Некоторые пользователи криптокошелька BitKeep обнаружили, что во время праздников они лишились всех своих активов, так как хакеры инициировали транзакции, не требующие верификации. Оказалось, злоумышленники каким-то образом внедрили вредоносный код в официальный APK-файл приложения на сайте BitKeep.
BitKeep — это децентрализованный криптовалютный кошелек компании Bitget, поддерживающий более 30 блокчейнов, 76 основных сетей, 20 000 децентрализованных приложений и более 223 000 видов активов. BitKeep используют более 8 млн человек из 168 стран мира.
Первое сообщение об атаке появилось в официальном Telegram-канале BitKeep 26 декабря 2022 года. Представители компании писали, что, судя по всему, инцидент связан с компрометацией некоторых APK кошелька, которые загрузили пострадавшие пользователи.
«После предварительного расследования, проведенного нашей командой, возникло подозрение, что некоторые пакеты APK были скомпрометированы хакерами, и [приложения] устанавливались вместе с вредоносным кодом, внедренным хакерами, — поясняется в сообщении. — Если ваши средства украдены, приложение, которое вы загрузили или обновили, могло быть неизвестной взломанной версией».
Всем, кто скачивал приложение в виде APK-файла, рекомендовали как можно скорее перевести все средства в официальное приложение: загрузить его из Google Play или App Store, создать новый адрес кошелька и перевести туда средства. В компании подчеркнули, что любые адреса кошельков, созданные с использованием вредоносных APK, следует рассматривать как скомпрометированные.
Также, всем пользователям, ставшим жертвами неизвестных мошенников, рекомендовали заполнить специальную форму, чтобы служба поддержки BitKeep могла предложить им какое-то решение проблемы.
Спустя два дня после публикации первого предупреждения в Telegram, в блоге BitKeep появилось заявление от главы компании Кевина Комо (Kevin Como). Он сообщил, что на данный момент специалистам компании уже удалось отследить некоторые адреса злоумышленников, и часть украденных средств заморожена.
«В ходе этой масштабной атаки хакеры взломали приложение BitKeep 7.2.9 — APK-файл на нашем сайте. Изменение APK и внедрение в него вредоносного кода привело к утечке приватных ключей пользователей и позволило хакеру похитить [чужие] средства.
У официального приложения BitKeep, установленного через Google Play, iOS App Store и Google Chrome, нет проблем с безопасностью. Но если вы загрузили APK BitKeep 7.2.9 с сайта BitKeep или обновили его до этой версии через сайт или в приложении, я призываю вас загрузить приложение через официальный магазин, сгенерировать новый адрес кошелька и переместить туда свои средства. Так как из-за этого взломанного APK существует вероятность утечки вашего закрытого ключа», — пишет Комо.
В Twitter компании сообщается, что специалистам удалось обнаружить пять версий вредоносных APK:
• 7.2.9 com.bitkeep.w4;
• 7.2.9 com.bitkeep.wallet5;
• 7.2.9 io.bitkeep.wallet;
• 7.2.9 http://com.bitkeep.app;
• 7.2.9 com.bitkeep.w5.
Судя по названиям этих пакетов, они также могли распространяться через фишинговые сайты.
В BitKeep не сообщают, сколько именно денег пользователи потеряли из-за этой атаки, но аналитики компании PeckShield пишут, что у пострадавших украдены активны на сумму около 8 млн долларов США. По данным аналитиков, подозрительные транзакции, включают 4373 BNB, 5,4 млн USDT, 196 000 DAI и 1233,21 ETH.
Хуже того, атака все еще продолжается, и злоумышленники пользуются праздничным сезоном: жертвы не сразу замечают произошедшее и не сразу реагируют на случившееся. Поэтому ожидается, что потери среди клиентов BitKeep будут только расти.