თაღლითებმა გეიმინგ NFT პროექტის, Webaverse-ის ტოპ მენეჯერს USDC-ში $4 მილიონი მოიპარეს. შეხვედრის დროს ბოროტმოქმედებმა Trust Wallet-ის ბალანსიანი ეკრანისთვის სურათის გადაღება ითხოვეს. "სუფთა ჰაერის ჩასაყლაპად" გავიდნენ და უკან აღარ დაბრუნებულან. მათთან ერთად Trust Wallet-ის ბალანსიდან ფულიც გაქრა.
გამქრალი მილიონების საქმე
ისტორია წარმოუდგენლად გამოიყურება. Webaverse-ის თანადამფუძნებელს, აჰად შამსს IT სფეროში გამოუცდელს აშკარად ვერ ვუწოდებთ. მას შეექმნა სრული შთაბეჭდილება, რომ კრიპტოსაფულიდან ფულის მოპარვა თაღლითის მიერ გადაღებული ფოტოს პირდაპირი შედეგი იყო.
ეს იყო ადამიანი, რომელმაც თავი Web3-კომპანიის ინვესტორად წარადგინა. მან რომში პირადი შეხვედრა დაჟინებით მოითხოვა. თქვა, რომ ადვოკატთან ერთად მოვიდოდა. მოითხოვა მტკიცებულება იმისა, რომ Webaverse-ს პროექტის განვითარებისთვის საკუთარი სახსრები აქვს. სთხოვა, რომ ისინი Trust Wallet-ში გადაეტანათ, რომლის ინტერფეისი მისთვის გასაგები იყო. აჰად შამსი დათანხმდა, მაგრამ გადაწყვიტა, სიფრთხილის ზომები მიეღო. მან ახალი Trust Wallet შექმნა გაჯეტზე, რომლიდანაც ყალბ ინვესტორთან ურთიერთობა არასოდეს ჰქონია.
მომავალი „პარტნიორების“ ერთობლივი ვახშამი მეგობრულ გარემოში გაიმართა. თაღლითის წინ მჯდომმა შამსმა USDC-ში $4 მილიონი გადარიცხა. ამის შემდეგ თაღლითმა საფულის ბალანსის სურათის გადაღება სთხოვა. შამსს გაუკვირდა, მაგრამ დათანხმდა, რადგან seed-ფრაზები ეკრანზე არ ჩანდა.
შემდეგ თაღლითები, ვითომ მოსათათბირებლად გავიდნენ და აღარ დაბრუნებულან. რამდენიმე წუთის შემდეგ შამსის Trust Wallet-იდან სახსრები გაქრა.
შამსმა საჩივარი რომის პოლიციაში შეიტანა და გამოძიების ფედერალურ ბიუროს დაუკავშირდა.
ელემენტარულია, უოტსონ!
Trust Wallet-ის წარმომადგენლების რეაგირება მყისიერი იყო. მათ განაცხადეს, რომ "ფოტოსურათით" მომხმარებლის სახსრების მოპარვა შეუძლებელია (ეს ხომ ჯადო არაა). კომპანიაში თვლიან, რომ შამსი იტალიელმა მაფიოზებმა მოატყუეს. მანამდე სხვადასხვა კრიპტოსაფულიდან სახსრები მათ უკვე მოიპარეს. მნიშვნელოვანი ნიუანსი: ქურდობამდე თაღლითებმა მსხვერპლს გაუგზავნეს pdf ფაილი NDA-ით და სავარაუდოდ ყალბი KYC ინფორმაციით. ინფორმაცია შეიცავდა მავნე პროგრამულ უზრუნველყოფას, რომელიც Trust Wallet-დან სახსრების გატანის საშუალებას იძლევა.
შამსისგან მოპარული USDC ძალიან საგულდაგულოდ "თეთრდებოდა". თაღლითებმა სტეიბლკოინები დაყვეს 6 ტრანზაქციად და გაგზავნეს 6 მანამდე გამოუყენებელ მისამართზე. თითქმის ყველა USDC დაკონვერტირდა Ethereum-ში, Wrapped Bitcoin-სა და Tether-ში. შემდეგ მოპარული კრიპტო გადაეცა კიდევ 14 მისამართს და საბოლოოდ გადამისამართდა 4 ახალზე.
ირიბი მტკიცებულებები
Trust Wallet-ის განმარტებების მიუხედავად, კრიპტოსაზოგადოება კვლავ საგონებელშია ჩავარდნილი.
ჯერ ერთი, შამსმა ქსელში იგივე ტიპის თაღლითობის ორი წლის წინანდელი მოხსენიება იპოვა. მაშინ Dream Lab-ის დამფუძნებელმა, NFT მეწარმე ჯეიკობ რიგლინმა დაწერა, რომ მას კრიპტოვალუტაში $90 ათასი მოჰპარეს. თაღლითმა რიგლინს ასევე ბალანსიანი ეკრანის გადაღება სთხოვა, რათა დარწმუნებულიყო, რომ მას სახსრები ნამდვილად ჰქონდა.
მეორეც, თუ თაღლითობა მავნე პროგრამული უზრუნველყოფის შეტევაში გამოიხატება, რატომ ითხოვდნენ თაღლითები პირისპირ შეხვედრას? გარდა ამისა, შამსი ირწმუნება, რომ საფულიან ტელეფონზე თაღლითის pdf არ ჩამოუტვირთავს.
მესამე, განვიხილოთ კრიპტოსაფულე ZenGo-ის CEO-ს, ურიელ ოჰაიონის ვერსია. მან გამოცადა seed-ფრაზაზე წვდომის მიღების შესაძლებლობა ღია საფულეზე, რომელსაც უსაფრთხოების დამატებითი შემოწმება (პინ კოდი, ან ბიომეტრია) არ ჰქონდა. დიახ, ეს შესაძლებელია - პარამეტრებსა და პაროლზე გადასასვლელად რამდენიმე წამია საკმარისი.
დარწმუნებული ვარ, თაღლითი საწყისი ეკრანიდან seed-ფრაზიან ეკრანზე ერთი ხელით, თვალდახუჭულად გადანაცვლებაზე იყო ჰიპერორიენტირებული. ის იყენებდა სიტყვიერ ხრიკებს, რათა ფოტოს გადაღების დროს მფლობელებს ყურადღება გაეფანტაამბობს ოჰაიონი