Rose debug info
---------------

как поведение людей влияет на безопасность

Наши продуктыДайджестыСтатьиСписок постов

Позднее Ctrl + ↑

Дайджест Start X № 367

Обзор новостей информационной безопасности с 5 по 11 апреля 2024 года



Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Специалисты компании F.A.C.C.T. предупреждают о новой мошеннической схеме, позволяющей злоумышленникам отправлять фишинговые ссылки клиентам банков от имени популярного сервиса компании Google.

Как действуют преступники

  1. Письмо, отправленное злоумышленниками, не отличается от рассылок, сделанных в сервисе Google Looker Studio.

  1. В теме сообщения говорится про выплаты и онлайн-компенсации.
  1. Ссылка в тексте письма ведет на Google-презентацию, содержащую единственный слайд, являющийся ссылкой на мошеннический ресурс.

  1. Страницы всех представленных банков являются фишинговыми и созданными исключительно для кражи средств с карточек граждан.

  1. При попытке получить «компенсацию» жертва рискует потерять данные своей банковской карты и деньги на ней.

Сложная многоступенчатая атака использует фишинговые сообщения с тематикой счетов-фактур для распространения вредоносного программного обеспечения Venom RAT, Remcos RAT, XWorm, NanoCore RAT и инфостилеров, нацеленных на криптовалютные кошельки.

Особенности кампании

  1. Злоумышленники отправляют электронные письма с вложениями в формате Scalable Vector Graphics (SVG). При открытии таких файлов и активируется цепочка заражения.

  1. После того, как жертвы открывают файл SVG, выполняется встроенный в этот файл сценарий, который создаёт ZIP-файл с именем INV0ICE_#TBSBVS0Y3BDSMMX.zip.
  1. Отличительной чертой атаки является использование инструмента для обфускации вредоносного ПО BatCloak, а также ScrubCrypt для доставки вредоносов в виде обфусцированных пакетных скриптов.
  1. BatCloak загружает следующие стадии полезной нагрузки таким образом, чтобы обойти механизмы обнаружения.
  1. В последней кампании, проанализированной специалистами, вышеупомянутый SVG-файл служит каналом для передачи ZIP-архива, содержащего пакетный скрипт, вероятно, созданный с использованием BatCloak.
  1. Скрипт затем распаковывает пакетный файл ScrubCrypt для окончательного запуска Venom RAT.

Venom RAT позволяет злоумышленникам контролировать заражённые системы, собирать конфиденциальную информацию и выполнять команды, получаемые от сервера управления.

Также с помощью системы плагинов доставляется инфостилер, собирающий информацию о системе и похищающий данные из папок, связанных с криптокошельками и приложениями Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty, Zcash, Foxmail и Telegram.

Создатели вредоносной кампании, нацеленной на ИТ-специалистов, используют рекламу в Google.

Всем, кто пытается найти бесплатные SSH- и Telnet-клиенты PuTTY и FileZilla, вместо настоящих сайтов выдаются вредоносные, содержащие троян-стилер Nitrogen.

Этот вредонос используется для получения доступа к частным сетям и кражи внутренних данных. Тем не менее, реклама злонамеренного ресурса покаазывается вверху поисковой выдачи Google.

Обнаружена кампания группировки TA547 (Scully Spider) по распространению модульной системы для кражи информации Rhadamanthys.

Схема кампании

  1. Преступники рассылали вредонос в виде вложения к письмам, замаскированным под счета-фактуры немецкого бренда Metro.

  1. Вложения представляли собой ZIP-архивы, защищённые паролем, которые содержали вредоносный LNK-ярлык.
  1. Ярлык активировал выполнение PowerShell-скрипта, который, в свою очередь, запускал Rhadamanthys, хранящийся в кодировке Base64. Такой метод позволяет вредоносному коду выполняться в памяти, не затрагивая диск.

  1. PowerShell-скрипт содержит уникальные характеристики, свойственные коду, сгенерированному ИИ (ChatGPT, Gemini или Copilot). Комментарии в коде, написанные с идеальной грамматикой, а также специфическая структура и наименование переменных, указывают на возможное использование генеративного ИИ для создания или модификации скрипта.

В Латинской Америке обнаружена новая фишинговая кампания, в ходе которой системы Windows заражаются вирусами через электронные письма.

Схема кампании

  1. Атака начинается с рассылки электронных писем с вложением в виде ZIP-файла.
  1. После распаковки архива открывается HTML-файл, который перенаправляет пользователя на загрузку мошеннического файла, маскирующегося под счет-фактуру. Отправитель электронного письма использовал адрес с доменом «temporary[.]link», а в качестве почтового агента указан Roundcube Webmail.

  1. Особенностью HTML-файла является ссылка, ведущая на страницу с сообщением о приостановке аккаунта. Это происходит при подключении не из Мексики.
  1. При доступе с IP-адреса из Мексики, открывается страница с CAPTCHA от Cloudflare Turnstile, с которой загружается вредоносный RAR-архив.
  1. Этот архив содержит скрипт PowerShell, собирающий информацию о системе и проверяющий наличие антивирусного ПО на зараженном компьютере.

  1. В архив включены строки, закодированные в Base64, предназначенные для выполнения PHP-скриптов, определяющих страну пользователя и загружающих с Dropbox ZIP-файл, содержащий множество подозрительных файлов.

Инциденты

Группа хакеров проникла в системы Министерства обороны и Министерства юстиции Израиля.

Сообщается, что в результате атаки были украдены и опубликованы в группах Telegram документы, раскрывающие внутренние переписки и заказы ведомств. Атакующие утверждают, что располагают обширным массивом данных и предлагают его к продаже за 50 биткоинов (около 3,5 млн долларов США).

Кроме выкупа, хакеры потребовали освободить 500 заключенных, совершивших террористические акты в обмен на нераспространение собранных данных. Служба безопасности Израиля отказалась обсуждать детали инцидента, подтвердив лишь факт проникновения.

По оценкам экспертов, хакеры, взломавшие системы Минюста похитили сотни гигабайт данных, включая информацию о сотрудниках Минюста и официальные документы.

Крупный российский агрокомплекс им. Н.И. Ткачева стал жертвой вымогательской кибератаки.

В результате инцидента данные на серверах агрокомплекса были похищены и зашифрованы вредоносным ПО. Сайт холдинга не работал 8 и 9 апреля.

В Агрокомплексе подтвердили технический сбой, вызванный хакерской атакой. Сейчас ведутся работы по устранению последствий взлома. Компания рассчитывает восстановить нормальную работу в течение ближайших 3-5 дней. В холдинге заверили, что инцидент не повлияет на поставки продукции населению и партнерам.

Сообщается, что целью злоумышленников была не остановка работы компании, а выкуп за похищенные данные: хакеры требуют выплатить им около 500 миллионов рублей. В Агрокомплексе факт требования выкупа комментировать отказались.

Эксперты по кибербезопасности предполагают, что доступ к данным агрохолдинга мог быть получен через фишинговые рассылки, уязвимости в публичных приложениях или незащищенные RDP-порты.

Хакеры из группировки «DumpForums» заявили, что им удалось взломать Департамент информационных технологий города Москвы (ДИТ, mos.ru/dit/) и похитить около 40 Тб данных.


Преступники утверждают, что первоначальный взлом произошел год назад и всё это время они находились в сети ДИТ.

В качестве подтверждения своих слов они предоставили дамп базы данных с таблицей пользователей (cwd_user) внутреннего ресурса jira.cdp.local. В таблице 335586 строк, содержащих:

  • имя пользователя,
  • ФИО,
  • адрес эл. почты (288395 адресов на домене @mos.ru),
    дату регистрации и обновления записи (с 24.05.2019 по 20.06.2023),
  • внутренние идентификаторы.

Компания CVS Group, владеющая одной из крупнейших в Великобритании сетей ветеринарных клиник, сообщила о серьезном киберинциденте, который нанёс значительный ущерб работе её филиалов по всей стране.

Инцидент заставил CVS активировать план экстренного реагирования и отключить некоторые системы.

Компания привлекла экспертов по кибербезопасности, чтобы они определили масштабы ущерба и помогли спланировать ответные действия.

Пока что характер потенциально затронутых данных не разглашается, но, вероятно, злоумышленники могли получить доступ к широкому спектру конфиденциальной информации, включая персональные документы, финансовые сведения и другие важные файлы.

Кибератака нарушила работу компании Targus, производителя сумок и аксессуаров для мобильных устройств.

B. Riley Financial, материнская компания Targus, сообщила о несанкционированном доступе к некоторым системам файлов Targus и последующем отключении большей части своей сети для изоляции инцидента.

Согласно заявлению, ситуация в настоящее время находится под контролем, и ведутся активные работы по восстановлению систем Targus. Компания не уточнила, какие именно операции были нарушены и когда они вернутся в нормальное русло.

Неизвестно, были ли украдены данные клиентов Targus в результате проникновения, но компания заявила о намерении сотрудничать с правоохранительными органами в отношении несанкционированного доступа к информации.

Кибератака нарушила работу IT-систем одного из крупнейших в мире производителей оптического оборудования компании Hoya Corporation.

Компания обнаружила инцидент в своём зарубежном офисе 30 марта и немедленно привлекла внешних экспертов по кибербезопасности. Предварительные выводы указывают на несанкционированный доступ к серверам со стороны третьих лиц.

После обнаружения инцидента Hoya изолировала пострадавшие серверы и сообщила о случившемся. Детали инцидента пока неизвестны.

 122   1 мес   дайджест   фишинг

Дайджест Start X № 366

Обзор новостей информационной безопасности с 29 марта по 4 апреля 2024 года



Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Хакеры распространяют инфостилеры Vidar, StealC и Lumma Stealer через YouTube-каналы, которые продвигают взломанные видеоигры.

Схема действий преступников

  1. Мошенники используют скомпрометированные аккаунты реальных пользователей. Также были обнаружены аккаунты, которые работали всего несколько часов и создавались исключительно для распространения вредоносных программ.

  1. В описании к видео размещались ссылки на вредоносное ПО, замаскированные под ссылки на взломанные игры.

  1. Cсылки вели на файловый хостинг MediaFire или на Discord-каналы, которые предлагали скачать вредоносное ПО.

Целевая аудитория мошенников — дети и подростки, которые часто не имеют опыта распознавания потенциально вредоносного контента и могут с большей вероятностью взаимодействовать с ним.

YouTube уже удалил более 24 скомпрометированных аккаунтов и вредоносных видео.

«Тинькофф Защита» обнаружила новый сценарий телефонных аферистов: во время разговора они «честно» называются мошенниками.

Схема действиий мошенников

  1. Клиенту звонят сначала якобы сотрудники сотового оператора и сообщают, что заканчивается договор на услуги связи. Чтобы его продлить, нужно назвать код из SMS.
  1. После этого мошенники открыто заявляют в разговоре клиенту, что его обманули. Это нужно, чтобы запугать человека и обманом заставить его действовать по указке следующих звонящих, которые уже представляются сотрудниками Финмониторинга, «Госуслуг» и даже полиции.
  1. Очередные участники мошеннической схемы «инструктируют» клиента, как спасти деньги и поймать злоумышленников, которые якобы договорились с сотрудниками банка. Первым делом требуется загрузить на смартфон «премиальный антивирус Kaspersky».
  1. Под видом «антивируса» на телефон устанавливается программа для удалённого доступа, которая позволяет видеть всё, что происходит на экране мобильного телефона.
  1. После установки антивируса злоумышленники просят жертву зайти в приложения банков, причём у них уже имеются все данные по счетам.
  1. Дальше мошенник сообщил, что полиции требуется помощь жертвы, чтобы поймать недобросовестных работников банков, которые помогают преступникам. Для поимки преступников с жертвой должен связяться сотрудник полиции московского отдела, который и расскажет, что нужно сделать.
  1. Чтобы жертва «не сорвалась», её предупреждают об уголовной ответственности, если она что-то буду делать не по инструкциям мошенников.
  1. Выяснив остатки по счетам, преступники отправляют жертву к банкомату. Там по телефону якобы сотрудник полиции потребовал, чтобы жертва перевела свои деньги на «спецсчёт» в Росбанк.

В Telegram набирает обороты новая волна угона аккаунтов российских медиаменеджеров, маркетологов, журналистов и пиарщиков. Преступники зарегистрировали 462 домена для кражи учетных записей.

Схема действий преступников

  1. Потенциальную жертву добавляют в группу и просят проголосовать в конкурсе «THE BEST PROJECT MANAGER» или «Marketing and PR Specialist».

  1. Чтобы такие каналы было труднее обнаружить, злоумышленники называют их «Всем привет», «Добрый день всем», «Доброе утро!» и  так далее.

  1. Если жертва действительно пытается проголосовать, её перенаправляют на другой ресурс, например, allance-online24[.]ru, где предлагают авторизоваться в Telegram через QR-код или отправку кода не телефон.

  1. Как только жертва «авторизуется», происходит компрометация её аккаунта. Злоумышленники сразу отвязывают его от текущего номера, и жертва теряет доступ к своим перепискам в мессенджере, контактам и сохраненным сообщениям, фото и видео.
  1. Сразу после угона аккаунта предложение поучаствовать в голосовании рассылается по всей базе контактов пострадавшего.

Инциденты

Чилийское подразделение провайдера PowerHost стало жертвой кибератаки группировки вымогателей SEXi. В результате атаки были зашифрованы серверы VMware ESXi компании и резервные копии данных.

На некоторых зашифрованных серверах VMware ESXi размещались VPS-сервера клиентов. Все они недоступны для клиентов. Компания пытается восстановить данные из резервных копий, однако резервные копии также были зашифрованы.

Расшифровать данные преступники готовы по цене 2 BTC за каждую зашифрованную виртуальную машину. Итоговый размер выкупа составляет примерно 140 млн долларов США.

Программа-вымогатель SEXi добавляет расширение «.SEXi» к зашифрованным файлам и создает заметки о выкупе с именем «SEXi.txt». Атаки группировки нацелены только на серверы VMWare ESXi.

Заметка о выкупе предлагает скачать приложение Session для связи с вымогателями. Все заметки о выкупе имеют один и тот же контактный адрес в Session.

У популярной платформы онлайн-шопинга PandaBuy похитили данные 1,3 млн клиентов.

Украденную информацию опубликовали на хакерском ресурсе BreachForums. Автор публикаации сообщил, что для взлома использовал несколько критических уязвимостей в платформе и API PandaBuy. По словам хакера, его партнёром по взлому был известный киберпреступник IntelBroker, которого связывают со взломами General Electric, Hewlett Packard и Международного аэропорта Лос-Анджелеса.

Похищенная у PandaBuy информация включает в себя идентификаторы пользователей, имена, фамилии, номера телефонов, адреса электронной почты, IP-адреса входа, данные о заказах, идентификаторы заказов, домашние адреса, почтовые индексы и страну проживания.

В качестве доказательства взлома хакер опубликовал бесплатный образец данных. Полная база теперь доступна для покупки другими участниками теневого форума за символическую сумму в криптовалюте..

Компания AT&T подтвердила, что пострадала от утечки данных, затронувшей 73 млн текущих и бывших клиентов. До недавнего времени в компании отрицали, что попавшие в сеть данные взяты из систем AT&T.

В заявлении AT&T говорится:

«По результатам предварительного анализа, набор данных [опубликованный в даркнете], по-видимому, относится к 2019 году или более раннему периоду и затрагивает примерно 7,6 млн нынешних клиентов AT&T и примерно 65,4 млн бывших клиентов».

Компания сообщила, что утечка кодов доступа (passcode), используемых для защиты учетных записей, коснулась 7,6 млн клиентов. Клиенты используют такие коды для дополнительной защиты своих аккаунтов, например, при обращении в поддержку, входа в свои учетные записи и так далее.

Теперь все коды сброшены специалистами AT&T, и в компании обещают связаться с владельцами всех пострадавших учетных записей (активных и бывших), «чья личная информация оказалась под угрозой».

Из-за неправильной настройки старого веб-сервера Wiki резюме некоторых членов организации The OWASP Foundation попали в открытый доступ.

OWASP (Open Worldwide Application Security Project) — некоммерческая организация, основанная в декабре 2001 года и занимающаяся вопросами безопасности программного обеспечения. В 250 отделениях OWASP работают десятки тысяч участников.

В OWASP сообщили, что выявили неправильную настройку Media Wiki в конце февраля 2024 года, после нескольких обращений в службу поддержки. Инцидент затронул только членов OWASP, присоедившихся к организации и предоставивших резюме в период с 2006 по 2014 год.

В резюме содержались имена, адреса электронной почты, номера телефонов, физические адреса и другая персональная информация. OWASP собирала резюме в рамках процесса вступления, когда в период с 2006 по 2014 год от членов требовалось продемонстрировать связь с сообществом OWASP. Теперь OWASP уже не требует резюме от участников.

Организация обещает, что разошлет всем пострадавшим письма, чтобы уведомить их о случившемся. При этом стоит отметить, что многие пострадавшие уже не являются членами OWASP, а раскрытые личные данные во многих случаях устарели.

 125   1 мес   дайджест   фишинг

Дайджест Start X № 365

Обзор новостей информационной безопасности с 21 по 28 марта 2024 года



Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Шпионская группировка PhantomCore атакует российские компании с помощью нового уникального трояна удаленного доступа PhantomRAT.

Схема действий преступников

  1. Атаки PhantomCore начинаются с фишинговых писем, которые содержат защищенные паролем RAR-архивы (сам пароль содержится в теле письма).

  1. Хакеры эксплуатируют в архивах ранее не описанную вариацию уязвимости WinRAR — CVE-2023-38831, где вместо ZIP-архивов используют RAR.

  1. Архивы содержат PDF-документ и одноименную директорию, в которой располагается исполняемый файл.
  1. Если пользователь с версией WinRAR старше 6.23 запустит PDF-файл, будет запущен исполняемый файл, содержащийся в одноименной директории архива.
  1. Если жертва использует версию WinRAR 6.23 и выше, пользователь увидит легитимный PDF-файл, содержащий «Акт сверки».
  1. Финальной стадией атаки является троян удаленного доступа PhantomRAT. Хакеры используют .NET-приложения с опцией развертывания одним файлом (single-file deployment) для затруднения обнаружения на зараженной системе путем создания запланированной задачи.

PhantomRAT представляет собой троян удаленного доступа, написанный на .NET. Вредонос может загружать файлы с управляющего сервера, выгружать файлы со скомпрометированного хоста на управляющий сервер, а также выполнять команды в интерпретаторе командной строки cmd.exe.

Мошенники обманывают пассажиров в аэропортах, представляясь сотрудниками кредитных организаций и предлагая обновить банковские приложения.

Схема действий преступников

  1. Сначала якобы представитель кредитной организации предлагают действующему клиенту поучаствовать в акции и оформить бесплатную кредитную карту с выгодным лимитом. А затем указывает, что у потенциального заемщика старая версия мобильного банка, в которой нет такой акции.
  1. Чтобы поспользоваться предложением, приложение нужно обновить. Однако утилиты санкционных банков удалены из магазинов приложений, поэтому подставной «банкир» направляет будущему заемщику сообщение для скачивания новой версии приложения по ссылке или предлагает подключить смартфон жертвы к ноутбуку мошенника «через проводочек» и закачать приложение.
  1. На самом деле на смартфон скачивается вредоносное приложение, один в один повторяющее реальное.
  1. Жертва, желающая получить кредитку, входит в мобильный банк, вводя логин и пароль.
  1. Данные клиента отправляются мошеннику, который получает полный доступ к мобильному банку.
  1. При смене устройства в системе уже реальной кредитной организации она может также попросить ввести код из SMS, но он перехватывается по той же схеме. Кроме того, злоумышленники способны переключиться на подтверждение с помощью кодов из puch-сообщений, которые поступают на смартфон преступника.
  1. Пока человек в полёте, и его телефон выключен, злоумышленники заходят под его логином и паролем в реальный мобильный банк и выводят деньги.

Мобильная безопасность

В Google Play обнаружили 17 бесплатных VPN-приложений, которые превращали Android-устройства пользователей в резидентные прокси. Эти прокси продавались киберпреступникам и торговым ботам.

Все эти приложения использовали библиотеку разработчика (SDK) от LumiApps, которая содержит Proxylib, написанную на Go библиотеку для проксирования.

В декларации конфиденциальности LumiApps открытым текстом сказано, что устройства становятся частью сетей LumiApps, однако разработчики часто игнорируют такие заявления, а конечным пользователям и вовсе невдомек, что может твориться у них в фоне.

В ходе изучения вредоносных приложений были обнаружены признаки связи PROXYLIB с Asocks — провайдером услуг по проксированию трафика с помощью частных серверов. Чтобы объединить такие узлы в сеть и построить на ее основе прокси-сервис, добровольцам могут платить за установку proxyware, а остальным навязывать его обменным путем, вместе с кряками или под видом полезного софта.

Инциденты

Подразделение Национальной службы здравоохранения Великобритании NHS стало жертвой кибератаки вымогательской группы INC Ransom.

Хакеры утверждают, что украли 3 Тб данных, в том числе чувствительной информации, касающейся пациентов и медицинских работников. Власти заявили, что утечка данных ограничена данным регионом и не затронула всю систему NHS Scotland.

Чтобы надавить на жертву и склонить её к уплате выкупа, злоумышленники уже опубликовали часть украденных данных, включая результаты медицинских тестов (взрослых и детей), информацию о лекарствах, а также полные имена и домашние адреса пациентов. Также в утечке присутствуют данные о медицинских работниках.

Власти Великобритании настоятельно рекомендуют не платить никакие выкупы, хотя это и не запрещено законом, если преступники не внесены в санкционные списки.

Вымогательская кибератака на крупного вьетнамского брокера VNDirect вызвала кризис на вьетнамском фондовом рынке.

В результате атаки, которая произошла 23-24 марта, сервисы VNDirect перестали работать. Компания объявила о планах поэтапного восстановления доступа к своим услугам, начиная с аккаунтов клиентов и заканчивая финансовыми продуктами. Однако именно из-за поэтапного подхода, а также высокой нагрузки на системы компании, у клиентов возникают проблемы с доступом. Организация призвала к терпению и попросила клиентов подождать.

Последствия атаки ощутимы не только для самой VNDirect, но и для вьетнамского фондового рынка в целом. Так, биржа Ханоя (HNX) приняла решение временно приостановить онлайн-торговлю ценными бумагами через платформу VNDirect до полного урегулирования проблемы.

Отражение кризиса видно и на стоимости акций VNDirect, которые потеряли около 4% с начала недели. Кроме того, объем транзакций на бирже Хошимина упал на 10%, поскольку клиенты VNDirect не могли осуществлять торговые операции.

Компания-издатель популярного журнала для бездомных The Big Issue стала жертвой кибератаки вымогательской группировки Qilin. В результате атаки было украдено около 550 ГБ данных компании.

В опубликованной утечке содержатся личные данные руководителей и сотрудников:

  • водительские права и информацию о зарплатах главы компании Пола Чила;
  • паспортные данные и банковская информация Даньяла Саттара, гендиректора Big Issue Invest, подразделения социальных инвестиций The Big Issue;
  • персональные и банковские данные многих сотрудников;
  • не распространяемые публично финансовые отчёты компании.

В Big Issue сообщили, что у них нет доказательств, указывающих на компрометацию данных подписчиков журнала.

Популярная американская сеть пекарен Panera Bread столкнулась с серьезными перебоями в работе IT-систем по всей стране. Перестали работать системы онлайн-заказов, кассовые терминалы, телефонная связь и множество внутренних сервисов.

Хотя все рестораны продолжают работать, они принимают оплату только наличными. Участники программы лояльности временно не могут использовать накопленные баллы из-за неполадок в системе. Недоступны терминалы самообслуживания и корпоративные платформы с данными о сменах и графиках персонала.

Сайт и мобильное приложение Panera Bread также недоступны. В приложении отображается сообщение о проведении «важных работ по обслуживанию и модернизации систем».

Помимо перебоев в IT-инфраструктуре, не функционирует и служба поддержки клиентов — при звонке проигрывается сообщение о «непредвиденных обстоятельствах», не позволяющих сотрудникам ответить.

Хотя Panera Bread пока не выпустила официального заявления, время и масштаб инцидента могут указывать на кибератаку.

Белый хакер украл 4,6 млн долларов США из блокчейн-игры Super Sushi Samurai.

Команда Super Sushi Samurai (SSS) сообщила о взломе и текущем расследовании. Выяснилось, что белый хакер использовал уязвимость для перевода средств, с целью защиты пользователей, и попросил разработчиков связаться с ним.

Разработчик смарт-контрактов Coffee из Yuga Labs раскрыл, что причиной инцидента стал недостаток, позволяющий пользователям удваивать свои токены при выводе их с баланса игры. С помощью ошибки белый хакер опустошил ликвидные пулы на децентрализованных биржах, обменяв токены игры на 1 310 WETH, что равносильно 4,6 млн долларов США.

Переговоры с хакером привели к тому, что Super Sushi Samurai наняли его в качестве технического консультанта, а также выплатили вознаграждение в размере 5% от выведенной суммы, а также дополнительно 2,5% в токенах SSS.

 120   1 мес   дайджест   фишинг
Ранее Ctrl + ↓