Фізичний викрадення: напад гайковим ключем після нового рекорду Біткойна

фон

У темному лісі блокчейну ми часто говоримо про атаки в мережі, вразливості контрактів, вторгнення хакерів, але все більше випадків нагадують нам, що ризик вже поширився на поза мережею.

За повідомленням Decrypt та Eesti Ekspress, під час нещодавнього судового засідання мільярдер-криптоінвестор і підприємець Тім Хіт нагадав про спробу викрадення, яка сталася з ним минулого року. Зловмисники за допомогою GPS-трекінгу, підроблених паспортів і одноразових телефонів відстежували його пересування, в момент, коли він піднімався по сходах, напали ззаду, намагаючись накинути мішок на його голову та силоміць контролювати його. Хіт зміг вирватися, відкусивши частину пальця нападника.

З ростом вартості криптоактивів атаки з використанням ключів на крипто користувачів стають все більш частими. У цій статті буде детально розглянуто ці методи атак, проаналізовано типові випадки, вивчено злочинні ланцюги, а також запропоновано практичні рекомендації щодо запобігання та реагування.

()

Що таке атака з використанням ключа

"Ви можете мати найсильніший технічний захист, але атакуючому потрібен лише гайковий ключ, щоб вас зламати, і ви охоче скажете пароль." Атака гайковим ключем за 5 доларів ($5 Wrench Attack) вперше з'явилася в інтернет-коміксі XKCD, де атакуючий не використовує технічні засоби, а скоріше загрожує, шантажує або навіть викрадає жертву, змушуючи її віддати пароль або активи.

()

Огляд типової справи про викрадення

З початку цього року часто трапляються випадки викрадення криптокористувачів, а жертвами стають основні члени команди проєкту, KOL і навіть звичайні користувачі. На початку травня французькій поліції вдалося врятувати батька викраденого криптомагната. Викрадачі вимагали мільйони євро викупу і жорстоко відрізали собі пальці, щоб чинити тиск на сім'ю.

Схожі випадки з'явилися ще на початку року: у січні співзасновник Ledger Девід Балланд та його дружина піддалися озброєному нападу вдома, злочинці також відрубали йому пальці та знімали відео, вимагаючи 100 біткоїнів. На початку червня був затриманий чоловік з подвійним громадянством Франції та Марокко Бадіс Мохамед Амід Баджжу в Танжері, за повідомленням Barrons, він підозрюється в організації кількох викрадень французьких криптовалютних підприємців. Міністр юстиції Франції підтвердив, що підозрюваний розшукується Інтерполом за звинуваченнями в "викраденні, незаконному утриманні заручників" тощо. Крім того, Баджжу підозрюється в тому, що він є одним із головних організаторів викрадення співзасновника Ledger.

Ще одна шокуюча справа сталася в Нью-Йорку. Італійський криптоінвестор Майкл Валентіно Теофрасто Картурані був заманений до вілли, де його тримали в полоні та катували протягом трьох тижнів. Злочинна група використовувала електропилу, електрошокові пристрої та наркотики для погроз, навіть підвішували його на даху висотки, примушуючи видати приватний ключ до гаманця. Злочинці були "людьми з індустрії", які точно ідентифікували ціль через аналіз даних на блокчейні та відстеження в соціальних мережах.

У середині травня донька співзасновника Paymium П'єра Нуазата та його маленький онук ледь не стали жертвами викрадення на вулицях Парижа, коли їх намагалися силоміць затягнути в білий фургон. Як повідомляє газета «Паризьєн», донька Нуазата рішуче чинила опір, а один із перехожих вдарив фургон вогнегасником, змусивши злочинців втекти.

Ці випадки свідчать про те, що на відміну від атак на блокчейні, фізичні насильницькі загрози є більш прямими, ефективними та мають нижчий поріг входження. Зловмисники, як правило, молоді люди у віці від 16 до 23 років, які мають базові знання про криптовалюти. Згідно з даними, опублікованими французькою прокуратурою, вже кілька неповнолітніх були офіційно обвинувачені у зв'язку з участю у таких випадках.

Окрім публічно звітованих випадків, команда безпеки Slow Mist також звернула увагу на те, що деякі користувачі зазнали контролю або примусу з боку контрагента під час офлайн-торгівлі, що призвело до втрати активів.

Крім того, є деякі "не насильницькі примусові" випадки, які ще не переросли в фізичне насильство. Наприклад, зловмисники загрожують жертвам, володіючи їхньою конфіденційною інформацією, місцезнаходженням або іншими компрометуючими даними, змушуючи їх перевести гроші. Хоча ці випадки не завдали прямих тілесних ушкоджень, вони вже торкаються межі особистих загроз, і питання про те, чи підпадають вони під категорію "атаки з важелем", ще заслуговує на подальше обговорення.

Потрібно підкреслити, що розкриті випадки можуть бути лише верхівкою айсберга. Багато жертв обирають мовчати через побоювання помсти, нерозглядання справ правоохоронними органами або через ризик викриття особи, що також ускладнює точну оцінку реального масштабу атак поза мережею.

Аналіз кримінального ланцюга

Дослідницька група Кембриджського університету у 2024 році опублікувала статтю "Дослідження атак з використанням гаечного ключа: фізичні атаки на користувачів криптовалюти", яка систематично аналізує випадки насильницького примусу (атаки з використанням гаечного ключа), що трапляються з користувачами криптовалюти у всьому світі, а також глибоко розкриває моделі атак і труднощі захисту. Нижче наведено переклад оригінального зображення з статті для довідки, оригінал зображення див.

Аналізуючи кілька典型案件, ми підсумували, що злочинний ланцюг атаки із застосуванням гаечного ключа в основному охоплює такі ключові етапи:

1. Інформаційна блокада

Атакувальники зазвичай починають з інформації з блокчейну, поєднуючи торговельну поведінку, дані міток, стан володіння NFT тощо, щоб попередньо оцінити масштаб цільових активів. Тим часом чати в Telegram, дописи в X (Twitter), інтерв'ю з KOL, а також деякі витоки даних також стають важливими джерелами допоміжної інформації.

2. Реальне позиціонування та контакт

Після визначення цільової особи зловмисник намагатиметься отримати інформацію про її реальну особу, включаючи місце проживання, звичні місця відвідування та сімейну структуру. Звичні методи включають:

• На соціальних платформах підштовхнути ціль до розкриття інформації;
• Використання відкритих реєстраційних даних (такі як електронна пошта, прив'язана до ENS, інформація про реєстрацію домену) для зворотного пошуку;
• Використання витоків даних для зворотного пошуку;
• Введення цілей у контрольоване середовище шляхом відстеження або фальшивих запрошень.

3. Насильницькі погрози та вимагання

Як тільки контроль над об'єктом буде здобуто, зловмисники часто використовують насильницькі методи, щоб змусити його видати приватні ключі гаманця, мнемонічні фрази та права на двоетапну перевірку. Поширені способи включають:

• побиття, електрошок, ампутація та інші тілесні ушкодження;
• Примушення жертви виконувати перекази;
• Погрожувати родичам, вимагати, щоб родичі здійснили переказ.

4. Відмивання грошей та переміщення коштів

Отримавши приватний ключ або мнемонічну фразу, зловмисники зазвичай швидко переміщують активи, використовуючи такі способи:

• Використання міксера для приховування джерела фінансування;
• Переведення на контрольовану адресу або на рахунок неконформного централізованого обміну;
• Конвертація активів через OTC канали або чорний ринок.

Деякі зловмисники мають досвід роботи з технологією блокчейн, знайомі з механізмами трасування в мережі та навмисно створюють багатоходові маршрути або крос-ланцюгові замішування, щоб уникнути відстеження.

заходи

Використання мультипідписного гаманця або розподілених мнемонічних фраз у крайніх ситуаціях, коли існує загроза життю, не є практичним; нападники часто вважають це відмовою від співпраці, що, навпаки, посилює насильство. Щодо атаки з використанням інструмента, більш надійною стратегією має бути "є що віддати, і втрати контрольовані":

• Налаштування індукційного гаманця: підготуйте обліковий запис, який виглядає як основний гаманець, але містить лише невелику кількість активів, щоб у разі небезпеки використовувати для "стоп-лосса".
• Управління безпекою сім'ї: члени сім'ї повинні мати базові знання про те, де знаходяться активи та як реагувати на ситуації; встановити пароль безпеки для передачі сигналу небезпеки у разі аномальних ситуацій; зміцнити налаштування безпеки домашніх пристроїв та фізичну охорону житла.
• Уникати розкриття особистості: уникати показу багатства або публікації торгових записів на соціальних платформах; уникати розголошення про володіння криптоактивами в реальному житті; добре управляти інформацією в колі знайомих, щоб запобігти витоку інформації від знайомих. Найефективніший захист завжди полягає в тому, щоб люди не знали, що ви є "метою, на яку варто звернути увагу".

Написано в кінці

Зі швидким розвитком криптоіндустрії, розуміння ваших клієнтів ( KYC ) та системи боротьби з відмиванням грошей ( AML ) відіграє ключову роль у підвищенні фінансової прозорості та контролю за незаконними фінансовими потоками. Але під час виконання, особливо в питаннях безпеки даних та конфіденційності користувачів, все ще існує чимало викликів. Наприклад, велика кількість чутливої інформації (такої як особисті дані, біометричні дані тощо), яку платформа збирає для задоволення вимог регуляторів, може стати вразливою точкою, якщо вона не буде належним чином захищена.

Тому ми рекомендуємо на основі традиційного процесу KYC впровадити динамічну систему виявлення ризиків, щоб зменшити ненадобну збір інформації та знизити ризик витоку даних. Одночасно платформа може підключитися до таких одноступеневих платформ, як MistTrack, для протидії відмиванню грошей та трекінгу, що допоможе виявити потенційно підозрілі транзакції, підвищуючи здатність управління ризиками з самого початку. З іншого боку, будівництво можливостей безпеки даних також є незамінним, завдяки тестовим послугам червоної команди SlowMist (, платформа може отримати підтримку моделювання атак у реальному середовищі, повністю оцінюючи шляхи витоку чутливих даних та ризикові точки.