استخدم اختراق Bitkeep الذي حدث يوم 26 ديسمبر مواقع التصيد الاحتيالي لخداع المستخدمين لتنزيل محافظ مزيفة، وذلك وفقًا لتقرير صادر عن مزود تحليلات بلوكتشين OKLink.
ذكر التقرير أن المهاجم أنشأ العديد من مواقع Bitkeep المزيفة والتي تحتوي على ملف APK يشبه الإصدار 7.2.9 من محفظة Bitkeep. وعندما يقوم المستخدمون "بتحديث" محافظهم عن طريق تنزيل ملف مغرض، تتم سرقة مفاتيحهم الخاصة أو كلماتهم الأولية وإرسالها إلى المهاجم.
【12-26 #BitKeep Hack Event Summary】
— OKLink (@OKLink) December 26, 2022
1/n
According to OKLink data, the bitkeep theft involved 4 chains BSC, ETH, TRX, Polygon, OKLink included 50 hacker addresses and total Txns volume reached $31M.
ولم يذكر التقرير كيف سرق الملف الضار مفاتيح المستخدمين بشكل غير مشفر. ومع ذلك، ربما يكون قد طلب ببساطة من المستخدمين إعادة إدخال كلماتهم الأولية كجزء من "التحديث"، والذي كان يمكن للبرنامج تسجيله وإرساله إلى المهاجم.
بمجرد أن امتلك المهاجم المفاتيح الخاصة للمستخدمين، قام بفك رهن جميع الأصول واستنزافها إلى خمس محافظ تحت سيطرة المهاجم. ومن هناك، حاول صرف بعض الأموال باستخدام البورصات المركزية: تم إرسال 2 إيثريوم و100 USDC إلى Binance، وتم إرسال 21 إيثريوم إلى Changenow.
وقع الهجوم عبر خمس شبكات مختلفة: BNB Chain وTron وEthereum وPolygon وBNB Chain، وتم استخدام جسور Biswap وNomiswap وApeswap لتوصيل بعض الرموز إلى إيثريوم. وفي المجموع، تم الاستيلاء على أكثر من 13 مليون دولار من العملات المشفرة في الهجوم.
ولم يتضح بعد كيف أقنع المهاجم المستخدمين بزيارة المواقع المزيفة. قدم الموقع الرسمي لـ BitKeep رابطًا أرسل المستخدمين إلى صفحة متجر Google Play الرسمية للتطبيق، لكنها لا تتضمن ملف APK للتطبيق على الإطلاق.
تم الإبلاغ عن هجوم BitKeep لأول مرة بواسطة Peck Shield في الساعة 7:30 صباحًا بالتوقيت العالمي المنسق. وفي ذلك الوقت، تم إلقاء اللوم على "اختراق لإصدار APK". ولكن يشير هذا التقرير الجديد من OKLink إلى أن APK المخترق جاء من مواقع ضارة، وأن الموقع الرسمي لمطور البرامج لم يتم اختراقه.