Журнал "Information Security/ Информационная безопасность" #3, 2024

Как работают дрейнеры Мошенничество, особенно фишинг, представляет серьезную угрозу для криптовалют. Злоумышленники часто используют так называемые эйрдро- пы – бесплатные раздачи монет или NFT, создавая поддельные сайты, кото- рые копируют известные ресурсы и привлекают пользователей ложными обещаниями. Переходя по такой ссылке, жертва попадает на сайт, требующий автори- зации через криптокошелек, например, MetaMask, CoinBase или WalletConnect. После подключения запускается вре- доносный смарт-контракт – дрейнер, который переводит все активы с кошелька жертвы на счета злоумыш- ленников. Так как деталей смарт-контракта не видно, то подтверждать транзакцию при- ходится на основе доверия, что называ- ется "слепая подпись". Одобряя тран- закцию, пользователь добровольно пере- дает доступ к своим активам мошенни- кам. Злоумышленники в основном исполь- зуют фишинговые почтовые сообще- ния, спам-токены (по названию сайта, в виде NFT), транзакции (пылевые атаки), для заманивания своих жертв. При этом используются дрейнеры кошельков и взломы смарт-контрактов, в том числе для манипулирования ценой активов. Одним из наиболее распространенных дрейнеров среди злоумышленников, по оценкам экспертов, стал Pink Drainer. Администраторы подобного ПО обычно получают порядка 20–30% украденных активов, а остальная часть достается партнерам, которые приводят жертв на сайты, под разными предлогами пред- лагающие им подключить криптокоше- лек. Операторы Pink Drainer объявили, что сворачивают деятельность после того, как с его помощью украли $85 млн у более чем 21 тыс. жертв. Инсайдерские атаки Инсайдерские атаки, с другой стороны, осуществляются лицами, имеющими внутренний доступ к системам. В кон- тексте криптовалют инсайдеры могут использовать свои полномочия для уста- новки или активации дрейнеров, доступа к ключевой информации или вывода средств напрямую. Комбинация дрейнеров и инсайдер- ских атак усиливает угрозу. Инсайдер может внедрить дрейнер в смарт-конт- ракт или платформу, используя свои привилегии, что делает обнаружение и предотвращение таких атак гораздо более сложным. Внутренний доступ поз- воляет инсайдерам манипулировать системой изнутри, обходя многие внеш- ние меры защиты. Инсайдерские атаки особо опасны, поскольку они могут оставаться неза- меченными длительное время. AML-дрейнеры Новинкой этого года и проблемой для всей отрасли, особенно в работе под- разделений криптокомплаенса и инве- сторов, стали AML-дрейнеры. AML-дрейнеры (Anti-Money Laundering, противодействие отмыванию денег) представляют собой специализирован- ные программы или скрипты, которые используются для обхода механизмов противодействия отмыванию денег. Они могут использоваться злоумышленни- ками для хищения средств и нанесения репутационного ущерба организациям из сферы AML. Теперь дрейнеры добрались и до сферы ПОД/ФТ: мошенники создают фишинговые сайты новых AML-провай- деров. Принцип действия стандартный: они просят прикрепить кошелек и крадут все токены и криптовалюты. Конечно, ни один настоящий AML- провайдер не потребует присоединения кошелька к своему сервису. Для физи- ческих лиц требуется только адрес кошелька или хэш транзакции, интегра- ция для бизнеса происходит через API. Но проблема как раз и заключается в том, что такое предостережение известно далеко не всем. Что же делать? Разработчики и специалисты по без- опасности не сидят сложа руки, приду- мывая новые решения для обеспечения сохранности пользовательских средств. Так, в октябре команда MetaMask в парт- нерстве с фирмой Blockaid внедрила уведомления безопасности в браузерное расширение Web3-кошелька. Эта функ- ция призвана обеспечить проактивное предотвращение вредоносных транзак- ций, обеспечив защиту пользователей от скамов, фишинговых и хакерских атак. Для защиты от дрейнеров и инсай- дерских атак необходим комплексный подход. Во-первых, регулярные аудиты смарт-контрактов и систем безопасности помогают выявить и устранить уязвимо- сти до того, как они будут использованы злоумышленниками. Во-вторых, про- граммы баг-баунти могут мотивировать внешних экспертов на поиск и доклад об уязвимостях. В-третьих, использова- ние кошельков с мультиподписью добав- ляет дополнительный уровень безопас- ности, так как для проведения транзак- ции требуется одобрение нескольких сторон. В борьбе с инсайдерскими угрозами важно внедрять строгие контрольные меры и системы мониторинга. 62 • ТЕХНОЛОГИИ Дрейнеры и инсайдерские атаки мире криптовалют мошенничество становится все более изощренным, а злоумышленники находят новые способы кражи цифровых активов. Одним из таких методов являются дрейнеры – вредоносные смарт-контракты, кото- рые незаметно опустошают криптовалютные кошельки пользователей. Понимание того, как работают дрейнеры, и знание мер предосторожности, которые можно предпри- нять для защиты своих активов, становится критически важным для всех участников криптовалютного сообщества. Рассмотрим механизмы работы дрейнеров, методы их использования мошенниками и способы защиты от подоб- ных угроз. В Александр Подобных, глава департамента расследований BitOK, руководитель Санкт-Петербургского РО АРСИБ, руководитель Комитета по безопасности цифровых активов и противодействию мошенничеству, судебный эксперт