на кражу средств и данных пользователей. Пользователи должны быть очень осторожны с электронными письмами и другими уведомлениями, которые они получают..
В этой статье мы описали 10 пунктов о том, как пользователи могут защитить себя от злоумышленников. Если вы будете следовать этим мерам, хакерам будет сложно украсть ваши данные или средства..
Эта статья изначально появилась на Hacken.
Злата Парасочка – технический писатель и сторонница криптовалюты. У нее также есть собственный блог на сайте Hacker Noon. Ее последнюю статью можно найти здесь.
Главное изображение: Shutterstock / Алекс Волот
