Z badań przeprowadzonych przez firmę Chainalysis wynika, że oszuści kryptowalutowi ukradli w mijającym roku blisko 400 mln dolarów.
Jak co roku o tej porze Chainalysis, firma zajmująca się danymi blockchain, ujawniła wyniki swoich badań dotyczących oszustw związanych z „phishingiem zatwierdzającym”. Technika, w której oszuści nakłaniają swoje ofiary cele do zatwierdzenia transakcji blockchain, która pozwala im wydać określone tokeny w portfelu ofiary, umożliwiła przestępcom kryptowalutowym kradzież co najmniej 374 milionów USD w 2023 roku.
Oszuści kryptowalutowi nie próżnowali
Chociaż liczba ta jest duża, stanowi spadek o 27 proc. w porównaniu z 2022 rokiem, kiedy to wykorzystując tą metodę przestępcy ukradli aż 516,8 mln dolarów. Jak zauważają pracujący w Chainalysis eksperci, że sukces phishingu zatwierdzającego można przypisać faktowi, że wiele zdecentralizowanych aplikacji (dApps) na blockchainach obsługujących inteligentne kontrakty, takich jak Ethereum, wymaga od użytkowników właśnie podpisywania transakcji zatwierdzających, aby dać inteligentnym kontraktom dpozwolenie na przenoszenie środków przechowywanych przez adres użytkownika.
– Podczas gdy zgody udzielone na bezpieczne dApps są ogólnie bezpieczne, phisherzy mogą wykorzystać fakt, że wielu użytkowników kryptowalut jest przyzwyczajonych do podpisywania transakcji zatwierdzających. Kluczowa różnica polega na tym, jakie uprawnienia są udzielane i na wiarygodności strony otrzymującej to pozwolenie – wyjaśnił Eric Jardine, kierownik ds. badań nad cyberprzestępczością w Chainalysis.
Badania sugerują również, że phisherzy coraz częściej atakują konkretne ofiary, budując z nimi relacje i wykorzystując taktyki związane z oszustwami romansowymi, aby przekonać swoje cele do podpisania transakcji zatwierdzających. Rodzi to również obawy, że wolumen środków wyłudzonych za pomocą phishingu zatwierdzającego może być znacznie wyższy niż 1 mld dolarów, który Chainalysis śledzi od maja 2021 r.
Co ciekawe, podobnie jak w przypadku wielu form przestępczości opartej na kryptowalutach, zdecydowana większość kradzieży phishingowych jest napędzana przez kilku bardzo skutecznych aktorów. Spośród 1013 adresów, które Chainalysis zidentyfikowało jako zaangażowane w tego typu oszustwa, wydaje się, że pojedynczy najbardziej skuteczny adres phishingowy prawdopodobnie ukradł 44,3 miliona dolarów z tysięcy adresów ofiar, co stanowi 4,4 proc. całkowitej szacowanej kwoty skradzionej w badanym okresie.
Dziesięć największych adresów phishingowych odpowiadało łącznie za 15,9 proc. całej skradzionej wartości, podczas gdy 73 największe adresy odpowiadały za połowę całej wartości skradzionej w badanym okresie.
Zobacz też: Podsumowujemy „Bezpieczny Kredyt 2 proc.”. Było warto?
Jaki jest sposób na przestępców?
Komentując sposoby, w jakie branża kryptowalut może rozwiązać problem phishingu zatwierdzającego, Chainalysis podkreśliło potrzebę edukacji użytkowników i stosowania taktyk rozpoznawania wzorców. – Biorąc pod uwagę, że ci oszuści zazwyczaj wypłacają pieniądze za pomocą scentralizowanych giełd, zespoły ds. zgodności z przepisami u tych dostawców usług mogłyby monitorować blockchain pod kątem podejrzanych portfeli konsolidacyjnych z dużą ekspozycją na adresy docelowe. Następnie mogliby zobaczyć w czasie rzeczywistym, kiedy te portfele przenoszą środki na ich platformę, a następnie mogliby podjąć kroki, takie jak automatyczne zamrożenie środków lub zgłoszenie do organów ścigania – powiedział Jardine.
Może Cię zainteresować: