Пост за гости на HodlX Изпратете вашата публикация
Въпреки значителния ръст на цените на биткойн и други криптовалути през 2020 г., количеството открадната криптовалута в резултат на хакове всъщност е по-малко, отколкото през 2019 г. Според Доклад за Ciphertrace,Общият размер на откраднатите средства възлиза на около 468 милиона долара.
Повечето атаки през 2020 г. бяха направени срещу проекти на DeFi, което говори за незрялостта на този бързо растящ сегмент. Въпреки това броят на откраднатите криптовалути от централизираните услуги все още е много по-голям. Например в резултат наКуккойн хак,Криптовалутата е открадната в еквивалент на 275 милиона долара. Хаковете на DeFi съставляват приблизително 21% от обема на хакове и кражби през 2020 г..
Независимо от това, хакерите атакуват не само платформи за криптовалута, но и потребители. Всеки ден в интернет се публикуват истории за това как хакери са откраднали криптовалута на потребител, като са получили достъп до портфейла или сметката си. Някои потребители нямат представа колко голям може да бъде рискът от хакване на акаунта или портфейла им.
Описаните в тази статия са петте най-популярни начина, по които потребителите могат да загубят крипто.
Фалшиви уебсайтове за фишинг
Фишингът е вид атака за социално инженерство, често използвана за кражба на потребителски данни, включително мнемонични фрази, частни ключове и идентификационни данни за вход на платформи за криптовалута. Обикновено фишинг атаките използват измамни имейли, които убеждават потребителя да въведе чувствителна информация в измамен уебсайт. След това получателят е подмамен да кликне върху злонамерена връзка, което може да доведе до фишинг уебсайт или инсталиране на злонамерен софтуер.
Най-простият пример за успешна фишинг атака беше случай на MyEtherWallet от 2017 г. Киберпрестъпниците изпратиха имейл до потенциалната клиентска база на потребителите на MyEtherWallet и обявиха, че трябва да синхронизират портфейла си, за да се съобразят с хард форка Ethereum. След като щракна върху връзката, потребителят беше отведен до уебсайт за фишинг, който изглеждаше легитимен, но съдържаше допълнителен, едва забележим знак в URL адреса. Невнимателните потребители въвеждат своите тайни фрази, частни ключове и пароли за портфейла, като по този начин предоставят своите данни на нападателите и губят своята криптовалута.
Последният пример за това беше успешенатака срещу Леджър потребители на портфейла. Измамата използва фишинг имейл, насочвайки потребителите към фалшива версия на уебсайта на Ledger, която замества хомоглифа в URL адреса, както в предишния случай с MyEtherWallet. На фалшивия уебсайт нищо неподозиращите потребители бяха заблудени да изтеглят зловреден софтуер, представяйки се за актуализация на защитата, която след това източи баланса от портфейла им на Ledger. От този пример следва заключението, че дори потребителите на хардуерен портфейл не са защитени от фишинг атаки.
Подобни атаки бяха извършени срещу потребители на обмен на криптовалута. Тоест, потребителите ще получат писмо с линк към уебсайт, който е идентичен с оригиналния, но с леко модифициран URL адрес. По този начин нападателите крадат потребителски имена и пароли и при определени условия могат да откраднат криптовалута от портфейла за обмен. Независимо от това, потребителите имат възможност да се защитят дори в успешен случай на атака, тъй като борсите предлагат допълнителни инструменти за защита.
Кражба на API ключ
Някои търговци използват инструменти за автоматизация на търговията, наречени „търговски ботове“. С този тип софтуер потребителят трябва да създаде API ключове и да разреши определени разрешения, така че ботът да може да взаимодейства с техните средства.
Обикновено, когато потребител създава API ключ, обменът иска следните разрешения.
- Преглед – позволява преглед на всякакви данни, свързани с потребителски акаунт, като история на търговията, история на поръчките, история на тегленията, салдо, определени потребителски данни и т.н..
- Търговия – позволява пускането и анулирането на поръчки.
- Теглене – позволява теглене на средства.
- IP бял списък – позволява извършване на всякакви операции само от посочени IP адреси.
За API ключове за търговия на ботове борсата трябва да има разрешения за изглед, търговия и понякога теглене.
Има различни начини хакерите да крадат API ключовете на потребителите. Например, киберпрестъпниците често създават злонамерени ботове за търговия с висока печалба, които се предлагат безплатно, за да привлекат потребителя да въведе своите API ключове. Ако API ключът има право да тегли без ограничение на IP, хакерите могат незабавно да изтеглят цялата криптовалута от баланса на потребителя.
СпоредОфициален представител на Binance коментар, 7 000 биткойн хакове станаха възможни, след като хакерите събраха API ключове, 2FA и други данни.
Дори и без разрешение за теглене, хакерите могат да откраднат криптовалутата на потребителите с помпа стратегия, определена двойка за търговия с криптовалута с ниска ликвидност. Най-честите примери за подобни атаки са Помпата на Viacoin и помпата Syscoin. Хакерите са натрупали тези криптовалути и са ги продали със значително надценени цени по време на помпа, използвайки потребителски средства.
Изтегленият файл се експлоатира
Има много нулеви и еднодневни експлойти за продуктите на Microsoft Word, Microsoft Excel и Adobe, които гарантират, че антивирусните продукти няма да откриват злонамерен софтуер и да предоставят на злонамерени участници пълен достъп до работните станции на жертвите и вътрешната инфраструктура.
Нулевият ден е дефект в софтуера, хардуера или фърмуера, който е неизвестен на страната или страните, отговорни за корекцията или отстраняването на дефекта по друг начин. Терминът „нулев ден“ може да се отнася до самата уязвимост или атака, която има нула дни между времето, в което уязвимостта е открита, и първата атака. След като уязвимостта от нулев ден е направена публично достояние, тя е известна като уязвимост „n-day“ или „one-day“. След откриване на уязвимост в софтуера започва процесът на разработване на злонамерен код, като се използва откритата уязвимост за заразяване на отделни компютри или компютърни мрежи. Най-известният зловреден софтуер, който използва уязвимостта на нулевия ден в софтуера, еWannaCry рансъмуерЧервей, вирус, който изнудва биткойни за дешифриране.
Има обаче много други програми за злонамерен софтуер, които могат да получат достъп до потребителските портфейли за криптовалута, както и приложения за обмен на криптовалута, използващи експлойти с нулев ден. Най-широко известният случай на подобно нападение през последните години бешеЕксплоатация на WhatsApp; в резултат нападателите успяха да събират данни от крипто портфейлите на потребителите.
Злонамерени платформи
Поради активния растеж на пазара, измамниците на DeFi непрекъснато стартират нови проекти, които са почти точни клонинги на съществуващи проекти. След като потребителите инвестират в тези проекти, измамниците просто прехвърлят средствата на потребителите в собствените им портфейли. Най-голямата измама за излизане от този вид до момента е случай YFDEX При което нарушители откраднаха 20 милиона долара от потребителски средства два дни след стартирането на проекта. Такива измами са често срещани, тъй като в повечето случаи членовете на проектния екип са анонимни и няма законови задължения, тъй като платформите не са регистрирани лица. По-рано подобни измами бяха свързани главно с ICO проекти.
Независимо от това, подобни случаи се случиха с централизирани платформи. Например случаят QuadrigaCX, когато основателят на централизираната борса почина, оставяйки платформата неспособна да осъществи достъп до портфейлите си и да обработи искания за теглене на средства за над 171 милиона долара в клиентски средства. В резултат само30 милиона долара загубени средства могат да бъдат изплатени.U
Такива случаи възникват през цялото време, така че трябва внимателно да обмислите платформата, преди да прехвърлите парите си.
Фалшиви приложения
От съществуването на криптовалути са създадени много фалшиви приложения на определени платформи или портфейли – потребителят попълва депозит за такова приложение и установява, че средствата са изчезнали. Натрапниците могат да създадат копие на съществуващо приложение със злонамерен код или ново приложение за платформа, която няма приложение – напримерКалъф Poloniex от rom 2017.
Тъй като повечето крипто портфейли са с отворен код, всеки може да създаде свое собствено копие на портфейла и да инжектира там злонамерен код. Теми относно такива портфейли често се появяват на форумите за криптовалута, например фалшиви приложения, представящи се като Доверете се на портфейла.
Как да се предпазите от натрапници
Както беше обяснено по-горе, престъпниците имат различни начини да крадат потребителски средства и данни. Препоръчваме да се придържате към следното, за да се предпазите най-добре от натрапници.
- Винаги проверявайте домейна, от който получавате имейли.
- Настройте анти-фишинг код, ако платформите, които използвате, предлагат такива функции.
- Депозирайте само на борси с добра репутация. Можете да проверите рейтингите на борсата, като използвате следните услуги – CoinGecko,U CER.live,UCoinMarketCap, UCryptoCompare,И т.н..
- Настройте бял списък с IP адреси за вход, ако платформите, които използвате, предлагат такива функции.
- Винаги изследвайте крипто портфейл, преди да решите да го инсталирате на телефона си, дори ако той е класиран високо в списъка ви с магазини за приложения.
- Настройте IP ограничения за API ключове.
- Не инвестирайте в наскоро стартирали проекти, които все още нямат информация за екипа, инвеститорите и др. По време на шумотевицата на DeFi измамниците стартираха десетки измамни проекти, за да откраднат криптовалута от инвеститорите.
- Уверете се, че сте изтеглили документи и други файлове от надежден източник.
- Винаги извършвайте редовни актуализации на защитата на вашата операционна система.
- Изтегляйте приложения и съответните актуализации само от официални уебсайтове.
Заключение
Заедно с растежа на пазара на криптовалути, продължават да се появяват нови схеми с надеждата за кражба на потребителски средства и данни. Потребителите трябва да бъдат много внимателни относно имейлите и другите известия, които получават.
В тази статия описахме 10 точки за това как потребителите могат да се предпазят от натрапници. Ако следвате тези мерки, за хакерите ще бъде трудно да откраднат вашите данни или средства.
Тази статия първоначално се появи на Хакен.
Злата Парасочка е техническа писателка и вярваща в крипто. Тя също има собствен блог в уебсайта на Hacker Noon. Може да се намери последната й статия тук.
Препоръчано изображение: Shutterstock / Алекс Волот
