Физический захват: атака гаечным ключом после нового рекорда Биткойна

Фон

В темном лесу блокчейна мы часто говорим о атаках на цепочке, уязвимостях контрактов и взломах, но все больше случаев напоминают нам, что риски распространились и за пределы цепочки.

Согласно отчету Decrypt и Eesti Ekspress, в недавнем судебном заседании крипто-миллиардер и предприниматель Тим Хит вспомнил о попытке похищения, с которой он столкнулся в прошлом году. Нападающие отслеживали его с помощью GPS, поддельных паспортов и одноразовых телефонов, выследив его перемещения, и напали на него сзади, когда он поднимался по лестнице, пытаясь надеть на его голову мешок и силой контролировать его. Хит смог вырваться после того, как откусил часть пальца противника.

С ростом стоимости криптоактивов атаки с использованием ключей на пользователей криптовалюты становятся все более частыми. В данной статье будут подробно разобраны методы таких атак, рассмотрены типичные случаи, проанализирована преступная цепочка, а также предложены практические рекомендации по профилактике и реагированию.

()

Что такое атака с помощью ключа?

"У вас может быть самая мощная защита, но атакующему нужна всего лишь гаечный ключ, чтобы вас сломить, и вы безоговорочно скажете пароль." Атака гаечным ключом за 5 долларов (5 Dollar Wrench Attack) впервые появилась в интернет-комиксе XKCD, где атакующий не использует технические средства, а заставляет жертву передать пароль или активы через угрозы, шантаж или даже похищение.

()

Обзор典型绑架案

С начала этого года случаи похищения крипто-пользователей участились, жертвами стали ключевые участники проектов, KOL и даже обычные пользователи. В начале мая французская полиция успешно освободила отца похищенного криптовалютного миллионера. Похитители потребовали выкуп в несколько миллионов евро и жестоко отрезали ему палец, чтобы оказать давление на семью.

Подобные случаи стали известны еще в начале года: в январе соучредитель Ledger Дэвид Балланд и его жена стали жертвами вооруженного нападения в своем доме; похитители также отрубили ему палец и сняли это на видео, требуя 100 биткойнов. В начале июня в Танжере был арестован мужчина с двойным гражданством Франции и Марокко Бадисс Мохамед Амид Баджу, согласно сообщению Barrons, он подозревается в организации нескольких похищений французских криптовалютных предпринимателей. Министр юстиции Франции подтвердил, что этот подозреваемый разыскивается Интерполом по обвинениям в "похищении, незаконном удерживании заложников" и другим罪名. Кроме того, Баджу подозревается в том, что он является одним из главных организаторов похищения соучредителя Ledger.

Еще один случай, шокировавший отрасль, произошел в Нью-Йорке. Итальянский криптоинвестор Майкл Валентино Теофрасто Картура был обманом заманен в виллу, где его удерживали в плену и пытали в течение трех недель. Преступная группа использовала электропилы, электрические устройства и наркотики для запугивания, даже подвешивала его на крыше высокого здания, заставляя сдавать ключи от кошелька. Преступники были «инсайдерами», которые с помощью анализа блокчейна и отслеживания в социальных сетях точно определяли свою жертву.

В середине мая дочь соучредителя Paymium Пьера Нуазата и его маленький внук едва не были насильно затянуты в белый фургон на улицах Парижа. Как сообщает "Парижский журнал", дочь Нуазата яростно сопротивлялась, а один из прохожих ударил по фургону огнетушителем, заставив похитителя сбежать.

Эти случаи показывают, что по сравнению с атаками в сети, угрозы насилия в реальной жизни являются более прямыми, эффективными и имеют более низкий порог входа. Нападающие, как правило, молодые люди в возрасте от 16 до 23 лет, обладающие базовыми знаниями в области криптовалют. Согласно данным, опубликованным французской прокуратурой, несколько несовершеннолетних уже были официально обвинены в участии в подобных случаях.

Помимо публично освещённых случаев, команда безопасности Slow Fog также обратила внимание на то, что некоторые пользователи сталкивались с контролем или принуждением со стороны другой стороны во время оффлайн-транзакций, что приводило к ущербу для их активов.

Кроме того, есть случаи "не暴力胁迫", которые еще не переросли в физическое насилие. Например, злоумышленник угрожает жертве, обладая ее личной информацией, местоположением или другими компрометирующими данными, заставляя ее перевести деньги. Хотя такие ситуации не приводят к прямым повреждениям, они уже касаются границы личной угрозы, и следует далее обсудить, относятся ли они к категории "атаки с помощью рычага".

Следует подчеркнуть, что раскрытые случаи могут быть лишь верхушкой айсберга. Многие жертвы выбирают молчание из-за страха мести, неготовности правоохранительных органов принять меры или опасения за сохранение своей личной информации, что также затрудняет точную оценку истинного масштаба атак вне цепочки.

Анализ преступной цепочки

Исследовательская команда Кембриджского университета в 2024 году опубликовала статью «Investigating Wrench Attacks: Physical Attacks Targeting Cryptocurrency Users», которая систематически анализирует случаи насильственного принуждения (вымогательства с помощью гаечного ключа), с которыми сталкиваются криптовалютные пользователи по всему миру, и глубоко раскрывает модели атак и трудности защиты. Ниже представлена оригинальная версия рисунка из статьи для справки, оригинал рисунка см.

Обобщив несколько典型案件, мы пришли к выводу, что цепочка преступлений, связанных с атакой с помощью гаечного ключа, в основном охватывает следующие ключевые этапы:

1. Блокировка информации

Атакующие обычно начинают с информации на блокчейне, сочетая поведение в транзакциях, данные о метках, статус владения NFT и т.д., для предварительной оценки масштабов целевого актива. В то же время групповые чаты в Telegram, сообщения в X (Twitter), интервью с KOL и даже некоторые утеченные данные также становятся важными источниками вспомогательной информации.

2. Реальная позиция и контакт

После определения целевой личности злоумышленник попытается получить информацию о ее реальной личности, включая место жительства, часто посещаемые места и семейную структуру. Обычные методы включают:

• На социальных платформах провоцировать цели раскрыть информацию;
• Обратный поиск с использованием открытых регистрационных данных (таких как привязанный к ENS адрес электронной почты, информация о регистрации домена);
• Используйте утеченные данные для обратного поиска;
• Привлечение цели в контролируемую среду через слежение или ложные приглашения.

3. Насилие и вымогательство

Как только цель контролируется, атакующий часто использует насильственные методы, чтобы заставить её передать закрытый ключ кошелька, мнемоническую фразу и права на вторичную проверку. Распространенные способы включают:

• Избиение, электрошок, ампутация и другие физические травмы;
• Принуждение жертвы к выполнению перевода;
• Угрожать родственникам, требуя, чтобы семья перевела деньги.

4. Отмывание денег и перевод средств

Получив приватный ключ или мнемоническую фразу, злоумышленники обычно быстро переводят активы, используя следующие методы:

• Использование миксера для сокрытия источника средств;
• Перевод на контролируемый адрес или аккаунт некорректной централизованной биржи;
• Ликвидировать активы через OTC-каналы или черный рынок.

Некоторые злоумышленники обладают опытом в области блокчейн-технологий, знают механизмы отслеживания на цепочке и намеренно создают многопрыжковые пути или межцепочные конфузии, чтобы избежать отслеживания.

Меры реагирования

Использование многофункциональных кошельков или распределенных мнемонических фраз в экстремальных ситуациях с угрозой для жизни не является практичным, часто воспринимается злоумышленниками как отказ от сотрудничества, что, в свою очередь, усугубляет насильственные действия. В отношении атак с использованием инструмента, более надежной стратегией должно быть "есть что-то, что можно отдать, и потери контролируемы":.

• Настройка индукционного кошелька: подготовьте счет, который выглядит как основной кошелек, но содержит лишь небольшое количество активов, чтобы использовать его для "остановки потерь" в опасной ситуации.
• Управление безопасностью семьи: члены семьи должны овладеть основными знаниями о местонахождении активов и о том, как действовать в таких ситуациях; установить пароль безопасности для передачи сигнала о опасности в случае необычных обстоятельств; укрепить настройки безопасности домашних устройств и физическую безопасность жилья.
• Избегайте раскрытия своей личности: избегайте хвастовства богатством или публикации торговых записей в социальных сетях; не раскрывайте свои криптоактивы в реальной жизни; тщательно управляйте информацией в кругу своих знакомых, чтобы предотвратить утечку информации. Самая эффективная защита — это всегда оставлять людей с мыслью, что "вы не являетесь целью, на которую стоит обращать внимание".

Написано в конце

С быстрым развитием криптоиндустрии понимание вашего клиента (KYC) и системы противодействия отмыванию денег (AML) играет ключевую роль в повышении финансовой прозрачности и предотвращении незаконных потоков средств. Однако в процессе выполнения, особенно в области безопасности данных и конфиденциальности пользователей, все еще существует множество вызовов. Например, большое количество чувствительной информации, собираемой платформой для соблюдения требований регуляторов (таких как идентификация, биометрические данные и т.д.), в случае ненадлежащей защиты может стать уязвимой точкой для атак.

Таким образом, мы рекомендуем на основе традиционного процесса KYC внедрить динамическую систему идентификации рисков, чтобы сократить ненужный сбор информации и снизить риск утечки данных. В то же время платформа может подключиться к таким единственным платформам, как MistTrack, для борьбы с отмыванием денег и отслеживания, чтобы помочь в идентификации потенциально подозрительных транзакций и повысить能力 управления рисками с самого начала. С другой стороны, строительство возможностей безопасности данных также крайне важно, используя услуги тестирования красной команды (SlowMist), платформа может получить поддержку моделирования атак в реальных условиях, всесторонне оценить пути и точки риска утечки чувствительных данных.