Вы только что ввели в Google “гипержидкость”? Возможно, Вы попали на сайт, где можно опустошить кошелек

Вредоносная реклама, выдающая себя за Hyperliquid, появилась в Google, обманывая пользователей DeFi, заставляя их подключить кошельки и подписать свои активы.

Эти атаки основаны на точных клонированных доменах и вредоносных одобрениях смарт-контрактов; начальная фраза не требуется.

Scam Sniffer подтвердил, что эксплойт уже работает, и риску подвергаются реальные средства пользователей. Что важнее? Это часть растущей тенденции: мошенничества с отъемом кошельков теперь затмевают взломы протоколов по общему объему украденных средств.

Эти рекламные эксплойты Google являются частью растущей тенденции, известной как “свиное мясо”, когда мошенники создают поддельные приборные панели или инвестиционные фронты, чтобы “откормить” пользователей, прежде чем опустошить их кошельки с помощью обманных разрешений.

По данным Scam Sniffer, такие аферы не единичны: в 2024 году мошенники выманили $494 млн. из более чем 300 000 кошельков, что на 67% больше, чем в прошлом году.

Изощренность в масштабах: Клонированные домены и фальшивый брендинг

Мошенники клонируют официальные домены проектов Web3 и подбирают устаревший брендинг, чтобы обмануть даже разборчивых пользователей.

Эти похожие друг на друга сайты воспроизводят макет, названия и потоки взаимодействия, чтобы создать ложное ощущение легитимности.

В случае с Hyperliquid сайт достаточно имитирует официальный интерфейс, чтобы заманить пользователей и заставить их дать разрешение на “одобрение” – действие, которое приводит в исполнение смарт-контракт, сливающий активы под шумок.

Афера с гиперликвидами: Источник: X

Этот вектор атаки стал доминирующей моделью угроз в DeFi, превзойдя взломы протоколов.

Примечательно, что Scam Sniffer сообщил о 30 мошенничествах с отъемом кошельков в 2024 году. Общая сумма превысила $1 млн, а самая крупная кража принесла $55,4 млн.

Главной мишенью стал Ethereum, на долю которого пришлось более 152 миллионов долларов, почти 89% всех потерь от крупных сливщиков.

За пределами фишинговой ловушки: никаких фраз, только подписи

В отличие от традиционного фишинга кошельков, при котором крадут начальные фразы, эти автоматические сливщики полагаются на вредоносные одобрения смарт-контрактов.

Пользователи заходят на клонированный сайт, подключают свой кошелек через WalletConnect или инжектированные библиотеки Web3 и одобряют транзакции; часто с такими тонкими разрешениями, как “коллекционировать” или “управлять активами”.

После подписания через них проходят миллиарды долларов, иногда за кулисами, в считанные секунды.

Недавно Check Point Research раскрыла похожую мобильную атаку: поддельное приложение WalletConnect в Google Play собрало более 10 000 установок и выкачало около $70 000 в криптовалюте. Это вредоносное ПО ускользало от обнаружения в течение пяти месяцев, демонстрируя изощренность новейших угроз.

Это не единичный случай: похожие фальшивые объявления Solscan (26 апреля) и Aave (20 июня) также возглавляли результаты Google, как было отмечено Scam Sniffer, используя идентичную тактику отъема кошельков.

Когда “опустошители” кошелька опережают хаки

В 2024 году только мошенничество с вытягиванием денег из кошельков обошлось жертвам почти в 494 миллиона долларов, что приближается к общим потерям от взломов DeFi и мостовых эксплойтов.

В отличие от громких взломов, “сливщики” нацелены на отдельных людей, стратегически оценивая успех по количеству взломанных кошельков.

Это знаменует собой фундаментальный сдвиг в риске: теперь убытки возникают из-за эксплуатации UX и обманчивых веб-практик, а не только из-за уязвимостей в коде.

Что это значит для пользователей и платформ

Теперь пользователи криптовалют должны тщательно проверять URL-адреса, даже если они кажутся официальными. Проверка подлинности домена, избегание рекламы прямого подключения к кошельку и проверка одобрения токенов – все это необходимо.

Поставщики инфраструктуры Web3 должны также обеспечить дополнительные UX-барьеры, например, предупреждения о подтверждении транзакции и уведомления об одобрении.

Лучшие криптопреступления в 2024 году: Medium

Решения для мониторинга и аналитики заслуживают нового внимания. Как подтверждают Scam Sniffer и Chainalysis, атаки с отниманием кошелька (pig butcher) – самый крупный источник кражи кошельков в 2024 году.