Remiantis „Slowmist“ ataskaita, privatus raktas nutekėjimas išlieka pagrindinė kriptovaliutų vagysčių priežastis, kuriai 2025 m. Trečiąjį ketvirtį sudaro 317 pavogtų fondo ataskaitos.
„Slowmist“ pavogtos „Misttrack“ fondų analizė rodo, kad privatus raktų nutekėjimas išlieka labiausiai paplitusi kriptovaliutų vagysčių priežastis.
Rezultatai rodo, kad nuo liepos iki rugsėjo buvo pateiktos 317 pavogtų fondo ataskaitos, o turtas, kurio vertė daugiau nei 3,73 mln.
Privatūs raktai išlieka pagrindiniu pažeidžiamumu
Ataskaitoje pabrėžiama, kad dauguma kriptovaliutų vagysčių remiasi kompromituojamais įgaliojimais, o ne moderniais išpuoliais. Jis pažymi, kad neleistini prekiautojai ir toliau parduoda netikras aparatūros pinigines, kurios išlieka įprasta sukčiavimu. Šiuose įrenginiuose dažnai yra iš anksto parašytų sėklų frazės arba jie buvo suklastoti, kad slapta sugautų atkūrimo informaciją, leidžiančią užpuolikams naudotis lėšomis, kai nukentėjusiųjų turtas yra aukos.
„Slowmist“ patarė vartotojams įsigyti tik aparatūros pinigines per įgaliotus pardavėjus, sukurti sėklų frazes savo įrenginyje ir išbandyti mažus pervedimus prieš perkeldami dideles pinigų sumas. Paprasti čekiai, tokie kaip pakuočių vientisumo patikrinimas ir išvengtos iš anksto nustatytų atkūrimo kortelių, gali padėti išvengti nuostolių.
Užpuolikai taip pat kuria naujus metodus, naudodamiesi sukčiavimo ir socialine inžinerija. Ataskaitoje buvo nagrinėjami kai kurie EIP-7702 sukčiavimo sukčiavimo delegatu atsiradimai, kur pažeistos sąskaitos buvo susietos su sutartimis, kurios automatiškai nusausino turtą, kai buvo pradėtas perkėlimas. Tokiais atvejais aukos tikėjo, kad jie užsiima nuolatine veikla, tačiau paslėpti leidimai leido įsilaužėliams įgyti kontrolės.
Analizė rodo, kad socialinė inžinerija išlieka nuolatine grėsme, nes sukaupę sukėlėjai, kaip įdarbinantys įdarbintojai „LinkedIn“, ir kaupia pasitikėjimą su kandidatais į darbą per kelias savaites prieš įtikindami juos įdiegti „fotoaparatų vairuotojus“ ar kitą kenksmingą kodą. Vienu atveju užpuolikai sujungė programą su manipuliuojamu „Chrome“ pratęsimu per mastelio keitimo skambutį, todėl prarado daugiau nei 13 milijonų dolerių.
Senosios sukčiavimo sukčiai išlieka veiksmingos
Tradiciniai metodai taip pat ir toliau pasirodė veiksmingi. Apgaulinčios „Google“ skelbimų klonuotos teisėtos paslaugos, tokios kaip „Misttrack“, o apgaulingi decentralizuotų finansų platformų, tokių kaip „Aave“, prietaisų skydelius, tokias kaip „Aave“ sukėlė daugiau nei 1,2 mln. USD nuostolių dėl paslėptų autorizacijos užklausų. Eksploatuvai taip pat užgrobė nenaudojamus „Discord Vanity“ nuorodas, paliktas projekto aplankuose, kad apgaudinėtų bendruomenes.
Jums taip pat gali patikti:
Kitas atakos vektorius užmaskuoja kenksmingus komandas kaip „CAPTCHA“ patikrinimus, apgaudinėjant aukas nukopijuoti kodą, kuris vagia piniginės duomenis, naršyklės slapukus ir privačius raktus.
„Slowmist“ paaiškino, kad „Web3“ išnaudojimai yra ne apie sudėtingus triukus, bet apima įsilaužėlius, naudojančius kasdienius veiksmus. Atsižvelgiant į tai, paprasti veiksmai, tokie kaip sulėtėjimas, dvigubai tikrinant šaltinius ir vengimas nuorodų yra geriausi būdai išlikti saugiems erdvėje, kurioje grasinimai keičiasi.
„Binance Free“ 600 USD (išskirtinė „Cryptopotato“): naudokite šią nuorodą, kad užregistruotumėte naują sąskaitą ir gautumėte 600 USD išskirtinį pasveikinimo pasiūlymą „Binance“ (Išsami informacija).
Ribotas pasiūlymas „Cryptopotato“ skaitytojams „BYBIT“: naudokite šią nuorodą norėdami registruoti ir atidaryti 500 USD nemokamą vietą bet kurioje monetoje!
