ru
Назад к списку

Хакеры обчистили кошелёк сообщества криптовалюты Monero на 460 тысяч долларов. Как им это удалось?

source-logo  2bitcoins.ru 07 Ноябрь 2023 06:20, UTC

1 сентября 2023 года кошелёк сообщества криптовалюты Monero для краудфандинга подвергся атаке. В результате инцидента хакеры присвоили весь его баланс в размере 2675.73 XMR или около 460 тысяч долларов. Публичной информации об инциденте ранее не было, и только теперь разработчик блокчейн-проекта под ником luigi1111 раскрыл детали произошедшего в публикации на GitHub. При этом команде проекта до сих пор не удалось идентифицировать всю цепочку атаки и ключевую уязвимость. Рассказываем о происходящем подробнее.

Взломанный кошелёк был частью CCS – системы краудфандинга в рамках Monero. Средства с этого адреса шли на финансирования предложений по разработке и улучшению криптовалюты от её сообщества. Соответственно, данная сумма была крайне важной для представителей ниши децентрализованных активов. Однако теперь её нет.

Как взломали кошелёк Monero

В посте на GitHub luigi1111 кратко объяснил суть инцидента, а также описал таймлайн создания и взлома кошелька. Вот соответствующая цитата, которую приводит Cointelegraph.

Из CCS-кошелька были выведены все средства в в размере 2675.73 XMR, то есть весь баланс. Это случилось 1 сентября 2023 года в районе полуночи. Горячий кошелёк, который использовался для платежей участникам системы, остался нетронутым. Его баланс составляет около 224 XMR. Мы до сих пор не установили источник взлома.

Публикация luigi1111 о взломе кошелька на GitHub

Создатель Monero Рикардо Спаньи, также известный под ником Fluffypony, тоже прокомментировал атаку. Вот его цитата по этому поводу.

Данный взлом является бессовестным, поскольку хакеры отобрали средства, на которые люди могли рассчитывать, чтобы оплатить аренду или купить еду.

Страница краудфандинговой инициативы Monero

Fluffypony и luigi1111 были единственными, кто обладал прямым доступом к кошельку и владел сид-фразой к нему. Рикардо Спаньи создал кошелёк 12 апреля 2020 года на отдельном ноутбуке с операционной системой Qubes. Он поделился двумя частями сид-фразы с luigi1111 по приложению Wire и зашифрованной GPG-почте. Соответственно, никто другой не мог обладать секретной комбинацией.

Для платежей по краудфандинговым кампаниям luigi1111 пользовался отдельным горячим кошельком, созданным ещё в 2017 году. Время от времени на него переводились монеты с уже взломанного адреса.

Криптовалютный хакер

Пока что существует две версии произошедшего. Первую в треде на GitHub упомянул Спаньи. Атака якобы стала частью продолжающейся череды взломов различных криптокошельков, которая тянется ещё с апреля 2023 года.

Вполне возможно, что это связано с продолжающимися атаками, которые мы наблюдаем с апреля, поскольку они включают в себя множество скомпрометированных ключей — в том числе wallet.dat Биткоина, сид-фразы, сгенерированные с помощью всевозможного аппаратного и программного обеспечения, предпродажные кошельки и так далее.

Вторую версию озвучили участники соответствующего комьюнити. CCS-кошелёк создавался на ноутбуке с безопасной ОС Qubes, которая работала на Ubuntu. Есть вероятность, что приватный ключ кошелька оказался на сервере Ubuntu, откуда и был украден хакером.

В любом случае инициативы по краудфандингу в Monero никуда не денутся – для CCS выделят новые средства из основного фонда проекта.

Журналисты издания Cointelegraph отчитались ещё об одном инциденте. В нём фигурирует фейковая версия приложения Ledger Live для аппаратных кошельков Ledger.

Программа оказалась в магазине приложений Microsoft, однако активность мошенников распознали не сразу. Они сумели украсть у пользователей около 768 тысяч долларов в крипте.

Фейковое приложение Ledger

Информацией об этом поделился популярный автор различных крипторасследований под псевдонимом ZachXBT. Он также поделился адресом кошелька, куда мошенники перевели монеты своих жертв.

Из кошелька мошенников уже выведены все средства

Спустя некоторое время Microsoft приняла многочисленные жалобы и удалила вредоносное приложения со своей платформы.

Microsoft удалила фейковое приложение Ledger Live

Первая транзакция на адрес кошелька мошенников была проведена 24 октября на сумму 5210 долларов. До этого кошелёк не использовался. Большинство транзакций было проведено со 2 ноября, а самый крупный перевод на сумму 81 200 долларов был осуществлён 4 ноября.

Судя по поисковой выдаче в Google, вредоносное приложение «Ledger Live Web3» было добавлено в магазин Microsoft ещё 19 октября.

Приложение мошенников в поисковой выдаче Google

ZachXBT получил несколько сообщений от пострадавших. Многие из них считают, что Microsoft должна понести ответственность за размещение явно мошеннического приложения на своей платформе.

К слову, это уже не первый раз, когда Microsoft пропускает скамеров на свою площадку. Компания Ledger уже дважды отчитывалась об обнаружении фейковых версий своего приложения в декабре 2022 и марте 2023 года.


Создатели фейковых приложений для аппаратных кошельков пытаются заставить владельцев последних ввести свою сид-фразу. Речь идёт об уникальном сочетании 12, 18 или 24 слов, которые открывают доступ к криптовалютным адресам и их содержимому. Увы, схема достаточно эффективная, причём здесь мошенники пользуются незнанием пользователей.

В данном вопросе действует одно железное правило: вводить свою сид-фразу можно исключительно на аппаратном кошельке при восстановлении доступа к адресу. В то же время ввод комбинации в различных приложениях, на смартфоне или прочих носителях с подключением к интернету может легко закончиться потерей денег. Соответственно, все подобные приложения нужно игнорировать — равно как и переходы по ссылкам вместе с загрузкой подозрительных программ.

Руководитель компании Ledger Паскаль Готье


Как показывает данная ситуация, активность хакеров также может коснуться опытных пользователей криптовалют, которые имеют отношение к популярным блокчейн-проектам. Обычным инвесторам остаётся приобрести аппаратный кошелёк и игнорировать любые предложения раскрыть свою сид-фразу в интернете или любой программе. В таком случае шансы на сохранение крипты вплоть до нужного момента останутся довольно высокими.

2bitcoins.ru