Phishing frenzy: Anak-anak sekolah mencuri jutaan dolar NFT — untuk membeli skin Roblox

Terkadang bagus untuk curiga terhadap jurnalis.

Ambil kasus Orbiter Finance. Bulan lalu, seorang jurnalis yang mengaku berasal dari situs berita crypto menghubungi salah satu moderator Discord dan meminta mereka untuk mengisi formulir. Moderator tidak menyadari tindakan sederhana ini akan menyerahkan kendali atas server Discord mereka.

Begitu masuk, pelaku membekukan kontrol admin lain atas server dan membatasi kemampuan anggota komunitas untuk mengirim pesan. Mereka memposting pengumuman untuk airdrop palsu, mengirim semua orang ke situs web phishing yang dirancang untuk mencuri NFT mereka. Itu berhasil. Secara total, mereka mencuri NFT dan token senilai satu juta dolar dalam sekejap, sementara tim hanya bisa menonton.

“Kami sangat prihatin,” kata Gwen, seorang manajer pengembangan bisnis di Orbiter Finance, yang menceritakan apa yang terjadi dalam sebuah wawancara. “Jika kami merusak [anggota komunitas kami], kami hanya akan kehilangan kepercayaan dari mereka.”

Serangan Orbiter hanyalah salah satu contoh terbaru dalam rangkaian panjang eksploitasi yang melibatkan penguras NFT dan server Discord atau akun Twitter yang disusupi. Data yang dikumpulkan oleh analis NFT dan pakar keamanan yang dikenal sebagai OKHotshot menunjukkan bahwa setidaknya 900 server Discord telah disusupi sejak Desember 2021 karena melakukan serangan phishing — dengan tren naik yang mencolok dalam tiga bulan terakhir.

Serangan semacam itu telah memengaruhi setidaknya 32.000 dompet korban selama sembilan bulan terakhir, menurut data yang dikumpulkan oleh PeckShield danbeberapa dasbor di Dune Analytics oleh Scam Sniffer dan lainnya. Secara total, penyerang telah mencuri NFT dan token senilai gabungan $73 juta.

Wajah-wajah di balik serangan

Skema ini sering melibatkan mendorong dan berurusan di pasar gelap yang sedang berkembang untuk kode penguras.

Orkestra serangan phishing pertama-tama menuju ke Telegram dan Discord, di mana mereka dapat menemukan saluran yang dijalankan oleh pengembang berbagai jenis penguras. Mereka menghubungi developer dan membeli drainer, yang berbentuk sekumpulan kode yang dapat diintegrasikan ke dalam situs, sementara biasanya setuju untuk memberikan 20-30% dari hasil penjualan kepada developer. Kemudian mereka akan menggunakan metode mereka sendiri — salah satunya adalah contoh situs berita palsu yang dijelaskan di atas — untuk mengkompromikan server Discord atau akun Twitter dan mengiklankan situs web palsu yang berisi kode penguras NFT untuk mencuri NFT dan apa pun yang bisa mereka dapatkan.

Yaitu, ketika mereka tidak disibukkan dengan pekerjaan rumah.

“95% dari mereka adalah anak-anak di bawah usia 18 tahun dan mereka masih duduk di bangku SMA,” kata seorang peneliti keamanan dengan nama samaran yang dikenal sebagai Plum, yang bekerja di tim kepercayaan dan keamanan di pasar NFT OpenSea, menambahkan bahwa inilah mengapa jumlah serangan cenderung meningkat selama liburan musim panas.

“Saya pribadi telah berbicara dengan beberapa dari mereka dan mengetahui bahwa mereka masih bersekolah,” kata Plum. “Saya telah melihat gambar dan video berbagai dari mereka dari sekolah mereka. Mereka berbicara tentang guru mereka, bagaimana mereka gagal di kelas atau bagaimana mereka perlu mengerjakan pekerjaan rumah.”

Anak-anak ini tampaknya berusaha sedikit untuk menyembunyikan kekayaan baru mereka.

“Mereka akan membeli laptop, beberapa ponsel, sepatu, dan menghabiskan banyak uang untuk Roblox. Mereka semua memainkan Roblox untuk sebagian besar. Jadi mereka akan membeli perlengkapan paling keren untuk avatar Roblox mereka, video game, skin, dan hal-hal seperti itu, ”kata Plum.

Plum menambahkan bahwa mereka sering juga membeli kartu hadiah dengan crypto di pasar kartu hadiah Bitrefill, menghabiskan ribuan dolar untuk Uber Eats, membeli pakaian desainer, membayar orang untuk mengerjakan pekerjaan rumah mereka dan bahkan membeli mobil yang belum bisa mereka kendarai. Dan mereka juga berjudi.

“Mereka akan bertaruh $40.000 per pop pada permainan poker online dan mengalirkannya ke semua pemukul lainnya dalam panggilan Discord. Semua orang akan melihat orang ini memainkan permainan poker ini,” kata mereka.

Para pengeksploitasi mencoba menutupi jejak mereka dengan membayar orang-orang di negara berpenghasilan rendah untuk menggunakan data pribadi mereka untuk mendaftar di bursa, mengaburkan jejak saat mereka menguangkan, kata Plum. Tetapi mereka mengatakan setidaknya beberapa dari mereka seharusnya sudah ditangkap sekarang karena mereka meninggalkan banyak bukti dari tindakan mereka - jika bukan karena kurangnya minat dari penegak hukum untuk menangkap mereka.

Adapun mengapa pelaku berpikir mereka bisa lolos dengan serangan seperti itu, Plum berspekulasi bahwa, "mereka merasa tak terkalahkan, mereka memiliki mode Tuhan - tidak ada yang bisa menyentuh mereka."

Sementara negara-negara seperti Korea Utarajuga terlibat dalam serangan phishing yang menargetkan NFT, mereka biasanya menggunakan drainer mereka sendiri dan kurang terlibat dengan drainer untuk dijual, kata Plum. Adapun mereka yang membuat NFT drainer — yang dalam beberapa kasus melakukan serangan menggunakan teknologi mereka sendiri — mereka sedikit lebih sulit dipahami, tetapi profil nama samaran mereka tetap meninggalkan jejak yang berbeda.

Munculnya drainer NFT

Salah satu penguras NFT paling awal, Monkey, menyiapkan saluran Telegram mereka pada bulan Agustus. Tapi baru pada Oktober ketika mulai benar-benar aktif. Selama beberapa bulan berikutnya, teknologi mereka digunakan untuk mencuri 2.200 NFT menurut PeckShield, senilai $9,3 juta, dan tambahan $7 juta dalam bentuk token.

Pada 28 Februari, Monyet memutuskan untuk gantung topi. Dalam pesan perpisahan, pengembangnya mengatakan, "semua penjahat dunia maya muda tidak boleh tersesat dalam mengejar uang dengan mudah." Mereka memberi tahu klien mereka untuk menggunakan penguras saingan yang dikenal sebagai Venom.

Venom adalah pesaing yang layak. Itu adalah salah satu penguras paling awal, dan seiring waktudigunakan untuk mencuri lebih dari 2.000 NFT dari lebih dari 15.000 korban. Pelanggan penguras menggunakan 530 situs phishing untuk melakukan seranganpenargetan proyek kripto seperti Arbitrum, Circle, dan Blur — meraup total $29 juta di seluruh NFT, eter, dan berbagai token.

Meskipun Venom adalah salah satu penguras NFT pertama yang menggunakan multichain, mereka tidak melakukannya dengan baik, catat pakar keamanan. Tapi milik mereka adalah penguras pertama yang digunakan untuk mencuri NFT di pasar NFT Blur.

Pesaing lainnya termasuk Inferno, yang digunakan untuk mencuri $9,5 juta dari 11.000 korban dan Pussy, yang digunakan untuk mencuri $14 juta dari 3.000 korban. Pelanggan Angel, yang berasal dari forum peretasan Rusia, menggunakannya untuk mencuri $1 juta dari lebih dari 500 korban dalam bentuk NFT dan berbagai token — terbarukompromi dompet crypto akun Twitter Zerion.

Dan kemudian datanglah Pink.

Kasus penasaran Pink

Pada tanggal 25 Oktober, Fantasy, seorang pakar keamanan dan salah satu pendiri perusahaan keamanan crypto BlockMage, sedang menggali di Discord Server for Wallet Guard, sebuah produk crypto yang dirancang untuk melindungi dari serangan phishing. Di sinilah mereka menemukan akun lain bernama BlockDev, yang mengaku sebagai peneliti keamanan dan menjalankan akun Twitter bernama Chainthreats di mana mereka akan memposting informasi keamanan tentang eksploitasi.

Sementara Fantasy dan BlockDev memiliki beberapa ketidaksepakatan saat pertama kali bertemu, seiring waktu, mereka mulai berbicara secara teratur. Kemudian BlockDev mendapatkan sebuah ide: untuk mengeksploitasi hot wallet kripto yang dimiliki oleh pengembang penguras Venom — menggunakan API miliknya sendiri untuk melawannya. BlockDev menjelaskan bagaimana mereka berencana untuk melakukannya dan kemudian melakukan serangan itu, mencuri cryptocurrency senilai $14.000 dari pengembang Venom. Fantasi menyaksikan semuanya terjadi dan mencatat dompet yang digunakan BlockDev untuk melakukan serangan itu.

Di awal tahun, penguras NFT baru muncul di panggung bernama Pink. Yang ini tampak lebih maju dari pendahulunya. Itu dengan cepat menjadi populer dan digunakan untuk mencuri NFT dalam serangkaian serangan. Hanya ketika Fantasy memeriksanya, mereka melacak sumber dana yang digunakan untuk menyiapkan penguras kembali ke dompet BlockDev — menunjukkan bahwa mereka adalah orang yang sama.

“Saya melihat kembali sumber pendanaan asli serta aktivitas umum antara kedua dompet — mereka berbagi aktivitas serupa. Saya mengonfrontasinya dan dia tidak terlalu senang tentang itu, ”kata Fantasy. “Dia kecewa pada saya sebagai pribadi. Dia pikir dia bisa mempercayai saya, yang menurut saya sangat lucu.

Pada titik ini, peneliti yang diduga, sekarang dikenal sebagai Pink, menghapus akun Discord dan Twitter mereka dan memutuskan hubungan dengan peneliti keamanan seperti Fantasy dan Plum.

Penguras merah muda kemudian digunakan untuk eksploitasi yang lebih besar sepanjang Mei dan Juni, termasuk di Discords of Orbiter Finance, LiFi, Flare dan Evmos, serta akun Twitter Steve Aoki dan lainnya.

Para penyerang kembali menggunakan taktik menyamar sebagai jurnalis yang menjangkau untuk melakukan wawancara dan sering memberi tahu moderator Discord, atau siapa pun targetnya, untuk mem-bookmark halaman web tertentu. BerdasarkanPenipu Penipu , langkah kunci ini adalah bagaimana mereka akhirnya menyusup ke server.

Plum dan Fantasi mencatat bahwa Pink drainer berhasil menghindari perlindungan, seperti ekstensi dompet yang dirancang untuk mencegah pencurian semacam itu. Mereka mengatakan Pink telah berhasil melewati ekstensi dompet Pocket Universe dan Wallet Guard. Mereka juga menerapkan cara untuk mencuri token dan NFT secara bersamaan di Blur, yang mereka gambarkan sebagai perkembangan yang signifikan.

Mengenai apa yang dapat dilakukan untuk melindungi dari serangan semacam itu, Plum mengatakan bahwa ekstensi dompet yang berfokus pada keamanan masih bagus untuk melindungi dompet secara umum. Mereka mencatat bahwa itu adalah praktik yang baik untuk menggunakan banyak dompet dan menyimpan sejumlah besar dana di dompet dingin, dan menambahkan bahwa itu juga baik untuk mencabut persetujuan – ketika dompet memberikan izin blockchain untuk berinteraksi dengan token tertentu – jika token tersebut dipertanyakan. tidak digunakan secara aktif.

“Jangan mengatur diri sendiri sehingga satu kesalahan – jika Anda terganggu oleh teriakan anak-anak Anda – itu menyebabkan Anda kehilangan semua yang Anda miliki,” kata Plum.