Lừa đảo điên cuồng: Học sinh đang ăn cắp hàng triệu đô la NFT - để mua skin Roblox

Đôi khi thật tốt khi nghi ngờ các nhà báo.

Lấy trường hợp của Orbiter Finance. Tháng trước, một nhà báo được cho là đến từ một trang tin tức về tiền điện tử đã liên hệ với một trong những người điều hành Discord của trang đó và yêu cầu họ điền vào một biểu mẫu. Người điều hành đã không nhận ra hành động đơn giản này sẽ trao quyền kiểm soát máy chủ Discord của họ.

Sau khi vào bên trong, thủ phạm đã đóng băng quyền kiểm soát của các quản trị viên khác đối với máy chủ và hạn chế khả năng gửi tin nhắn của các thành viên cộng đồng. Họ đã đăng thông báo về một đợt airdrop giả mạo, đưa mọi người đến một trang web lừa đảo được thiết kế để đánh cắp NFT của họ. Nó đã làm việc. Tổng cộng, họ đã đánh cắp NFT và token trị giá một triệu đô la trong nháy mắt, trong khi nhóm chỉ có thể đứng nhìn.

“Chúng tôi rất lo lắng,” Gwen, giám đốc phát triển kinh doanh tại Orbiter Finance, người đã kể lại những gì đã xảy ra trong một cuộc phỏng vấn, cho biết. “Nếu chúng tôi gây ra bất kỳ thiệt hại nào cho [các thành viên cộng đồng của chúng tôi], chúng tôi sẽ đánh mất lòng tin từ họ.”

Cuộc tấn công Orbiter chỉ là một ví dụ gần đây trong một chuỗi dài các vụ khai thác liên quan đến bộ thoát NFT và máy chủ Discord hoặc tài khoản Twitter bị xâm phạm. Dữ liệu được thu thập bởi nhà phân tích NFT và chuyên gia bảo mật có tên OKHotshot cho thấy ít nhất 900 máy chủ Discord đã bị xâm phạm kể từ tháng 12 năm 2021 do thực hiện các cuộc tấn công lừa đảo — với xu hướng tăng đáng chú ý trong ba tháng qua.

Theo dữ liệu được thu thập bởi PeckShield vànhiều bảng điều khiển trên Dune Analytics của Scam Sniffer và những người khác. Tổng cộng, những kẻ tấn công đã đánh cắp NFT và mã thông báo trị giá tổng cộng 73 triệu đô la.

Những gương mặt đứng sau các vụ tấn công

Các kế hoạch này thường liên quan đến việc xoay vòng và giao dịch trong một thị trường chợ đen mới nổi cho mã rút tiền.

Những người dàn dựng các cuộc tấn công lừa đảo trước tiên hướng đến Telegram và Discord, nơi họ có thể tìm thấy các kênh do các nhà phát triển của nhiều loại công cụ rút tiền khác nhau điều hành. Họ liên hệ với nhà phát triển và mua công cụ rút tiền, có dạng một bộ mã có thể được tích hợp vào các trang web, trong khi thường đồng ý chia 20-30% số tiền thu được cho nhà phát triển. Sau đó, họ sẽ sử dụng các phương pháp của riêng mình — một phương pháp là ví dụ về trang web tin tức giả mạo được mô tả ở trên — để xâm phạm máy chủ Discord hoặc tài khoản Twitter và quảng cáo một trang web giả mạo chứa mã trình rút NFT để đánh cắp NFT và bất kỳ thứ gì họ có thể lấy được.

Đó là khi họ không bận rộn với bài tập về nhà.

“95% trong số họ là trẻ em dưới 18 tuổi và vẫn đang học trung học,” một nhà nghiên cứu bảo mật có biệt danh là Plum, người làm việc trong nhóm tin cậy và an toàn tại thị trường NFT OpenSea, cho biết thêm rằng đây là lý do tại sao số vụ tấn công có xu hướng gia tăng trong các kỳ nghỉ Hè.

Plum nói: “Cá nhân tôi đã nói chuyện với khá nhiều người trong số họ và biết rằng họ vẫn đang đi học. “Tôi đã xem hình ảnh và video của nhiều người trong số họ từ trường học của họ. Họ nói về giáo viên của họ, về việc họ trượt lớp như thế nào hoặc họ cần phải làm bài tập về nhà như thế nào.”

Những đứa trẻ này dường như cố gắng rất ít để che giấu sự giàu có mới tìm thấy của chúng.

“Họ sẽ mua một chiếc máy tính xách tay, một số điện thoại, giày dép và chi số tiền khổng lồ cho Roblox. Hầu hết họ đều chơi Roblox. Vì vậy, họ sẽ mua những thiết bị tuyệt vời nhất cho hình đại diện Roblox, trò chơi điện tử, giao diện và những thứ tương tự,” Plum nói.

Plum nói thêm rằng họ cũng thường mua thẻ quà tặng bằng tiền điện tử trên thị trường thẻ quà tặng Bitrefill, chi hàng nghìn đô la cho Uber Eats, mua quần áo hàng hiệu, trả tiền cho mọi người làm bài tập về nhà cho họ và thậm chí mua ô tô mà họ chưa biết lái. Và họ cũng đánh bạc.

“Họ sẽ đặt cược 40.000 đô la một lần vào một trò chơi poker trực tuyến và phát trực tuyến cho tất cả những người chơi khác trong một cuộc gọi Discord. Mọi người sẽ xem người này chơi ván bài xì phé này,” họ nói.

Plum cho biết những kẻ lợi dụng cố gắng che đậy dấu vết của mình bằng cách trả tiền cho những người ở các quốc gia có thu nhập thấp hơn để họ sử dụng thông tin cá nhân của họ để đăng ký trên các sàn giao dịch, làm xáo trộn dấu vết khi họ rút tiền. Nhưng họ nói rằng ít nhất một số người trong số họ lẽ ra đã bị bắt vào lúc này vì họ để lại nhiều bằng chứng về hành động của mình - nếu không phải do cơ quan thực thi pháp luật thiếu quan tâm đến việc bắt giữ họ.

Về lý do tại sao thủ phạm nghĩ rằng họ có thể thoát khỏi những cuộc tấn công như vậy, Plum suy đoán rằng, “họ cảm thấy bất khả chiến bại, họ có chế độ Chúa — rằng không ai có thể chạm vào họ.”

Trong khi các nước như Bắc Triều Tiêncũng có liên quan Plum cho biết, trong các cuộc tấn công lừa đảo nhắm vào NFT, chúng thường sử dụng các công cụ thoát nước của riêng mình và ít liên quan đến các công cụ thoát nước để bán. Đối với những người tạo ra các công cụ rút cạn NFT - những người trong một số trường hợp thực hiện các cuộc tấn công bằng công nghệ của riêng họ - họ khó nắm bắt hơn một chút, nhưng hồ sơ bí danh của họ vẫn để lại dấu vết rõ ràng.

Sự gia tăng của các bộ thoát NFT

Một trong những công cụ tiêu hao NFT sớm nhất, Monkey, đã thiết lập kênh Telegram của họ vào tháng 8. Nhưng phải đến tháng 10, nó mới bắt đầu hoạt động. Trong vài tháng tới, công nghệ của họ đã được sử dụng để đánh cắp 2.200 NFT theo PeckShield, trị giá 9,3 triệu đô la và thêm 7 triệu đô la tiền mã thông báo.

Vào ngày 28 tháng 2, Khỉ quyết định treo mũ. Trong một thông điệp chia tay, nhà phát triển của nó cho biết, “tất cả bọn tội phạm mạng trẻ tuổi không nên đánh mất bản thân khi theo đuổi những đồng tiền dễ dàng.” Họ yêu cầu khách hàng của mình sử dụng một công cụ thoát nước đối thủ có tên là Venom.

Venom là một đối thủ xứng tầm. Nó là một trong những cống thoát nước sớm nhất, và theo thời gian nó đã đượcdùng để ăn cắp hơn 2.000 NFT từ hơn 15.000 nạn nhân. Khách hàng của Drainer đã sử dụng 530 trang web lừa đảo để thực hiện các cuộc tấn côngnhắm mục tiêu các dự án tiền điện tử như Arbitrum, Circle và Blur — thu về tổng cộng 29 triệu đô la trên NFT, ether và nhiều loại mã thông báo khác nhau.

Các chuyên gia bảo mật lưu ý rằng mặc dù Venom là một trong những công cụ tiêu hao NFT đầu tiên sử dụng đa chuỗi, nhưng họ đã không thành công lắm. Nhưng của họ là công cụ rút tiền đầu tiên được sử dụng để đánh cắp NFT trên thị trường NFT Blur.

Các đối thủ cạnh tranh khác bao gồm Inferno, được sử dụng để đánh cắp 9,5 triệu đô la từ 11.000 nạn nhân và Pussy, đã được sử dụng để đánh cắp 14 triệu đô la từ 3.000 nạn nhân. Khách hàng của Angel, bắt nguồn từ một diễn đàn hack của Nga, đã sử dụng nó để đánh cắp 1 triệu đô la từ hơn 500 nạn nhân dưới dạng NFT và các mã thông báo khác nhau - gần đây nhấtLàm tổn hại tài khoản Twitter của ví tiền điện tử Zerion.

Và rồi đến màu hồng.

Trường hợp kỳ lạ của Pink

Vào ngày 25 tháng 10, Fantasy, một chuyên gia bảo mật và đồng sáng lập của công ty bảo mật tiền điện tử BlockMage, đang khai thác Máy chủ Discord cho Wallet Guard, một sản phẩm tiền điện tử được thiết kế để bảo vệ chống lại các cuộc tấn công lừa đảo. Chính tại đây, họ đã bắt gặp một tài khoản khác có tên BlockDev, người này tự nhận là nhà nghiên cứu bảo mật và điều hành tài khoản Twitter có tên Chainthreats, nơi họ sẽ đăng thông tin bảo mật về các lần khai thác.

Mặc dù Fantasy và BlockDev có một số bất đồng khi họ gặp nhau lần đầu tiên, nhưng theo thời gian, họ bắt đầu nói chuyện thường xuyên. Sau đó, BlockDev nảy ra một ý tưởng: khai thác ví nóng tiền điện tử thuộc sở hữu của nhà phát triển công cụ thoát nước Venom — sử dụng API của chính họ để chống lại nó. BlockDev đã giải thích cách họ lên kế hoạch thực hiện và sau đó thực hiện cuộc tấn công, đánh cắp 14.000 đô la tiền điện tử từ nhà phát triển của Venom. Fantasy đã theo dõi toàn bộ sự việc và ghi lại chiếc ví mà BlockDev đã sử dụng để thực hiện cuộc tấn công.

Vào đầu năm, một thiết bị thoát nước NFT mới đã xuất hiện trên thị trường có tên là Pink. Điều này có vẻ tiên tiến hơn so với người tiền nhiệm của nó. Nó nhanh chóng trở nên phổ biến và được sử dụng để đánh cắp NFT trong một loạt các cuộc tấn công. Chỉ khi Fantasy xem xét, họ mới lần ra nguồn gốc của số tiền được sử dụng để thiết lập công cụ rút tiền trở lại ví của BlockDev — cho thấy họ là cùng một người.

“Tôi đã xem lại nguồn tài trợ ban đầu cũng như hoạt động chung giữa hai ví — chúng có hoạt động tương tự nhau. Tôi đã đối mặt với anh ấy và anh ấy không hài lòng lắm về điều đó,” Fantasy nói. “Anh ấy thất vọng về con người tôi. Anh ấy nghĩ rằng anh ấy có thể tin tưởng tôi, điều mà tôi nghĩ là rất thú vị.

Tại thời điểm này, nhà nghiên cứu được cho là, hiện được gọi là Pink, đã xóa tài khoản Twitter và Discord của họ, đồng thời cắt đứt quan hệ với các nhà nghiên cứu bảo mật như Fantasy và Plum.

Pink Drainer tiếp tục được sử dụng cho các hoạt động khai thác lớn hơn trong suốt tháng 5 và tháng 6, bao gồm cả trên Discords of Orbiter Finance, LiFi, Flare và Evmos, cũng như tài khoản Twitter của Steve Aoki và các tài khoản khác.

Những kẻ tấn công lại sử dụng chiến thuật giả làm nhà báo tiếp cận để thực hiện các cuộc phỏng vấn và thường nói với người điều hành Discord hoặc bất kỳ mục tiêu nào của họ, hãy đánh dấu một trang web nhất định. Dựa theoĐánh hơi lừa đảo , bước quan trọng này là cách chúng xâm nhập vào máy chủ.

Plum và Fantasy lưu ý rằng Pink Drainer quản lý để trốn tránh các biện pháp bảo vệ, chẳng hạn như tiện ích mở rộng ví được thiết kế để ngăn chặn các hành vi trộm cắp như vậy. Họ cho biết Pink đã thành công trong việc bỏ qua các tiện ích mở rộng ví Pocket Universe và Wallet Guard. Họ cũng đã triển khai một cách để đánh cắp mã thông báo và NFT cùng lúc trên Blur, mà họ mô tả là một bước phát triển đáng kể.

Về những gì có thể được thực hiện để bảo vệ chống lại các cuộc tấn công như vậy, Plum nói rằng các tiện ích mở rộng ví tập trung vào bảo mật vẫn tốt cho việc bảo vệ ví nói chung. Họ lưu ý rằng nên sử dụng nhiều ví và lưu trữ số tiền lớn trong ví lạnh, đồng thời nói thêm rằng việc thu hồi phê duyệt cũng là một cách tốt — khi một ví cho phép chuỗi khối tương tác với một mã thông báo nhất định — nếu mã thông báo đó đang được đề cập. không được sử dụng tích cực.

“Đừng để bản thân mắc sai lầm - nếu bạn bị phân tâm bởi tiếng la hét của lũ trẻ - nó sẽ khiến bạn mất tất cả những gì mình có,” Plum nói.