Eksploitasi Bitkeep yang terjadi pada 26 Desember menggunakan situs web phishing untuk mengelabui pelanggan agar mengunduh dompet palsu, sebagai tanggapan atas laporan pemasok analitik blockchain, OKLink.
Laporan tersebut mengatakan bahwa penyerang mengatur beberapa situs web Bitkeep palsu yang berisi file APK yang mirip dengan versi 7.2.9 dari dompet Bitkeep. Saat pelanggan “memperbarui” dompet mereka dengan mengunduh file jahat, kunci non-publik atau frase seed mereka telah dicuri dan dikirim ke penyerang.
【12-26 #BitKeep Hack Occasion Abstract】
1/n
Berdasarkan pengetahuan OKLink, pencurian bitkeep menyangkut 4 rantai BSC, ETH, TRX, Polygon, OKLink termasuk 50 alamat peretas dan jumlah Txns lengkap mencapai $31 juta.
— OKLink (@OKLink) 26 Desember 2022
Laporan itu tidak mengatakan bagaimana file jahat mencuri kunci pelanggan dalam bentuk yang tidak terenkripsi. Namun demikian, itu mungkin hanya meminta pengguna untuk memasukkan kembali kata kunci mereka sebagai bagian dari “penggantian”, yang mungkin telah dicatat dan dikirim oleh perangkat lunak ke penyerang.
Segera setelah penyerang memiliki kunci non-publik pelanggan, mereka melepaskan semua properti dan mengurasnya ke dalam 5 dompet di bawah manajemen penyerang. Dari sana, mereka mencoba menguangkan beberapa dana menggunakan pertukaran terpusat: 2 ETH dan 100 USDC dikirim ke Binance, dan 21 ETH dikirim ke Changenow.
Serangan itu terjadi di lima jaringan yang berbeda: BNB Chain, Tron, Ethereum, dan Polygon, dan BNB Chain menjembatani Biswap, Nomiswap, dan Apeswap digunakan untuk menjembatani beberapa token ke Ethereum. Secara total, crypto senilai lebih dari $13 juta diambil dalam serangan itu.
Terkait: Peretas Defrost v1 dilaporkan mengembalikan dana sebagai lantai tuduhan ‘keluar rip-off’
Belum jelas bagaimana penyerang memuaskan pelanggan untuk pergi ke situs web palsu. Situs web resmi untuk BitKeep menyediakan tautan yang mengarahkan pengguna ke halaman web resmi Google Play Store untuk aplikasi tersebut, tetapi sama sekali tidak membawa file APK dari aplikasi tersebut.
Serangan BitKeep pertama kali dilaporkan oleh Peck Protect pada pukul 7:30 pagi UTC. Pada saat itu, itu disalahkan pada “peretasan model APK.” Laporan baru dari OKLink ini menunjukkan bahwa APK yang diretas berasal dari situs web jahat, dan situs web resmi pengembang belum dilanggar.
