W przeciągu zaledwie kilkunastu godzin historia jednego z twórców memecoinów na Solanie z euforii zamieniła się w dramat, a później – w spektakl solidarności całego sektora Web 3.0. Streamer i walczący z rakiem twórca tokena $CANCER, znany z Xittera pod pseudonimem rastaland.TV, poinformował, że po zainstalowaniu rzekomo „zweryfikowanej” gry z platformy gier komputerowych Steam jego portfel został opróżniony z ponad 32 tys. USD zgromadzonych prowizji. „Nie mogę oddychać, nie mogę myśleć… czuję, że to moja wina”- wołał rozpaczliwie na streamie, apelując do społeczności krypto o pomoc.
Festiwal okrucieństwa i ludzkiej dobroci
Autor od miesięcy transmituje na żywo swoje zmagania z chorobą nowotworową i wykorzystuje popularność memecoinów, aby częściowo sfinansować kosztowne leczenie. W trakcie całodobowej transmisji ktoś z czatu przekonał go do pobrania „zweryfikowanej” gry ze Steama. Instalator okazał się być wektorem podłego ataku – najpewniej klasycznego drainera na poziomie systemowym, który po cichu przechwycił klucze/frazy seed lub podpisał złośliwe transakcje, gdy ofiara miała odblokowany portfel.
Historia nie zakończyła się jednak ponuro. Błyskawicznie bowiem pojawiły się oferty wsparcia. Easy (@EasyEatsBodega) – znana postać ze sceny Solany, sam po przejściach onkologicznych – zadeklarował 10 000 USD darowizny, zastrzegając, że trafi ona wyłącznie na nowy, bezpieczny portfel kontrolowany przez twórcę. Chwilę później znany influencer Alex Becker publicznie potwierdził wysłanie 32 500 dolarów „na pokrycie strat” na nowy adres twórcy i poprosił o niezależne potwierdzenie autentyczności całej sytuacji – standard ostrożności w czasach, gdy CT bywa areną inscenizowanych zbiórek. Do powyższej dwójki dołączyli również inni.
Co ciekawe, pierwsza transakcja Beckera trafiła na zły adres…i przepadła bezpowrotnie. Milioner jednak całkowicie bezceremonialnie wysłał kolejną transakcję, już na poprawny portfel.
Steam nie jest bezpieczny, nawet jeżeli na taki wygląda
Ale wróćmy na moment do samego ataku. Wszystko wskazuje bowiem na atak łańcuchowy zaczynający się poza blockchainem: złośliwa aplikacja z kanału dystrybucji gier dostała się na komputer ofiary, a następnie umożliwiła przejęcie kontroli nad portfelem. Tego typu oszustwa w ostatnich miesiącach nasilają się: drainer udający launcher gry lub cheat narzędzie prosi o uprawnienia, podmienia biblioteki przeglądarek, skanuje dysk w poszukiwaniu seedów i menedżerów haseł, a potem czeka na moment podpisu przez właściciela.
Jeśli jesteś graczem i jednocześnie inwestujesz w kryptoaktywa koniecznie unikaj korzystania z tego samego urządzenia do tradingu i zajęć codziennych. A po każdym incydencie: nowy sprzęt lub system, nowy seed, nowe hasła, zmiana haseł do poczty i menedżerów haseł, revoke (są do tego specjalne strony) wszystkich dotychczasowych uprawnień i monitoruj swoje adresy.
Lekcja dla branży
Kryptowaluty eliminują pośredników, ale nie eliminują inżynierii społecznej. Atak nie musiał omijać żadnego smart-kontraktu; wykorzystał człowieka i jego komputer. Dla ekosystemu Solany i platform takich jak pump.fun to dobry moment, by na wierzchu każdej strony związanej z wypłatami umieścić krótką checklistę operacyjną: „zimny portfel tylko do odbioru”, „brak gier i cheatów na maszynie do podpisów”, „każdy EXE traktuj jak phishing”. Dla nas – czytelników – to przypomnienie, że Web3 jest szybkie, ekscytujące i surowe. A bezpieczeństwo zaczyna się nie w kontrakcie, tylko w naszej własnej głowie i przyzwyczajeniach.