• Генеральный директор Nexus Mutual Хью Карп предоставил подробности недавней атаки на его кошелек, в результате которой он потерял более $8 млн. 
  • Карп призывает сообщество тщательно проверять каждую транзакцию, поскольку даже его, человека с техническими знаниями, смогли обмануть. 

14 декабря 2020 года стало известно, что хакерам удалось украсть у основателя Nexus Mutual Хью Карпа 370 000 NXM (примерно $8.25 млн по курсу на тот момент). Как отметил Карп, злоумышленник его обманул, заставив подписать поддельную транзакцию. Карп предполагал, что осуществляет собственный перевод, однако деньги ушли на адрес хакеров. Холодные адреса не были взломаны, как и смарт-контракты Nexus. Атака была направлена исключительно на Карпа. Он решил поделиться подробностями атаки, а также подвести итоги этого события. 

Для взаимодействия с приложением Nexus Mutual Хью Карп использовал Ledger, который был подключен через MetaMask. На компьютере была установлена операционная система Windows. 

Примерно в 10:20 UTC 11 декабря экран компьютера Карпа потемнел на доли секунды, после чего все вернулось в норму. Он предположил, что это какой-то несущественный сбой, и не придал должного значения. 

Через час, в 11:20 UTC, хакер подменил MetaMask с диска при помощи инфицированной версии. Карп этого не заметил. 

До 14 декабря Карп не производил никаких транзакций, пока не решил получить награду за майнинг в Nexus Mutual. Он инициировал перевод NXM, и MetaMask выдал стандартное окно для подтверждения транзакции. Поскольку это была обычная процедура, Карп не стал дополнительно проверять адрес назначения и подписал транзакцию. Это и стало ключевой ошибкой, стоившей ему более $8 млн. Карп увидел сообщение о том, что перевод осуществлен успешно, и отправился проверять информацию в Etherscan. Там он и обнаружил, что вместо обычного перевода осуществил транзакцию на 370 000 NXM на неизвестный адрес. 

Почему разработчик, имея огромное количество технических знаний, допустил такую ошибку? Во-первых, невнимательность, поскольку перевод был не особо важным. Часто многие на этом и попадаются. Когда осуществляешь одну и ту же операцию несколько раз, то со временем бдительность теряется. Во-вторых, он взаимодействовал с приложением Nexus Mutual, которому полностью доверял. Поэтому Карп посчитал, что операция не несет в себе каких-либо существенных рисков. 

Какие выводы сделал Карп? 

  • Нужно тщательно проверять любую транзакцию, а не только очень важную. 
  • Большинство атак, связанных с MetaMask, направлены на кражу закрытых ключей. Однако в данном случае ситуация другая. Был взломан компьютер разработчика. 
  • Вредоносное расширение было получено из coinbene.team. Домен можно отслеживать с помощью следующих IP-адресов:
IP-адреса, связанные с  coinbene.team
IP-адреса, связанные с coinbene.team. Источник.
  • Браузер Карпа был переведен в режим разработчика. Скорее всего, это сделал хакер. 
  • Уже есть информация о других жертвах, которые подверглись аналогичной атаке. 
  • Взлом был целенаправленным, поскольку транзакцию подготовили специально для Карпа.

Чего Карп не знает? 

  • Как взломали его компьютер. Он совместно с экспертами из Лаборатории Касперского потратил немало времени на изучение вопроса. Диагностика компьютера еще ведется. 
  • Личность хакера. Вероятнее всего, это не один человек, а группа людей. 
  • Есть предположение, что взломщик базируется в азиатском часовом поясе. Вывод сделан на основании транзакционной активности. 

Что Карп советует другим пользователям криптовалют? 

  • Всегда нужно думать, что MetaMask скомпрометирован. Поэтому во всех случаях необходимо сверять адреса получателя и сумму транзакции. 
  • Быть очень внимательным при загрузке различных приложений на компьютер. Хотя Карпу это не помогло. 
  • Желательно разделять средства на разных адресах, чтобы минимизировать ущерб в случае успешной атаки. 

В конце Карп решил обратиться непосредственно к злоумышленнику с призывом вступить в ряды этичных хакеров:

«Вы использовали изощренные методы для кражи средств не только у меня, но и у других представителей криптовалютного сообщества. Я понимаю, что деньги вы не вернете, потому что отправили их своим работодателям. Вы знаете, что многие хакеры работают “в белую”, получая значительные вознаграждения за свою помощь в создании более безопасной экосистемы. Вы продемонстрировали хорошие навыки в этой области и могли бы стать частью сообщества белых хакеров. В таком случае ваши доходы станут чистыми и прозрачными, а платить работодателям больше не придется. Используйте свои навыки с пользой и заслужите призвание».