El exploit Bitkeep que ocurrió el 26 de diciembre usó sitios de phishing para engañar a los usuarios para que descargaran billeteras falsas. de acuerdo a a un informe del proveedor de análisis de blockchain OKLink.
El informe indicó que el atacante creó varios sitios web falsos de Bitkeep que contenían un archivo APK que se parecía a la versión 7.2.9 de la billetera Bitkeep. Cuando los usuarios “actualizaban” sus billeteras descargando el archivo malicioso, sus claves privadas o palabras clave eran robadas y enviadas al atacante.
【12-26 #BitKeep Resumen del evento de pirateo】
1/nSegún los datos de OKLink, el robo de bitkeep involucró 4 cadenas BSC, ETH, TRX, Polygon, OKLink incluyó 50 direcciones de piratas informáticos y el volumen total de Txns alcanzó los $ 31 millones.
— OKLink (@OKLink) 26 de diciembre de 2022
El informe no dice cómo el archivo malicioso robó las claves de los usuarios sin cifrarlas. Sin embargo, es posible que simplemente haya pedido a los usuarios que vuelvan a ingresar sus palabras clave como parte de la “actualización”, que el software podría haber registrado y enviado al atacante.
Una vez que el atacante obtuvo las claves privadas de los usuarios, quitó todos los activos y los vació en cinco billeteras bajo el control del atacante. A partir de ahí, intentaron retirar algunos de los fondos mediante intercambios centralizados: se enviaron 2 ETH y 100 USDC a Binance, y 21 ETH a Changenow.
El ataque ocurrió en cinco redes diferentes: BNB Chain, Tron, Ethereum y Polygon, y los puentes de BNB Chain Biswap, Nomiswap y Apeswap se usaron para unir algunos de los tokens a Ethereum. En total, se tomaron más de $ 13 millones en criptografía en el ataque.
Relacionado: Según los informes, el pirata informático Defrost v1 devuelve fondos a medida que surgen acusaciones de ‘estafa de salida’
Aún no está claro cómo el atacante convenció a los usuarios para que visitaran los sitios web falsos. El sitio web oficial de BitKeep proporcionó un enlace que enviaba a los usuarios a la página oficial de Google Play Store para la aplicación, pero no contiene ningún archivo APK de la aplicación.
El ataque de BitKeep fue informado por primera vez por Peck Shield a las 7:30 am UTC. En ese momento, se atribuyó a un “hackeo de la versión APK”. Este nuevo informe de OKLink sugiere que el APK pirateado provino de sitios maliciosos y que el sitio web oficial del desarrollador no ha sido violado.