По словам трейдера, взлом длился всего 10–30 минут и был выполнен вручную. Неизвестные опустошили два кошелька в трех сетях: Эфириум, Base и BSC. Основная часть потерь пришлась на $125 000 в токенах POD в сети Base, $21 000 — в токенах FHE в сети BSC, а также на эфир и небольшое количество токена SAT1. Неизвестные даже отправили небольшую сумму ETH на Эфириум‑кошелек, чтобы забрать остатки токенов — это признак опытного оператора с полным контролем над подписанием транзакций, считает Unihax0r.
Unihax0r опубликовал адрес кошелька, где в сети Base хранится большая часть находящихся под контролем нападавших средств: 0xF7cFFC27732a5C9c4E2D592F3E33435F8dDb019A.
The current situation:
- 2 wallets drained across multiple chains (ETH/Base/BSC)
- Both wallets were originally created on SIGMA Telegram
- Both imported into GMGN + Rabby
- Drain happened manually over ~10 min
- No suspicious Telegram sessions
- Other wallets on Rabby/Jupiter…
Оба скомпрометированных кошелька были в свое время созданы через телеграм‑бот SIGMA, поддерживающий блокчейны Эфириума, BSC, Base, Solana, Avalanche и другие, сообщил пострадавший. Unihax0r рассказал, что позже импортировал эти кошельки в телеграм-бот для торговли и аналитики GMGN и браузерный кошелек Rabby Wallet. При этом другие кошельки в Rabby и Jupiter, которые не были созданы через SIGMA, остались нетронутыми, утверждает трейдер.
Некоторые читатели трейдера в соцсети Х предположили, что атака была построена на фишинге через Telegram — в том числе через вредоносные CAPTCHA‑боты, появляющиеся при взаимодействии с SIGMA, а также через вредоносное ПО для кражи данных, компрометацию устройства, вредоносные расширения для браузера и поддельный рабочий процесс GMGN.
Однако Unihax0r сказал, что не обнаружил подозрительных сессий в своем телеграам-аккаунте. CAPTCHA‑боты обычно маскируются под легитимные шаги верификации. При взаимодействии с фальшивой CAPTCHA бот может собирать токены сессий, внедрять вредоносное ПО, заменяющее содержимое буфера обмена, или напрямую извлекать приватные ключи, хранящиеся в Телеграме.
Злоумышленники стали чаще использовать телеграм-боты и встроенные мини-приложения для кражи криптовалют у пользователей мессенджера, подтвердили на днях специалисты компании CTM360. По их словам, злоумышленники используются для атак платформу под названием FEMITBOT, которая помогает создавать телеграм-боты для фейковых приложений на любую тематику: криптовалюты, финансы, стриминг.