Chainalysis оценила убытки от криптовалютного фишинга в $1 млрд

По оценкам аналитической компании Chainalysis общие убытки от криптовалютного фишинга достигли $1 миллиарда за последние 2,5 года. Пик доходов мошенников был зафиксирован в мае 2022 года. Согласно отчету, убытки только за текущий год превысили $374 миллиона.

Речь идет о мошенничестве, известном как "approval phishing" (фишинг с целью получения одобрения). Этот вид атаки предполагает обман пользователя, который случайно подписывает или "одобряет" вредоносную транзакцию в блокчейне. Это дает злоумышленнику разрешение на проведение операций в кошельке жертвы, таких как вывод средств на другие адреса.

Многие децентрализованные приложения (dApps), работающие на блокчейнах с поддержкой смарт-контрактов, вроде Ethereum, требуют от пользователей подписывать транзакции одобрения. Это дает смарт-контрактам dApps разрешение на перевод средств, хранящихся на адресе пользователя. В обычных условиях такие разрешения являются безопасными и необходимыми для правильного функционирования dApps.

Вредоносные смарт-контракты, созданные мошенниками для осуществления перевода средств, получили название "дрейнеры" (от английского "drain" — «опустошать»). Технически, пользователь, одобряя транзакцию фишеров, добровольно передает доступ к своим активам в руки мошенников.

Chainalysis начала отслеживать эту мошенническую схему в мае 2021 года. Согласно данным компании, за этот период убытки составили около $1 миллиарда. Однако эти цифры могут быть лишь "верхушкой айсберга", так как не все случаи фишинга становятся известными. Особенно это относится к ситуациям, когда злоумышленники завоевывают доверие потерпевших, например, при использовании романтических уловок, чтобы убедить их одобрить вредоносные транзакции.

Пик доходов фишеров, ориентированных на получение "одобрения", пришелся на май 2022 года. В общей сложности, в 2022 году потерпевшие утратили $516,8 миллиона, а за первые 11 месяцев 2023 года — $374,6 миллиона.

Согласно исследованию, как и многие формы криптокриминала, большинство краж с использованием фишинга совершается лишь несколькими успешными участниками. Аналитическая компания Chainalysis выделила 1013 адресов фишеров, при этом 73 из них совершили половину всех краж.

Для решения этой проблемы некоторые предлагают проводить обучение пользователей и участников криптоиндустрии, призывая их не подписывать транзакции с одобрением для других адресов, если у них нет полного доверия к человеку, компании или они недостаточно понимают уровень предоставляемого доступа.

14 декабря произошла кража около полумиллиона долларов в различных криптовалютах из-за уязвимости в сервисе авторизации криптокошелька Ledger. Неизвестный хакер внедрил код дрейнера в интерфейс сайтов нескольких популярных криптосервисов, использующих программный код сервиса Ledger Connect.