Все началось со встречи по Zoom, куда Куана Сана пригласил человек, выдающий себя за представителя азиатского отдела развития бизнеса Stack. С этим человеком бизнесмен познакомился в апреле на конференции Wanxiang в Гонконге, поэтому не заподозрил ничего странного.
В момент начала переговоров по Zoom появилось всплывающее окно: «Ваш микрофон не работает, пожалуйста, обновите страницу». Сан не раздумывая, нажал кнопку «Обновить» и неосознанно загрузил вредоносный код. Позже выяснилось, что телеграм-аккаунт Сана взломан, а на встрече он общался с мошенником, использующим дипфейк-технологию для подмены видеоизображения.
Атака оказалась тщательно спланированной, заявил Сан. Злоумышленники заранее изучили его профиль, предпочтения и манеру поведения, а также знали, что для взаимодействия с Venus Protocol он пользуется кошельком Rabby. Поэтому они подменили расширение кошелька в Chrome на фальшивое.
«В тот день мой браузер неожиданно завис, а после восстановления вкладок я выполнил привычную операцию вывода средств с Venus. Из-за подмененного плагина Rabby система не подала сигналов тревоги, и транзакция прошла без предупреждений. Лишь после повторного сбоя компьютера и выхода из Google-аккаунта я заметил аномальную операцию и понял, что попал в ловушку», — рассказал Куан Сан.
Основатель EurekaCrypto считает, что его случай показывает эволюцию хакерских атак, которые сейчас представляют симбиоз инструментов социальной инженерии, дипфейков и технически троянов.
«Даже просмотр видео или проверка профиля в Х не гарантирует подлинность. И вот горькая правда — от потери средств меня не спасло использование аппаратного кошелька. Казалось бы, он считается золотым стандартом безопасности. Но поскольку взаимодействие с DeFi часто требует слепого подписания транзакций, злоумышленники воспользовались самым слабым звеном — фронтендом. С поддельным расширением Rabby все выглядело нормально. Мой аппаратный кошелек добросовестно выполнил подпись транзакции, хотя все исходные данные были вредоносными», — объяснил Сан.
Бизнесмен добавил, что команде платформы Venus потребовалось менее 12 часов, чтобы отреагировать на инцидент и заморозить аккаунт хакера, что позволило избежать полной утраты средств.
Ранее разработчики Shiba Inu рассказали, что злоумышленники создают сайты, выдающие себя за официальные платформы для миграции токенов LEASH V2, а затем пытаются убедить инвесторов подключить к фишинговым сервисам кошельки.