В минувшие выходные неизвестные атакующие скомпрометировали DNS кошелька BlackWallet (домен BlackWallet.co), использующегося для работы с криптовалютой Stellar Lumen (XLM). Проблему заметили не только операторы сервиса, но и известный ИБ-специалист Кевин Бомонт (Kevin Beaumont).
The DNS hijack of Blackwallet injected code, if you had over 20 Lumens it pushes them to a different wallet. pic.twitter.com/Eiwb8UR1Nn
— Kevin Beaumont (@GossiTheDog) January 14, 2018
Пока администрация сервиса возвращала себе контроль над доменом, предупреждая пользователей о случившемся по всем возможным каналам (посредством Reddit, Twitter, GitHub, Stellar Community и так далее), специалист изучал ситуацию. По словам Бомонта, атакующие выводили с кошельков суммы более 20 XLM и переводили на адрес GBH4TZYZ4IRCPO44CBOLFUHULU2WGALXTAVESQA6432MBJMABBB4GIYI. Суммарно преступникам удалось похитить 669 920 XLM, что по текущему курсу составляет более 400 000 долларов США.
По словам представителей BlackWallet, инцидент произошел из-за того, что некое третье лицо получило доступ к аккаунту хостинг-провайдера сервиса. Пока детали случившегося не раскрываются, ведется расследование.
Но неизвестные злоумышленники не теряют времени даром, они уже начали избавляться от похищенных средств: их переводят на биржу Bittrex и, по всей видимости, конвертируют в другие криптовалюты, чтобы запутать следы.
Разработчики BlackWallet всеми средствами пытаются привлечь внимание представителей Bittrex и просят блокировать аккаунт злоумышленников, но, похоже, пока их воззвания не возымели эффекта.
Hello @BittrexExchange , please block the account with MEMO XLM 27f9a3e4d954449da04, he hacked https://t.co/ooPMtN2HV4 and is now sending all the funds to your exchange! This is URGENT! A lot of money is involved (>$300,000) https://t.co/nH1MnpPeyw https://t.co/3NlQ01m1yV
— orbit84 (@orbit0x54) January 14, 2018
В настоящее время пользователям советуют подумать о перемещении средств на другие кошельки, посредством Stellar account viewer.