Недавняя кибератака
Недавняя атака последовала за прежними фишинговыми кампаниями, в том числе отправкой поддельных писем от имени компании Ledger клиентам в апреле. Последнее обновление Ethereum Pectra также привнесло опасную уязвимость через EIP-7702, позволяющую использовать подписи вне цепочки, что может дать хакерам возможность захватывать контроль над кошельками без подтверждения со стороны пользователя. Это вызвало серьезные опасения среди специалистов в области безопасности, которые охарактеризовали угрозу как критическую.
Уязвимость в системах Ledger
На цепочке BNB токен Mobius (MBU) подвергся эксплуатации на сумму 2,15 миллиона долларов, когда злонамеренный смарт-контракт осушил миллионы токенов и конвертировал их в стейблкойны. Провайдер аппаратных кошельков Ledger подтвердил, что его Discord-сервер был взломан: 11 мая злоумышленник получил доступ к аккаунту модератора и использовал его для публикации вредоносных ссылок с целью обмана пользователей для раскрытия их фраз восстановления кошельков.
По словам одного из участников команды Ledger Квинтина Ботрайта, утечка была быстро локализована: скомпрометированный аккаунт был удален, вредоносный бот уничтожен, а мошеннический сайт был заблокирован. Все права доступа также были пересмотрены и ограничены, чтобы предотвратить дальнейшие злоупотребления.
Сложности с реагированием
Некоторые участники сообщества утверждали, что злоумышленник неправомерно использовал привилегии модератора для запрета на доступ и отключения пользователей, которые пытались сообщить о нарушениях, что может задерживать первоначальный ответ Ledger. Мошенничество заключалось в сообщении о якобы недавно выявленной уязвимости в системах Ledger и призыве пользователям подтвердить свои фразы восстановления через поддельную ссылку. Пользователей затем просили подключить свои кошельки и следовать фальшивым инструкциям, что создавало серьезный риск потери средств. На данный момент неизвестно, пострадал ли кто-либо из пользователей от мошенничества, однако скриншоты обманчивых сообщений стали широко распространёнными в социальных сетях.
Тревожная тенденция в криптовалютной экосистеме
Последняя попытка фишинга стала частью тревожной тенденции в экосистеме криптовалют. В апреле мошенники отправили физические письма обладателям аппаратных кошельков Ledger, призывая их вводить свои фразы восстановления через QR-коды под предлогом проверки безопасности. Эти письма выглядели легитимными благодаря официальным маркерам и ссылкам.
Некоторые получатели предположили, что рассылка была связана с утечкой данных в июле 2020 года, когда личные данные более 270 000 клиентов Ledger, включая имена, номера телефонов и адреса, были опубликованы в интернете. Годом позже некоторые пользователи сообщили о получении поддельных устройств Ledger, оснащённых вредоносным ПО. В целом, клиенты Ledger становятся мишенью для продвинутых мошенников.
Обновление Ethereum Pectra и риски
Не только пользователи Ledger должны быть осторожны. Недавнее обновление сети Pectra Ethereum, запущенное 7 мая, представило новые возможности для повышения масштабируемости и функциональности смарт-аккаунтов, однако также открыло серьезный новый вектор атаки. Это может позволить хакерам опустошать кошельки пользователей, используя лишь подписи вне цепочки. В центре проблемы находится EIP-7702, который является ключевым элементом обновления и позволяет пользователям делегировать контроль над своими внешне управляемыми аккаунтами (EOAs) смарт-контракту, подписывая сообщение — без необходимости отправки транзакции в цепочке.
Атаки через повседневные взаимодействия
Такое изменение позволяет злоумышленникам манипулировать ничего не подозревающими пользователями через фишинговые попытки или поддельные приложения.
Если злоумышленник получает действительную подпись, он может использовать транзакцию SetCode (тип 0x04) для установки кода в кошелек жертвы, который перенаправляет вызовы к контракту под контролем злоумышленника. На этом этапе злоумышленник может переводить ETH или токены из кошелька, не запрашивая авторизации от пользователя.
Специалисты в области безопасности, такие как Арда Усман и Егор Рудиця, подчеркивают, что этот риск является немедленным и критическим.
Рекомендации для пользователей и разработчиков
Пользователям настоятельно рекомендуется не подписывать сообщения, которые они не понимают, особенно касающиеся нонсов аккаунта или незнакомых форматов. Разработчики кошельков должны быстро адаптироваться, интегрируя парсинг подписей и четкие предупреждения о попытках делегирования, так как сообщения, разрешённые EIP-7702, часто обходят существующие стандарты, такие как EIP-191 и EIP-712.
Хотя мультиподписные кошельки обеспечивают большую защиту за счет необходимости нескольких одобрений, одноключевые кошельки все равно должны эволюционировать для обнаружения этих новых угроз.
Кражи криптовалюты
Тем временем более 2,15 миллиона долларов в цифровых активах было украдено из смарт-контрактов Mobius Token (MBU) на цепочке BNB после целевой эксплуатации 11 мая, согласно отчету компании по безопасности блокчейна Cyvers Alerts. Атака была проведена с высокой степенью точности, начавшись всего через несколько минут после развертывания вредоносного смарт-контракта.
Заключение
Эта эксплуатация является частью более широкой тенденции нарастания краж криптовалюты в 2025 году. Согласно отчету компании по безопасности блокчейна PeckShield, только в апреле было украдено около 360 миллионов долларов в криптоактивах в 18 крупных инцидентах хакерства. Эксплуатация Mobius Token служит очередным очевидным напоминанием о неотложной необходимости улучшения аудита контрактов и систем обнаружения угроз в реальном времени на платформах DeFi.
