Атака на клиентов DEX-бирж в Discord | Блог Касперского
Мы обнаружили уже третью кампанию, нацеленную на энтузиастов криптовалют, в мессенджере Discord. Около месяца назад мы видели, как злоумышленники отправляли инвесторов на фальшивые криптобиржи, позднее — на сеть фейковых новостных сайтов, призванных убедить жертву в легитимности поддельных площадок. Теперь настала очередь поддельных DEX-обменников — объясняем, как работает новая схема и как не стать ее жертвой.
Немного о криптобиржах
Для начала разберемся, что такое DEX. Все криптовалютные биржи делятся на два вида: централизованные (Centralized Exchange, сокращенно CEX) и децентрализованные (Decentralized Exchange) — собственно, их и называют DEX-обменниками. В чем же разница?
Чтобы пользоваться CEX-биржей, клиент фактически передает ей под контроль свои средства. Он переводит их на отдельный кошелек, закрытый ключ от которого платформа хранит у себя. Соответственно, и за его безопасность тоже отвечают ее операторы. Централизованные обменники принадлежат конкретным юридическим лицам, а их клиенты проходят проверку личности в рамках борьбы с отмыванием денег (KYC, Know your customer). В целом такие площадки довольно удобны и надежны, но часть пользователей смущает необходимость передавать свои средства бирже и возможность заморозки счетов в случае проверок.
В отличие от централизованных площадок, DEX-обменник — по сути лишь посредник между покупателями и продавцами. Чтобы торговать здесь, не нужно заводить отдельный кошелек или передавать бирже свой приватный ключ — ваши токены остаются только вашими, и хранить вы их можете на любом кошельке. Обычно децентрализованные биржи не принадлежат каким-либо организациям, не проверяют своих клиентов и не слишком заинтересованы в борьбе с нелегальными операциями.
Такой подход обеспечивает большую анонимность, однако и заботы о безопасности сбережений в основном остаются на совести рядовых пользователей. Кроме того, на DEX-биржах часто более низкие комиссии. В последнее время они привлекают все больше криптотрейдеров.
Под один из таких децентрализованных обменников, Uniswap, злоумышленники и замаскировали фишинговый сайт. Но обо всем по порядку.
Как обманывают клиентов децентрализованных криптообменников
Все опять начинается с сообщения от имени Uniswap, которое мошенники рассылают участникам популярных криптосерверов в Discord. В нем жертве сообщают, что она попала в число счастливчиков, которым полагаются подарочные монеты.
Авторы письма выдают свою схему за airdrop — раздачу цифровых денег пользователям за лояльность или за выполнение несложных заданий, вроде репостов в социальных сетях. Обычно airdrop используют эмитенты монет, чтобы привлечь внимание к новой валюте. Поскольку токены раздают фактически бесплатно, в надежде увеличить число транзакций с ними, такие «подарки» часто называют вертолетными деньгами.
В своем послании мошенники уверяют, что несколько бирж и сервисы криптокошельков Metamask и MyEtherWallet как раз устроили подобную акцию, и адресату крупно повезло оказаться в числе получателей «дропа». Приз обещают нешуточный: 2,5 монеты Ethereum и сверх того 25000 ZKSwap — на момент написания в сумме это более 5 миллионов в пересчете на рубли.
Если не брать в расчет нетипичный для таких раздач размер подарка, в сообщении все выглядит правдоподобно: никакого капслока и минимум эмодзи, а среди организаторов раздачи сплошь солидные обменники. Указаны даже условия получения приза: чтобы забрать деньги, нужно совершить на одной из бирж не менее пяти транзакций.
Подозрение может вызвать, пожалуй, короткая ссылка, по которой авторы предлагают перейти для получения приза. Впрочем, к лаконичным адресам вроде t.co или bit.ly многие уже привыкли.
Перейдя по ссылке, жертва попадает на страницу, очень похожую на сайт Uniswap. Эта довольно известная биржа действительно не так давно проводила акцию с вертолетными деньгами для своих клиентов. Вероятно, мошенники рассчитывали, что жертвы могли слышать об этом, что усыпило бы их бдительность.
На сайте внимание жертвы должна привлечь кнопка Claim accumulated rewards («Получить накопленное вознаграждение»).
Нажав на нее, «счастливчик» попадет на экран с просьбой ввести приватный ключ или мнемоническую фразу от своего криптокошелька (в нашей истории мошенники требовали кошелек Metamask). Мнемоническая фраза (ее еще называют сид-фразой) — это секретная последовательность нормальных человеческих слов для восстановления доступа к кошельку в случае технических сбоев или смены устройства. Как вы уже могли догадаться, отдав любой из кодов, жертва в скором времени обнаружит, что ее обокрали.
Как не стать жертвой мошенничества с DEX-биржами
Чтобы не попасться на удочку киберпреступников, следуйте простым правилам:
- С осторожностью относитесь к любым предложениям получить криптовалюту бесплатно. Время от времени действительно случаются раздачи токенов, честные и настоящие. Но такие акции, как правило, предназначены для ранних участников проекта, которые помогли его развитию. Если же вы таковым не являетесь, а вам ни за что или за минимальные действия предлагают монеты стоимостью несколько тысяч долларов — скорее всего, ничем хорошим это не закончится.
- Если в сообщении о призе или выигрыше указано условие (в этом случае — 5 транзакций), которое вы не выполняли, — тем более игнорируйте его. Если акция настоящая, вы все равно не сможете получить приз, только потеряете время. А если она окажется обманом, то можете остаться и без тех денег, которые у вас уже есть.
- Если сомневаетесь по поводу выплаты, проконсультируйтесь с Claimable — бесплатным сервисом, где можно уточнить, полагаются ли вам какие-либо бонусы. Для этого не требуется вводить конфиденциальные данные — только публичный ключ к вашему криптокошельку.
- Не верьте безоглядно громким именам — вполне естественно, что мошенники будут выдавать себя за известные биржи. Проверяйте на их официальных сайтах, проводится ли та или иная акция.
- Не переходите по ссылкам из сообщений. Сохраните адреса финансовых площадок, с которыми работаете, в закладки браузера и заходите на них через «Избранное».
- Прочитайте правила пользования сервисами и запомните, какие данные они могут у вас запрашивать, а какие нет. Если вас просят предоставить мнемоническую фразу — это наверняка мошенники. Ее нужно хранить в секрете и не выдавать никому ни под каким предлогом, кроме как для восстановления кошелька на новом устройстве.
Источник: Kaspersky-security.ru