Адрес, который платформа Lookonchain ранее назвала «охотником за аирдропами», украл 933 000 токенов ARB у 630 пользователей Arbitrum. Аналитическая компания Arkham Intelligence сообщила, что кошелек принадлежит мошеннику, который выманивает средства с помощью фишинговой схемы.
При более детальном рассмотрении транзакций выяснилось, что злоумышленник получил 933 365 ARB с другого адреса Arbitrum 24 марта, на следующий день после аирдропа. Источником этих токенов является другой контракт, создатель которого помечен как Fake_Phishing18 в эксплорере Arbitrum.
Независимый блокчейн-исследователь 0xKnight также подтвердил, что нашел сообщения жертв взлома. Пользователи жаловались, что их токены ARB были «автоматически переведены» на кошельки хакеров.
Компания-разработчик смарт-контрактов Brainsy также сигнализировала о вредоносном контракте, созданном адресом Fake_Phishing18. По их словам, при взаимодействии с контрактом создается дополнительный запрос на транзакцию, который выглядит так, будто он исходит от кошелька отправителя, но на самом деле является фишинговой атакой.
Мошенники атаковали пользователей Arbitrum с помощью «отравления адресов»
Разработчики MetaMask ранее предупреждали о возможности подобных атак и называли их «отравлением адресов». Мошенническая схема подразумевает отправку произвольных транзакций с кошельков, очень похожих на те, с которыми пользователь уже взаимодействовал.
В данном случае злоумышленник, по-видимому, использовал как фишинговую атаку через вредоносный смарт-контракт, так и отравление адресов. Fake_Phishing18 также связан с другим адресом под названием Fake_Phishing47, который развернул поддельный контракт Arbitrum 21 марта.
На скриншоте ниже видно, что учетная запись с меткой Fake_Phishing18 создала контракт, а затем передала право собственности Fake_Phishing47.
Та же организация могла создать поддельный сайт Arbitrum – если пользователи подключали к нему свои кошельки, контроль над ними переходил к хакерам.