Криптоінвестор, як повідомляється, втратив 783 Bitcoin, вартістю понад $91 мільйон, у одній з найбільших шахрайських схем соціальної інженерії в недавній історії. Інцидент 19 серпня, виявлений розслідувачем блокчейнів ZachXBT, підкреслює постійні людські вразливості в криптобезпеці - навіть серед досвідчених користувачів.
У той час як більшість криптозаголовків сконцентровані на експлойти смарт-контрактів та порушеннях обміну, ця остання атака є підручниковим прикладом того, як шахраї обходять складні системи, маніпулюючи довірою.
У цьому випадку злочинець, нібито, видавав себе за службу підтримки як криптобіржі, так і постачальника апаратних гаманців, переконуючи жертву передавати конфіденційну інформацію під виглядом технічної допомоги.
Масштаб атаки - одна з найбільших відомих шахрайських схем соціальної інженерії в криптосвіті до нинішнього часу - слугує яскравим нагадуванням про те, що найслабша ланка в ланцюзі безпеки часто не є код, а поведінка людини.
$91 млн викрадення: що ми знаємо на даний момент
Інцидент став відомим, коли псевдонимний розслідувач блокчейнів ZachXBT повідомив про раптове переміщення великої кількості BTC. Згідно з даними в мережі та твітом ZachXBT від 21 серпня, викрадені 783 BTC було переведено невдовзі після атаки, і багато з коштів було направлено у гаманець Wasabi, сервіс для перемішування Bitcoin, відомий функціями підвищеної конфіденційності.
“Жертва недавно втратила 783 BTC (~$91 млн) у шахрайстві соціальної інженерії. Кошти цього тижня переміщаються через Wasabi,” написав ZachXBT на X (раніше Twitter).
Хоча особа жертви не була розкрита, розмір крадіжки свідчить про те, що ціллю, ймовірно, була особа з високим рівнем доходів або інституційний інвестор. Підхід злочинця - видавання за представника біржі та технічного спеціаліста апаратного гаманця - виглядає ретельно спланованим для експлуатації довіри та заплутування.
Шахрайство нібито включало багатошарові тактики видавання та фішингу, коли злочинець ініціював контакт і поступово переконував жертву розкрити критичні облікові дані, ймовірно включаючи приватні ключі чи фрази відновлення.
Що таке соціальна інженерія - і чому вона така небезпечна?
Атаки соціальної інженерії не зосереджуються на зломі систем, а на маніпуляції людьми, щоб вони самі надали доступ. У криптосвіті це часто має форму:
- Фальшива технічна підтримка, що контактує з користувачами для допомоги у "проблемах з обліковими записами"
- Підроблені особи в Discord, Telegram або електронній пошті, що видають себе за членів команди або постачальників гаманців
- Шкідливі посилання або завантаження від, здавалося б, надійних організацій
- Глибокі підробки або фішинг голосу (vishing) для імітації справжнього персоналу
На відміну від атак грубого примусу або експлойтів смарт-контрактів, соціальна інженерія не вимагає технічного зламу, тим самим роблячи її надзвичайно важко виявити, поки не стане занадто пізно.
І з незворотними криптопереказами, коли кошти переводяться, їх майже неможливо повернути - особливо якщо вони відмиті через інструменти конфіденційності, такі як Wasabi або міксери типу ChipMixer і Tornado Cash.
Історія повторюється: відгуки витоку Genesis 2024 року
Це викрадення на суму $91 млн також відбулося майже точно через рік після подібно масового шахрайства, в якому зловмисник вкрав $243 млн від кредиторів Genesis, використовуючи методи соціальної інженерії. Того разу зловмисники видавали себе за довірених адміністраторів та переконували користувачів підписувати шкідливі транзакції або надавати фраз відновлення.
У часі випадку деякі аналітики з безпеки підводять брови, припускаючи, що великомасштабні афери можуть бути стратегічно приурочені до важливих дат - річниць минулих атак, великих ринкових подій або оновлень протоколу, коли відволікання та розумові завантаження можуть зменшити пильність.
Хоча індустрія криптовалют зробила значні кроки вперед у холодному зберіганні, мультипідписних гаманцях, апаратних пристроях та біометричному доступі, жоден з цих інструментів не може повністю захистити від людського фактору. За даними Chainalysis та CertiK, соціальна інженерія 2024 року склала понад 25% головних криптовалютних втрат, поступаючись лише помилкам смарт-контрактів.
І жертвами не тільки новачки. “Ми бачимо, як досвідчені інвестори потрапляють на ці шахрайства,” сказав експерт з кібербезпеки Кріс Блек. “Зловмисники часто терплячі, обізнані та вміють психологічно маніпулювати. Вони не вгадують паролі - вони заробляють довіру.”
Червоні прапори та уроки для інвесторів
Цей останній інцидент є леденячим прикладом необхідності пильності, підозрілості та верифікаційних протоколів. Експерти рекомендують наступні найкращі практики:
- Ніколи не діліться фразами відновлення або приватними ключами - жодна легітимна служба не вимагатиме цього.
- Верифікуйте контакти служби підтримки незалежно - використовуйте офіційні веб-сайти, а не посилання, надіслані через DM або електронну пошту.
- Вимкніть білі списки транзакцій і запити апаратного гаманця для всіх вихідних транзакцій.
- Використовуйте налаштування мультипідпису, де жодна зі сторін не може самостійно перемістити кошти.
- Навчайте членів команди та родичів - особливо тих, ким управляються спільні або інституційні гаманці.
Постачальники гаманців, біржі та DeFi платформи також несуть відповідальність. Багато з них наразі впроваджують попередження щодо підробку служб підтримки, реальні час системи попередження про шахрайство та освітні кампанії для запобігання таких інцидентів. Однак, як показує цей випадок, потрібно ще багато чого зробити.
Чому інструменти конфіденційності ускладнюють спроби повернення коштів
Одна з найбільших проблем у поверненні вкраденої криптовалюти - обфускація через гаманці конфіденційності та міксери. У цьому випадку, багато вкрадених BTC було відправлено до гаманця Wasabi, платформи, яка використовує CoinJoin - протокол міксування, що змішує транзакції кількох користувачів для розриву слідів.
Хоча інструменти конфіденційності служать легітимними цілями, наприклад, захисту активістських фондів та захисту ідентичності користувача від нагляду, вони також можуть використовуватися для відмивання нелегальних коштів та ускладнення судової експертизи блокчейну.
У результаті правоохоронні органи стикаються з серйозними обмеженнями у відстеженні або заморожуванні вкраденої криптовалюти, якщо нападник не зробить помилку або не спробує обналичити кошти через регульовану біржу.
Поточний моніторинг ZachXBT може допомогти відстежити подальші переміщення, але без реальних світових ідентифікаторів або участі KYC біржі шанси повернення залишаються низькими.
Відповідь індустрії: освіта, UX та AI-детекція шахрайства
Після нападу експерти з безпеки знову закликають до покращення навчання користувачів, включаючи симуляції фішингу, інтерактивні посібники та AI-системы виявлення шахрайства, які відзначають підозрілу поведінку до того, як кошти будуть скомпрометовані.
Компанії такі як Ledger, Trezor, Coinbase та MetaMask почали інтегрувати реальні час попередження про шахрайство, інтеграції чорних списків фішингу та верифікацію підтримки в гаманцях. Однак, більшість цих систем залишаються необов'язковими та ще не непогрішними.
Дехто пропонує будувати децентралізовані шари ідентичності та репутації гаманців у майбутніх протоколах, що дозволяє користувачам верифікувати офіційних агентів підтримки або встановлювати рейтинги довіри для адрес гаманців. Але ці залишаються на ранніх етапах розробки.
Останні думки
Втрата 783 BTC у результаті атаки соціальної інженерії є однією з найбільших і найбільш переконливих нагадувань про те, що криптовалютна безпека - це не лише технічна проблема - це глибоко людська. Зі зростанням впровадження Web3 зростає й складність шахрайств.
У той час як аудит коду, налаштування мультипідпису та шари конфіденційності мають значення, найважливішим захистом є освіта та скептицизм. У дозвільній, незворотній фінансовій системі, одна помилка у судженні може стерти усі заощадження за все життя.
Поки індустрія не знайде кращих способів захисту користувачів від самих себе, соціальна інженерія залишатиметься найстійкішою загрозою криптовалют.