Campanhas de phishing visam aplicativos Web3 DeFi

PhishFort.com e MyCrypto.com colaboraram nesta peça.

Esta é a segunda peça de colaboração com MyCrypto. No primeiro artigo, escrevemos sobre nossa descoberta de uma grande campanha que visa usuários de criptomoeda com extensões de navegador. Previmos que essas campanhas continuariam a crescer em tamanho e quantidade, e haveria muito mais extensões de navegador mal-intencionadas surgindo no decorrer do ano. Você pode ler nosso primeiro post aqui: Descobrindo extensões de navegador falsas que visam usuários de Ledger, Metamask e outros.

Publicamos pela primeira vez um artigo sobre a ascensão do phishing na Web3 no início deste ano para aumentar a conscientização sobre essa nova onda de phishing.

Este artigo visa chamar a atenção para “phishing dapps” - aplicativos Web3 maliciosos projetados para roubar sua criptomoeda fingindo ser um aplicativo ou serviço legítimo. Esses tipos de kits de phishing apareceram em nosso radar durante o encerramento da MakerDAO SAI, que exigia uma nova ferramenta para ajudar os usuários a migrar de SAI para DAI.


Este domínio (sai2dai.com) hospedou uma interface simples que indicava que você estaria iniciando uma conversão 1: 1 de Single-Collateral DAI (SAI) para o novo DAI - assim como a ponte oficial. No entanto, a transação que você realmente assinaria simplesmente enviaria a SAI para um endereço de propriedade dos invasores.

Esses kits de phishing capitalizam um perigoso padrão de UX usado por aplicativos legítimos, mas agora estão cada vez mais sendo aproveitados por aplicativos ilegítimos: inserir sua chave privada diretamente em uma interface da web.


Exemplos de kits de phishing que descobrimos

Essa iteração de phishing da Web3, pelo menos a partir das amostras que descobrimos, parece ser executada por um grupo de malfeitores. Um cluster deles residia na mesma infraestrutura junto com outros golpes de criptomoeda - 198.54.120.244. Este parece ser um servidor de hospedagem na web compartilhado oferecido pelo Namecheap, mas devido à sobreposição de conteúdo e método de ataque, é seguro presumir que as campanhas estão sendo executadas pelos mesmos atores.


Um único IP hospedava as várias campanhas, quase certamente executadas pelo mesmo golpista.

Se você inserir sua chave privada ou frase mnemônica nesses sites, seus segredos serão enviados para um script PHP do lado do servidor chamado submit.php, que será processado pelo mau ator. As transações serão então assinadas, autorizando a movimentação de seus ativos para o endereço deles. Como eles têm sua chave privada, essa conta agora está totalmente comprometida - de hoje até o fim dos tempos.

Análise de infraestrutura

Conforme encontramos domínios maliciosos, arquivamos certos dados para ajudar em artigos como este e rastrear os padrões e evoluções observados na natureza. Também usamos esses dados para encontrar mais domínios de phishing de criptomoedas com a esperança de evitar que usuários de criptomoedas sejam vítimas de novos domínios e golpes o mais rápido possível.

Aqui está um grupo de domínios usando o “kit de phishing Web3” descrito acima:


domain,domain_created,notes
saitodai.app,2019-11-25 05:24:15 UTC,
sai-to-dai.com,2019-11-25T09:24:23Z,
sai2dai.exchange,2019-11-25 09:28:28 UTC,
sai2dai.link,2019-12-02 02:51:53 UTC,
sai2dai.pro,2019-12-06 04:53:15 UTC,
makerdao.tools,2019-12-21 19:12:36 UTC,
makerdao.live,2019-12-21 19:12:45 UTC,
makerdao.click,2020-01-14 04:27:12 UTC,
makerdao.llc,2020-01-20 07:40:06 UTC,
migrate.makerdao.guide,2020-01-22 13:15:21 UTC,
maker.migrate.tools,2020-01-26 14:22:00 UTC,
maker.dao.migrate.ltd,2020-01-29 09:02:42 UTC,
maker.dao.migrate.fund,2020-02-05 16:07:58 UTC,
maker.dao.migrate.claims,2020-03-25 02:23:20 UTC,
makerdao.redeem.fund,2020-05-27 18:50:37 UTC,
makerdao.redeem.bz,2020-06-03T00:48:52,
portal.fulcrum.network,2020-06-10 09:02:27 UTC,
uniswap.services,2020-06-10 09:02:30 UTC,
portal.curvefinance.network,2020-06-11 21:34:40 UTC,
portal.uniswap.dev,2020-06-12 07:44:12 UTC,
portal.hex-node.network,2020-06-13 07:15:24 UTC,
portal.synthetix.dev,2020-06-14 11:01:26 UTC,
uniswapv2v1.org,2020-06-16 21:57:38 UTC,Not weaponised
hexnode.online,2020-06-19 16:10:27 UTC,Not weaponised
fulcrum.plus,2020-06-21T05:32:23Z,
makerdao.one,,
makerdao.cash,,
makerdao.ltd,,

De nosso conjunto de dados, a primeira transação de SAI para o endereço de um malfeitor conhecido foi no bloco 8.983.524 (2019/11/23), que é um endereço que pertence a saitodai.app. O domínio foi registrado apenas dois dias antes, de acordo com o WHOIS. Isso pode significar ...

Havia outro URL usado pelo mesmo ator que não conhecemos (provavelmente)

  • O ator semeou o endereço com alguns fundos para torná-lo mais legítimo
  • Os grupos de phishing têm gasto cada vez mais tempo trabalhando para fazer com que esses golpes cheguem aos usuários.

Com esses URLs, eles utilizam a otimização do mecanismo de pesquisa e Telegram DMs.

Um exemplo da campanha sai-to-dai superando o desempenho legítimo

Um exemplo da campanha sai-to-dai superando o desempenho legítimo

Percebemos também que as marcas visadas estão cada vez mais relacionadas ao DeFi. Isso faz sentido, pois o DeFi cresceu significativamente no último ano e muitas vezes atrai novos e ingênuos usuários com promessas de retornos fáceis. Ou seja, esses kits roubam a marca de:

  • MakerDao
  • Uniswap
  • Fulcro
  • Synthetix
  • Curve Finance

Na época em que esses URLs estavam em uso, esses eram os principais aplicativos DeFi (os principais geralmente sendo medidos pelo “valor total bloqueado”).

Desde então, a lista dos “principais” mudou um pouco. A recente explosão da #YieldFarming elevou a Compound ao topo. Aave também subiu rapidamente na lista após ganhar grande força em fevereiro / março de 2020. Fulcrum / bZx desceu na lista.


Um apelo à ação

Suspeitamos que esses kits continuarão a evoluir para atingir os dapps de criptomoeda mais usados, mais comentados ou mais "nas notícias", especialmente se o dapp atrair usuários menos experientes que podem não ser tão vigilantes.

Quando a recompensa é tão valiosa e anônima quanto ativos e segredos de criptomoedas, esses invasores iteram rapidamente e visam os aplicativos mais usados ​​e comentados. Em 2017 e 2018, frequentemente víamos e-mails e mensagens de phishing que usavam um evento real que estava no noticiário - um ICO, um hard fork, outro hack - para aumentar seu ROI. Agora eles estão usando a migração DAI para SAI. Amanhã será outra coisa.

Eles usam uma combinação de urgência, medo de perder e medo de ser afetado negativamente (por um hard fork, ICO, migração de token ou outro item acionável) com a esperança de que a pessoa visada aja rapidamente e nunca perceba que está interagindo com um aplicativo malicioso.

Conforme seu produto, aplicativo ou serviço ganha uso e popularidade, recomendamos que você tome medidas para educar sua comunidade e seus usuários sobre esses tipos de ataques.

  • Lembre-os de que nem o seu site nem a sua equipe irão pedir suas chaves privadas / frases mnemônicas / frases-semente / senhas.
  • Lembre-os de que os segredos são secretos por um motivo.
  • Lembre-os de estar vigilantes e marcar os dapps com os quais eles interagem.
  • Lembre-os de serem mais cuidadosos quando têm medo de perder, e não menos, e sempre verifique a URL em que estão e o endereço para onde estão enviando.
  • Compartilhe informações educacionais em suas redes sociais e diretamente em seu produto.
  • Instale ferramentas de código aberto como o Protect, que atenua significativamente os danos causados ​​pelo phishing.


Agradecimentos especiais a Harry Denley do MyCrypto pela colaboração nesta peça e colaboração contínua para tornar a criptografia um lugar mais seguro.

Consultas? Entre em contato Twitter ou noTelegram. Assine nosso RSS feed para recibir nuestras últimas actualizaciones.


Não perca essas histórias