Использование хакерами уязвимостей блокчейна в процессе кражи — вполне рядовая и даже обыденная ситуация. Так, в конце апреля проекты DeFi Rari Capital и Fei Protocol сообщили о потере $77 млн в результате взлома. Чуть раньше из блокчейна игрового мира Axie Infinity похищено $600 млн с использованием сайдчейна Ronin Network.
Но преступный мир не стоит на месте, а тестирует новые технологии. Недавно группа инновационных кибер-жуликов задействовала для взлома официальную учетную запись Instagram. Речь идет о вселенной Bored Ape Yacht Club. Что происходит? Неужели наши дорогостоящие NFT совершенно не защищены? Как избежать «угона» токенов? Об этом читайте в нашем материале выходного дня.
Новации в мире взломов и краж
Пользователи Bored Ape Yacht Club никак не могли ожидать подвоха от верифицированного аккаунта создателей популярнейшей коллекции в сети Instagram. Но мошенники с легкостью взломали его и разместили ссылку на клон официального веб-сайта, пояснив смену адреса «акцией» по раздаче NFT. Ничего не подозревающие пользователи переходили на заботливо подсунутый им ресурс ради получения бесплатных токенов и открывали доступ к своим кошелькам. Получив полную свободу действий, мошенники украли $3 млн.
Это может прозвучать абсурдно, но ситуация повторилась снова — уже в рамках вполне официальной акции. Некоторые юзеры в результате перехода по предложенным ссылкам, лишились своих NFT. По неофициальным подсчетам, добыча «угонщиков» превысила $6 млн.
Прискорбно, но мошенники все чаще наносят разрушительные удары по NFT и криптовалютам при помощи соцсетей.
И дело тут не только в Instagram. Аналогичные инциденты фиксируются на других платформах: Twitter, Telegram, Facebook, Discord. По словам Ронгуи Гу, исполнительного директора компании CertiK, обеспечивающей безопасность блокчейнов, каждая площадка служит благодатной почвой для подобных манипуляций.
«Мы фиксируем все больше и больше атак и взломов в web3 и блокчейн-индустрии. Многие из этих атак принимают такие формы, с которыми мы ранее не сталкивались», — констатирует эксперт.
Судя по отчету Crypto Crime Report 2022 от Chainalysis, постоянный рост кибернетических угроз в соцсетях наблюдается на фоне взлета крипто-преступности, побившей все прежние рекорды в прошлом году.
В глобальном масштабе добыча принадлежащих мошенникам криптокошельков оценивается почти в $14 млрд — на 80% больше, чем в 2020 году. Потери такого масштаба все сложнее игнорировать, поэтому криптокомпании и технологические гиганты вынуждены постоянно ужесточать меры безопасности.
Сегодня самыми популярными способами кибер-краж стали создание клонов учетных записей официальных страниц или их банальный взлом, резюмируют эксперты.
Мошенники-подражатели
Сверхпопулярная в криптосообществе площадка Twitter славится засильем спам-ботов и клонов учетных записей. По данным Федеральной Торговой Комиссии, за 7 месяцев 2020-2021 гг. у юзеров соцсети украли более $2 млн — и это лишь при помощи поддельных аккаунтов Илона Маска. Подобная тактика действует не только в криптовалютном секторе Twitter, но и в других сообществах платформы.
«Пользователи в значительной степени полагаются на социальные сети в вопросе доступа к информации о криптопроектах в мире NFT», — говорит Гу.
По его словам, он уже сталкивался с поддельными учетными записями в Telegram: их создатели уверяли, что представляют CertiK — компанию Гу.
Следует понимать — в одночасье появилось великое множество вредоносных аккаунтов, активно рекламирующих несуществующие «раздачи» NFT. В этой роли могут выступать обычные спам-боты — автоматизированные учетные записи в соцсетях, имитирующие бурную деятельность. Они делают публикации и отмечают пользователей точно так, как аккаунты реальных людей.
Дело дошло до того, что Twitter в отчете о доходах за первый квартал 2022 года сообщил о 5% спам-профилей или поддельных аккаунтов. Но в компании не видят в этом угрозу. Зато Илон Маск публично подверг сомнению заявленную цифру: по его расчетам, количество фейковых аккаунтов в соцсети может оказаться значительно выше.
Возможно, все изменится уже в скором будущем. Илон Маск, объявивший о покупке Twitter, планирует навести порядок и дополнить функционал соцсети новыми и более совершенными опциями.
«Угон» личных данных и учетных записей
Нередко современные мошенники создают идеальные копии-клоны аккаунтов реальных криптокомпаний или взламывают существующие профили. Например, разработчик коллекции NFT Yuga Labs установил в своем аккаунте Инстаграм двухфакторную аутентификацию, но это не помогло — его успешно взломали.
Эксперт Гу уверен — взлом с таким уровнем защиты, скорее всего, провели благодаря вольной или невольной помощи со стороны кого-то из топ-менеджеров компании. Это не значит, что человек вступил в сговор со злоумышленником. Достаточно втереться в доверие и выманить ценную информацию — как бы случайно и мимоходом.
Подобная тактика ранее использовалась при взломе аккаунтов Twitter. Один из самых резонансных инцидентов датирован 2020 годом — тогда проверенные и авторитетные аккаунты дружно разместили публикации о раздаче биткоина. В числе взломанных профилей фигурировала страничка… нынешнего президента США Джо Байдена!
Взломами славится и Discord. Аккаунт торговой площадки Fractal был скомпрометирован еще до анонса официального запуска коллекции NFT. Многие пользователи получили фальшивые ссылки на покупку токенов и лишились примерно $150 000.
Как решить проблему?
Любые мошеннические схемы в соцсетях — веский повод усилить меры безопасности и разработать более совершенную политику защиты пользовательских аккаунтов. Как сообщили Bloomberg менеджеры Twitter, Discord и Telegram, главным инструментом борьбы с мошенническими аккаунтами остается наличие у пользователей возможности сообщать администрации сетей о подозрительной активности. Любопытно, что Meta Platforms отказалась комментировать подобные ситуации (и даже недавний скандал со взломом BAYC).
По мнению Курта Дьюкса, исполнительного вице-президента Центра интернет-безопасности, мошенничество можно и нужно предупреждать. Хотя это сложно. Но решения есть. Например, значительно снижает уязвимость аккаунта использование многофакторной аутентификации и введение системы управления исправлениями.
Важно понимать, что мошенники прекрасно разбираются в социальной инженерии. Обучение сотрудников и пользователей умению противостоять манипуляциям значительно снизит количество краж. Дополнительно следует добавить ввод капчи, тогда боты не смогут взломать аккаунт.
Также Дьюкс заметил, что идея Маска по поводу открытия алгоритмов Twitter «определенно повысит доверие к платформе». Те, кто будет просматривать код, смогут отыскать уязвимости и помочь укрепить безопасность.
Адам Мейерс, старший вице-президент по разведке в компании Crowdstrike Holdings, заявляет о существовании доступных инструментов машинного обучения, способных помочь компаниям «ликвидировать» ботов в соцсетях. Но в этом случае необходимо учитывать риски, поскольку количество подписчиков может значительно уменьшиться из-за удаления авторов шаблонных публикаций.
Безопасность — важнее всего, а до Web 3 еще не дозрели
Ким Грауэр, директор по исследованиям Chainalysis, уверен, что стартапы криптовалютной индустрии просто обязаны заняться совершенствованием методов защиты аккаунтов. Конечно, молодые фирмы на начальном этапе уделяют этому вопросу недостаточно сил и средств, но именно безопасность служит трамплином для роста. Хакерские атаки радикально тормозят развитие не только отдельных стартапов, но и отрасли в целом. Необходимо не просто нанимать специалистов по безопасности, но и заказывать аудит кода.
Некоторые криптоэнтузиасты уверены, что изменения в лучшую сторону возможны при переходе на Web 3. Ведь тогда интернет станет децентрализованным, поскольку начнет функционировать на технологии блокчейн. Все платформы будут принадлежать пользователям и ими же управляться. При этом разработчики смогут создавать специальные инструменты, позволяющие удалять спам и верифицировать личности пользователей. Сегодня же онлайн-платформами руководят крупнейшие технологические компании.
Но для криптоиндустрии массовый переход на web3 пока не интересен, считает Гу. Все дело в том, что социальные сети приносят миллионы подписчиков некоторым блокчейн-компаниям и крипто-сервисам, поэтому отказ от популярных площадок может привести к значительному снижению численности аудитории. А кому это нужно?
Источник: Bloomberg
Автор: Очеретяная Елена
Редакция: Константин Василькевич
Самые оперативные новости вы найдете на нашем Telegram-канале Garantex News Russia —https://t.me/garantexnews . Подписывайтесь и читайте!
Другие интересные статьи вы можете прочитать на нашем сайте: