L’exploit Bitkeep qui s’est produit le 26 décembre a utilisé des sites de phishing pour inciter les utilisateurs à télécharger de faux portefeuilles, selon à un rapport du fournisseur d’analyse de blockchain OKLink.
Le rapport indiquait que l’attaquant avait créé plusieurs faux sites Web Bitkeep contenant un fichier APK ressemblant à la version 7.2.9 du portefeuille Bitkeep. Lorsque les utilisateurs ont « mis à jour » leur portefeuille en téléchargeant le fichier malveillant, leurs clés privées ou leurs mots clés ont été volés et envoyés à l’attaquant.
【12-26 #BitKeep Résumé de l’événement de piratage】
1/nSelon les données d’OKLink, le vol de bitkeep impliquait 4 chaînes BSC, ETH, TRX, Polygon, OKLink comprenait 50 adresses de pirates et le volume total de Txns a atteint 31 millions de dollars.
— OKLink (@OKLink) 26 décembre 2022
Le rapport n’a pas précisé comment le fichier malveillant a volé les clés des utilisateurs sous une forme non cryptée. Cependant, il peut avoir simplement demandé aux utilisateurs de ressaisir leurs mots de départ dans le cadre de la « mise à jour », que le logiciel aurait pu enregistrer et envoyer à l’attaquant.
Une fois que l’attaquant avait les clés privées des utilisateurs, il a retiré tous les actifs et les a drainés dans cinq portefeuilles sous le contrôle de l’attaquant. À partir de là, ils ont essayé d’encaisser une partie des fonds en utilisant des échanges centralisés : 2 ETH et 100 USDC ont été envoyés à Binance, et 21 ETH ont été envoyés à Changenow.
L’attaque s’est produite sur cinq réseaux différents : BNB Chain, Tron, Ethereum et Polygon, et les ponts BNB Chain Biswap, Nomiswap et Apeswap ont été utilisés pour relier certains des jetons à Ethereum. Au total, plus de 13 millions de dollars de crypto ont été pris lors de l’attaque.
En rapport: Le pirate informatique Defrost v1 aurait renvoyé des fonds alors que des allégations d’« escroquerie à la sortie » font surface
On ne sait pas encore comment l’attaquant a convaincu les utilisateurs de visiter les faux sites Web. Le site Web officiel de BitKeep a fourni un lien qui renvoyait les utilisateurs vers la page officielle du Google Play Store pour l’application, mais il ne contient pas du tout de fichier APK de l’application.
L’attaque BitKeep a été signalée pour la première fois par Peck Shield à 7h30 UTC. À l’époque, il était imputé à un « hack de version APK ». Ce nouveau rapport d’OKLink suggère que l’APK piraté provient de sites malveillants et que le site Web officiel du développeur n’a pas été piraté.