Chainalysis оценила убытки от криптовалютного фишинга в $1 млрд
Chainalysis оценила убытки от криптовалюного фишинга за 2,5 года в $1 млрд. Потери только за этот неполный год составили около $374 млн, согласно отчету аналитической компании.
Мошенничество, о котором идет речь — approval phishing («фишинг с целью получить одобрение»), — работает по следующей схеме. Злоумышленник обманом заставляет пользователя подписать или «одобрить» вредоносную транзакцию в блокчейне, что дает разрешение адресу мошенника на операции в кошельке жертвы, например, вывод средств на другие адреса.
Многие децентрализованные приложения (dApps) на блокчейнах с поддержкой смарт-контрактов, такие как Ethereum, требуют от пользователей подписывать транзакции одобрения, дающие смарт-контрактам dApps разрешение на перевод средств, хранящихся на адресе пользователя. Такие разрешения, как правило, безопасны и требуются для нормального функционирования dApps.
Вредоносные смарт-контракты мошенников, которые обеспечивают перевод средств, называют дрейнерами (от английского drain — «опустошать»). С технической точки зрения, одобряя транзакцию фишеров, пользователь добровольно передает доступ к своим активам в руки мошенникам.
Отслеживать эту мошенническую схему Chainalysis начала в мае 2021 года. По информации компании, с тех пор убытки составили около $1 млрд. Однако это может быть только «верхушкой айсберга», поскольку не обо всех случаях фишинга становится известно. Особенно если дело касается случаев, когда злоумышленник якобы с романтическими целями втирается в доверие к жертвам, чтобы позже убедить их одобрить вредоносные транзакции, говорится в сообщении.
Пик доходов фишеров, нацеленных на получение «одобрения», по информации Chainalysis, пришелся на май 2022 года. В целом в 2022 году жертвы потеряли $516,8 млн, а за первые 11 месяцев 2023 года — $374,6 млн.
Как и многие формы преступлений, связанных с криптовалютой, подавляющее большинство краж с помощью фишинга совершается всего несколькими успешными участниками, говорится в исследовании. Chainalysis выделила 1013 адресов фишеров, на 73 из которых приходится половина всех украденных ценностей.
Одним из вариантов решения проблемы аналитики называют обучение пользователей и участников криптоиндустрии не подписывать транзакции с одобрением других адресов, если они не абсолютно уверены, что доверяют человеку или компании на другой стороне, или недостаточно хорошо понимают уровень доступа, который они предоставляют.
14 декабря в результате уязвимости в сервисе авторизации криптокошелька Ledger неизвестный хакер похитил порядка полумиллиона долларов в разных криптовалютах. Ему удалось встроить код дрейнера в интерфейс сайтов нескольких популярных криптосервисов, которые использовали программный код сервиса Ledger Connect.
«РБК-Крипто» запустил мониторинг криптовалютных обменников. Выбирайте надежный обменный сервис с выгодным курсом на yourcryptoex.ru или в удобном телеграм-боте.