Восемь самых ярких криптокраж в истории

Преимущества криптовалюты — слабое регулирование и неподконтрольность правительству — оборачиваются весьма серьезными недостатками, когда эту самую валюту крадут у законного владельца. Угрозы криптоактивам весьма разнообразны, и мы рекомендуем изучить общий обзор методов защиты крипты, а также советы владельцам аппаратных криптокошельков. Но в этих наших постах не до конца раскрыты все многообразие и масштаб схем обмана, связанных с криптой. Чтобы вы лучше понимали, насколько привлекательна сфера криптофинансов для мошенников, мы решили собрать самые яркие примеры атак последних лет воедино. В нашей преступной олимпиаде — победители самых ярких атак в разных номинациях. Мы не пытались делать рейтинг по причиненному ущербу, потому что его сложно определить для многих видов атак, и исключили из рейтинга финансовые пирамиды вроде BitConnect.

1. Самая сложная

Ущерб: $ 30 000
Способ: троянизированный аппаратный кошелек

Об этой атаке у нас есть детальный пост, поскольку ее расследовали наши специалисты. Инвестор приобрел популярный аппаратный кошелек, который выглядел и работал точь-в-точь как настоящий — до какого-то момента. Впоследствии оказалось, что это — умелая подделка, в которую злоумышленники прошили заранее известные им приватные ключи и систему ослабления паролей. Когда в кошельке оказались деньги, хакеры свободно их вывели. Кошелек при этом вообще не подключался к компьютеру.

2. Самая крупная

Ущерб: $ 540 000 000
Способ: взлом серверов

Долгое время крупнейшим взломом в истории криптовалют оставалась кража с биржи Mt. Gox на 460 миллионов долларов, которая привела компанию к краху в 2014 году. Но в 2022 году сомнительное лидерство перешло к компании Sky Mavis, разработчику игры Axie Infinity из категории «играй, чтобы зарабатывать». Мост Ronin, обслуживающий взаимодействие между внутриигровыми токенами Axie Infinity и сетью Ethereum, был скомпрометирован, что привело к краже эфира и USDC на общую сумму — по разным оценкам — от 540 до 650 миллионов долларов. Не погружаясь в специфические детали взлома блокчейн-мостов, отметим, что транзакции в Ronin удостоверялись девятью узлами-валидаторами, и злоумышленники смогли скомпрометировать пять из них, чтобы подписать свои переводы. Судя по всему, проникновение в сеть произошло через комбинацию вредоносного ПО и легитимных, но устаревших и не отозванных вовремя реквизитов доступа.

В качестве вишенки на торте — хакеры рассчитывали дополнительно заработать на обвале рыночной капитализации атакованных компаний, но взлом заметили лишь неделю спустя, и их попытка сыграть на коротких продажах (short selling) провалилась.

3. Самая настойчивая

Ущерб: неизвестен
Способ: фальшивое расширение Chrome

Атаки, обнаруженные нами в 2022 году, проводились группировкой BlueNoroff и в первую очередь были нацелены на финтех-компании, работающие с криптовалютой. В рамках серии этих атак хакеры проникали во внутренние сети пострадавших компаний при помощи фишинговых писем, якобы от венчурных фондов. Когда жертва открывала вредоносное вложение в письмо, на компьютер устанавливался троян, с помощью которого атакующие могли как воровать информацию, так и устанавливать дополнительное ПО. Хакеры сидели в некоторых сетях месяцами, если переписка компании представляла для них интерес. А сама кража криптовалюты осуществлялась с помощью модифицированного расширения Chrome под названием Metamask. Установив свою версию Metamask вместо официальной, преступники могли наблюдать и модифицировать легитимные криптотранзакции жертвы, и даже использование аппаратного криптокошелька в данном случае не гарантировало защиту.

4. Самая непонятная

Ущерб: $ 35 000 000
Способ: непонятен

Второго июня 2023 года децентрализованный кошелек Atomic Wallet подвергся атаке, в рамках которой у жертвы несанкционированно списываются токены. Это самый свежий пример на момент написания поста. Разработчики подтвердили взлом, но пока так и не разобрались в его причине. Atomic Wallet гордится тем, что на серверах не хранятся ни пароли, ни приватные ключи, поэтому атака должна быть связана с происходящим на компьютерах самих пользователей.

Специалисты по отслеживанию криптовалют говорят, что способы отмыва краденого похожи на почерк группировки Lazarus. Если это так, то наиболее вероятные версии атаки — либо фальшивая троянизированная версия Atomic Wallet (по аналогии с атакой на DeFi), либо атака на самих разработчиков и троян в официальном приложении.

5. Самая кинематографичная

Ущерб: $ 4 000 000
Способ: личная встреча

Ради кражи криптовалюты некоторые злоумышленники устраивают аферы в стиле фильма «Поймай меня, если сможешь». Мишень — компании, ищущие инвесторов, к которым обращаются «инвестиционные фонды» и предлагают детально обсудить крупное вложение в бизнес. После нескольких созвонов и переписки жертвам — директорам стартапа — назначают личную встречу в роскошном отеле. На встрече долго обсуждаются юридические и финансовые вопросы, и под удобным предлогом возникает разговор об инвестициях или комиссионных сборах в криптовалюте. В итоге у жертвы подсматривают сид-фразу или кратковременно выманивают криптокошелек, а затем освобождают этот кошелек от всех денег. В одном из случаев жертв «нагрели» на четыре миллиона долларов, в другом, детально описанном, — на 206 тысяч.

6. Самая элегантная

Ущерб: неизвестен
Способ: фальшивые письма и кошельки

Сюжет для хорошего детектива: злоумышленники рассылали бумажные письма покупателям аппаратных кошельков Ledger. Чтобы получить базу рассылки, они либо взломали неназванную «третью сторону» (вероятно, одного из подрядчиков Ledger), либо воспользовались ранее произошедшей утечкой данных пользователей.

В пришедшем письме сообщалось, что из-за проблем безопасности аппаратный кошелек Ledger Nano X, принадлежащий получателю письма, требует замены, и к письму прилагается бесплатная замена кошелька по гарантии. На самом деле в приложенной коробочке лежала замаскированная под Nano X флешка с вредоносным софтом. При первом запуске программа требовала провести «импорт ключа» и ввести свою секретную сид-фразу для восстановления доступа к кошельку — с понятными последствиями. Многие жертвы, правда, не попались на уловку: несмотря на убедительную упаковку, само письмо содержало несколько орфографических ошибок. Внимательность окупается!

7. Самая незаметная

Ущерб: неизвестен
Способ: вредоносное ПО

Одной из наиболее незаметных атак остается подмена адресата перевода, совершаемая обычно при помощи трояна. Заразив компьютер жертвы, зловред тихо следит за буфером обмена и, когда туда попадает адрес криптокошелька, подменяет его в буфере на адрес кошелька злоумышленника. Таким образом, просто копируя и вставляя адреса во время переводов, очень легко своими руками подписать транзакцию в пользу злоумышленников.

8. Самая обидная

Ущерб: $ 15 000
Способ: романтическая переписка

Мы опишем эту атаку на конкретном примере, но «романтические аферы» — один из популярнейших способов обмана частных криптоинвесторов. Кевин Кок много лет работал с криптой, но преступники смогли усыпить его бдительность, пробудив романтические чувства. Познакомившись с девушкой на сайте знакомств, он общался с ней несколько месяцев, причем тема инвестиций вообще не возникала в их разговорах. Однажды, впрочем, она поделилась информацией от друзей о новом удобном приложении для криптоинвестиций. Она не могла разобраться с приложением и попросила о помощи, чтобы внести туда ее собственные (!) деньги. Кевин, конечно, помог, а заодно убедился, что приложение работает, а активы его пассии дорожают день ото дня. Тогда он решил вложить и свои деньги и с удовольствием наблюдал за высокой доходностью вложений. Неладное Кевин заподозрил, только когда девушка неожиданно пропала из всех мессенджеров и перестала отвечать на сообщения. Тут-то и оказалось, что вывести деньги из «инвестиционной системы» невозможно в принципе.

Как защититься?

Подробные рекомендации криптоинвесторам по защите своих вложений мы давали ранее, а здесь повторим только две: будьте максимально подозрительны к любым предложениям, письмам, рассылкам и невинным вопросам по поводу криптовалют и обязательно используйте решение для комплексной киберзащиты всех устройств, учитывающее риски криптоинвесторов. Мы, конечно, рекомендуем подписку Kaspersky Premium на одно или несколько устройств, стоимость которой просто несопоставима с потенциальным ущербом от хотя бы одного удавшегося мошенничества. В Premium входят специальные инструменты для защиты ваших криптоинвестиций:

• защита от мошенничества с криптовалютой и несанкционированного майнинга;
• дополнительная защита банковских приложений и финансовых операций;
• анти-фишинг;
• специальная защита окон ввода паролей от перехвата (кейлоггеров);
• детектирование удаленного доступа к компьютеру;
• менеджер паролей и защищенное хранилище для конфиденциальных данных;
• антивирус реального времени с контролем поведения приложений;
• предупреждение о потенциально опасных приложениях;
• автоматический поиск устаревших версий приложений и их обновление из официальных источников.