Dois novos Bitcoin Revolution hacks surgiram recentemente, mostrando que a carteira do Electrum ainda parece estar perturbada pelos esforços de phishing.
Dois usuários de software de carteira Electrum relataram recentemente a perda de grandes somas de Bitcoin (BTC). Uma vítima descreveu o desaparecimento de 1.400 BTC, totalizando 14.595.000 dólares no momento da imprensa, enquanto outra reclamou 36,5 BTC, no valor de 380.512 dólares, como roubados. Os eventos parecem estar ligados a um esquema de phishing de longa data que afecta os utilizadores de Electrum desde 2018.
„Os usuários precisam ter cuidado ao lidar com suas próprias chaves, particularmente quando estão segurando as chaves de uma carteira com uma grande quantidade de moeda criptográfica, pois isso os torna atraentes para os hackers“, disse Jason Lau, o chefe de operações de troca de criptografia OKCoin, em resposta ao hack de 1.400-BTC, acrescentando:
„Neste incidente, parece que um ataque de phishing levou o usuário a instalar uma atualização que deu ao hacker acesso às chaves privadas e aos fundos. Os esquemas de phishing são muito comuns em todos os tipos de aplicações financeiras, e continuam a evoluir em níveis de sofisticação“.
Uma busca através do passado
A notícia inicial de um esquema de phishing que impactou a carteira do Electrum foi manchete pela primeira vez em 27 de dezembro de 2018, com quase US$ 1 milhão sendo dado como roubado. „O hacker configura um monte de servidores maliciosos“, disse um usuário Reddit divulgando o hack.
Essencialmente, o hacker levou os usuários a uma página maliciosa através dos servidores, levando-os a inserir dados privados, que, por sua vez, submeteram o controle de seus ativos à parte nefasta por trás do esquema. O esquema também envolveu uma falsa atualização de carteira que baixou malware para os dispositivos das vítimas, um post Reddit separado detalhado.
Na época do relatório do Cointelegraph, em dezembro de 2018, o endereço da carteira associada com o esquema possuía 243 BTC. Ver o endereço hoje revela que 637.44 BTC visitou e saiu da carteira agora vazia.
Nos meses que se seguiram à publicação do Electrum phishing, as dificuldades da carteira continuaram, incluindo um ataque de negação de serviço em separado que se assemelhava muito ao mencionado golpe de phishing de 2018, levando também as vítimas a perderem-se com actualizações de software falso.
Descodificando o roubo de 14,6 milhões de dólares de Bitcoin
Nas últimas semanas, dois utilizadores adicionais da carteira Electrum reportaram o roubo das suas carteiras de Bitcoin. Um dos usuários de carteiras informou ter sofrido uma perda de 1.400 BTC. „Eu tinha 1.400 BTC em uma carteira que não tinha acesso desde 2017“, disse a vítima em 30 de agosto de 2020, postado no GitHub, acrescentando:
„Instalei insensatamente a antiga versão da carteira do electrum. Minhas moedas se propagaram. Eu tentei transferir cerca de 1 BTC, mas não consegui prosseguir. Uma janela pop-up indicava que eu tinha que atualizar minha segurança antes de poder transferir fundos. Eu instalei a atualização que imediatamente desencadeou a transferência de todo o meu saldo para um endereço de scammers“.
O rastreamento da cadeia de bloqueio pelo pessoal do Cointelegraph mostrou uma ligação provável entre o ladrão de 1.400 BTC, ou ladrões, e uma conta de câmbio de Binance, de acordo com uma ID de transação específica. O ID da transação, contudo, envolveu mais de 75 endereços de carteira diferentes, disse um representante da Binance à Cointelegraph.
O representante também declarou dificuldades e áreas cinzentas associadas ao rastreamento e à ligação de transações a jogo sujo, devido à natureza do criptograma e às muitas partes que fazem transações diariamente. „Não se deve supor que os fluxos para um cluster malicioso são de um indivíduo/grupo associado à campanha, especialmente se for um cluster usado para receber fundos diretamente das vítimas“, acrescentou o representante.
Referindo-se ao relatório inicial do Cointelegraph sobre os 1.400 BTC roubados, o representante disse: „A conta que é a peça central deste artigo foi revista e não foram encontrados indicadores suspeitos.“ Os relatórios anteriores do Cointelegraph também rastrearam alguns dos BTC roubados para a Rússia, embora o uso potencial da VPN tenha anulado qualquer conclusão definitiva.
„O endereço de Binance está a montante do scammer, provavelmente apenas mais uma vítima“, conta de Electrum no Twitter postada em 1 de setembro, em resposta ao relatório do Cointelegraph. O tweet também postou o ataque como correlato ao con de phishing de 2018, acrescentando: „Não há necessidade de envolver os Hackers russos.“
„O sistema de descoberta peer-to-peer adoptado pelo Electrum é uma escolha de design para manter o sistema descentralizado, mas neste caso, ele desempenhou um papel em permitir que o hacker para transmitir uma mensagem falsa ‚atualizar seu software'“, disse Lau sobre o hack 1.400-BTC, acrescentando: „Os usuários devem sempre verificar a autenticidade de qualquer software cliente de carteira e tomar uma vigilância extra para verificar a origem de todas as atualizações“.
Revelando outro roubo de 36,5-BTC
Pouco depois do roubo de 1.400-BTC ter ido a público, outro GitHubber respondeu ao tópico de discussão com um caso semelhante que eles sofreram dois meses antes, pois um ator malicioso teria saqueado 36,5 BTC da carteira. Conhecida como Cryptbtcaly em GitHub, a vítima rastreou os fundos roubados até cinco endereços separados após o assalto. „Alguns dos Bitcoin roubados foram para Binance, mas eles ignoram meus apelos e não retornam“, disse Cryptbtcaly em GitHub.
Um ponto controverso nos recentes hacks do Electrum foi que as vítimas estavam armazenando grandes quantidades de fundos em uma carteira de software. Um guia de fonte educacional online BitDegree observou que as carteiras de software carregam o risco de malware e ataques de keylogging: „Elas não são tão seguras como as carteiras de hardware, mas são mais convenientes de usar. Isto torna-as perfeitas para o dia-a-dia, mas não são ideais para armazenar grandes somas de dinheiro durante um longo período de tempo“.