Виявлення масштабної крадіжки цифрових активів: атака шкідливих програм на понад десять тисяч користувачів

У середині лютого 2025 року кілька користувачів повідомили про крадіжку активів з гаманців. Після розслідування виявилось, що ці випадки мають ознаки витоку мнемонічних фраз або приватних ключів. Подальше розслідування показало, що більшість постраждалих користувачів раніше встановлювали та використовували додаток під назвою BOM. Глибший аналіз показав, що цей додаток насправді є ретельно замаскованим шкідливим програмним забезпеченням, а злочинці через цей додаток спонукають користувачів надавати доступ, після чого незаконно отримують права на мнемонічні фрази/приватні ключі, а потім здійснюють систематичний перехід активів та їх приховування.

Аналіз шкідливих програм

В результаті аналізу, цей шкідливий додаток має такі основні проблеми:

1. Неправильний підпис програми, використання випадкових комбінацій символів.
2. Заявлено на велику кількість чутливих дозволів, включаючи читання та запис локальних файлів, читання медіафайлів, альбомів тощо.
3. Після переходу на сторінку контракту, під приводом необхідності роботи програми, обманюють користувача, щоб отримати доступ до локальних файлів та фотоальбому.
4. Отримавши авторизацію, в后台 скануйте та збирайте медіафайли з альбому пристрою, упакуйте їх та завантажте на сервер.

Аналіз коштів на ланцюзі

Згідно з аналізом ланцюгового відстеження, наразі основні адреси крадіїв криптовалюти вкрали щонайменше кошти 13 тисяч користувачів, отримавши прибуток понад 1,82 мільйона доларів США. У процесі залучені мережі включають BSC, Ethereum, Polygon, Arbitrum, Base тощо.

Частина фінансів спрямована на:

• BSC: отримано прибуток приблизно 37 тисяч доларів США, зазвичай на певному DEX частину токенів обмінюють на BNB
• Ethereum: отримано прибуток близько 280 тисяч доларів, більшість з яких походить з ETH, перенесених з інших ланцюгів.
• Polygon: отримано прибуток близько 37 000 доларів США, більшість токенів вже обміняні на POL через певний DEX
• Arbitrum: отримано прибуток близько 37 тисяч доларів, токени обміняно на ETH та переведено на Ethereum
• База: заробіток приблизно 12 000 доларів США, токени обмінюються на ETH, а потім крос-ланцюгом на Ethereum

Ще одна адреса хакера отримала прибуток приблизно 650 000 доларів США, залучаючи кілька ланцюгів, відповідні USDT були крос-ланцюговими на TRON.

Рекомендації щодо безпеки

1. Не завантажуйте програми з невідомих джерел.
2. Не довіряйте посиланням для завантаження програмного забезпечення, рекомендованим іншими, користуйтеся лише офіційними каналами.
3. Завантажте та встановіть додаток з офіційних джерел.
4. Належно зберігайте мнемонічну фразу, уникайте використання скріншотів, фотографій та інших електронних способів.
5. Використовуйте фізичні способи зберігання мнемонічних фраз, такі як запис, апаратні гаманці, сегментоване зберігання тощо.
6. Регулярно змінюйте гаманець, щоб усунути потенційні ризики безпеки.
7. Використовуйте професійні інструменти для моніторингу фінансів на блокчейні.
8. Посилити обізнаність у сфері безпеки, ознайомитися з відповідними знаннями з безпеки.