Przyspieszona adopcja kryptowalut w ostatnim czasie otworzyła nowe drzwi dla inwestorów, ale równocześnie uczyniła ten cyfrowy zasób bardziej atrakcyjnym celem dla cyberprzestępców. Zauważając rosnące ryzyko w tej przestrzeni, Singapurska Policja (SPF) i Agencja Bezpieczeństwa Cybernetycznego Singapuru (CSA) wydały wspólne ostrzeżenie, by pomóc społeczeństwu chronić zasoby kryptowalut. Komunikat przedstawia taktyki stosowane przez atakujących oraz podaje najlepsze praktyki w zakresie ochrony portfeli i kont, na których przechowywane są cyfrowe aktywa.
Na jakie taktyki powinniśmy uważać?
Wraz ze wzrostem popularności kryptowalut cyberprzestępcy udoskonalili swoje metody wykorzystywania niczego niepodejrzewających ofiar. SPF i CSA wyróżniły kilka taktyk stosowanych przez hakerów:
1. Fałszywe profile
Cyberprzestępcy podszywają się pod legalne podmioty powiązane z blockchainem na platformach mediów społecznościowych, oferując fałszywe gratisy czy promocje na kryptowaluty. Ofiary są nakłaniane do „zweryfikowania” swoich portfeli poprzez udostępnienie poufnych informacji, jak na przykład dane logowania. W niektórych przypadkach atakujący podszywają się pod pracodawców firm kryptowalutowych, prosząc ofiary o wykazanie się umiejętnościami poprzez wykonywanie złośliwych skryptów, co prowadzi do nieautoryzowanych transakcji z ich portfeli.
2. Strony phishingowe
Technika dobrze znana z klasycznych fraudów – fałszywe strony internetowe, tworzone w celu naśladowania legalnych portfeli kryptowalutowych czy giełd. Wabią ofiary, obiecując lukratywne możliwości inwestycyjne lub ekskluzywne tokeny o wysokich zwrotach. Reklamy w mediach społecznościowych zwiększają zasięg takich schematów phishingu, czyniąc je bardziej dostępnymi dla potencjalnych ofiar.
3. Wykorzystywanie podatności w implementacjach projektów
Aktorzy aktywnie identyfikują i wykorzystują luki w oprogramowaniu inteligentnych kontraktów (ang. smart contracts), zwłaszcza te obejmujące wielowątkowość lub rekurencję. Jednym z takich przykładów jest atak Re-entrancy, w którym atakujący przerywają trwające transakcje inteligentnych kontraktów, aby wykonywać niezamierzone zachowania lub powtarzać transakcje. Mało znane projekty oparte na sieci blockchain, zatrudniające niedoświadczonych deweloperów, mogą być podatne na takie zagrożenia.
4. Manipulowanie inteligentnymi kontraktami
Inteligentne kontrakty przeznaczone do zautomatyzowanego handlu mogą zostać podstępnie naruszone i wykorzystane. Cyberprzestępcy, po uzyskaniu nieautoryzowanego dostępu, manipulują kontraktami, tworząc pule płynności (ang. liquidity pool), które wydają się bardziej opłacalne. Powoduje to, iż wykopane kryptowaluty automatycznie wpływają do pul atakujących.
Jak możemy się zabezpieczyć?
Aby przeciwdziałać taki zagrożeniom, SPF i CSA przedstawiły kilka środków ostrożności dla posiadaczy kryptowalut:
1. Używaj bezpiecznych portfeli
Najlepiej przechowuj kryptowaluty na portfelach sprzętowych. Pozwoli to utrzymać je w trybie offline i chronić przed wszelkimi atakami online. jeżeli konieczne są częste transakcje, używaj renomowanych portfeli programowych i upewnij się, iż są aktualizowane najnowszymi poprawkami bezpieczeństwa.
Ustaw silne hasła i włącz uwierzytelnianie dwuskładnikowe
Zawsze używaj silnych i unikalnych haseł do portfeli i kont na giełdach online. Nigdy nie udostępniaj kluczy prywatnych, fraz odzyskiwania ani fraz początkowych. Przechowuj je bezpiecznie, najlepiej w formie fizycznej. Włącz 2FA dla wszystkich kont związanych z kryptowalutami, co doda dodatkową warstwę ochrony i uniemożliwi ponad 90% ataków.
3. Regularnie monitoruj swoje konta
Cyklicznie przeglądaj transakcje ze swoich portfeli, co pomoże wykryć nieautoryzowane działania. Używaj narzędzi takich jak eksploratory blockchain, aby zarządzać nadmiernymi dostępami nieużywanych tokenów.
4. Zachowaj ostrożność w przypadku inteligentnych kontraktów
Sprawdzaj legalność inteligentnych kontraktów przed interakcją z nimi. Unikaj zatwierdzania lub podpisywania transakcji bez pełnego zrozumienia ich konsekwencji.
5. Uważaj na próby phishingu
Unikaj klikania podejrzanych linków i pobierania załączników z nieznanych źródeł. Sprawdzaj linki i weryfikuj ich autentyczność za pośrednictwem oficjalnych kanałów projektów.
6. Bądź na bieżąco
Jeśli już siedzisz w branży kryptowalut i przeprowadzasz transakcje z portfeli krypto, to warto, byś był na bieżąco i sprawdzał, czy nie ma nowych podatności lub ataków.
