En Resumen
- Hacker estafa a más de 600 wallets, sustrayendo más de 930.000 tokens ARB de Arbitrum mediante un ataque de phishing y envenenamiento de direcciones.
- La fuente de los tokens es un contrato creado por "Fake_Phishing18", relacionado con otra dirección llamada "Fake_Phishing47" que desplegó un contrato token ARB falso.
- Los atacantes utilizaron un sitio web falso de Arbitrum, similar al original, engañando a usuarios para obtener control sobre sus wallets y transferir tokens ARB.
We do the research, you get the alpha!
Inicialmente reportado como un "afortunado" destinatario de Arbitrum, una dirección parece haber estafado a más de 600 wallets de criptomonedas diferentes por más de 930.000 tokens ARB.
La firma de inteligencia Blockchain Arkham confirmó a Decrypt que ellos también han identificado que la dirección "pertenece a un hacker que está barriendo los fondos de los usuarios de Arbitrum."
Una mirada más cercana a las transacciones de la dirección de critpomonedas específica revela que recibió 933,365 tokens ARB de una dirección Arbitrum diferente el 24 de marzo, un día después del muy esperado airdrop de la criptomoneda ARB de Arbitrum. ARB es el token de gobernanza nativo mientras que Arbitrum es una solución de escalado de capa 2 para Ethereum.
La fuente de esas criptomonedas es otro contrato cuyo creador está etiquetado como "Fake_Phishing18" en el explorador de blockchain de Arbitrum.
El investigador de criptomonedas independiente 0xKnight también confirmó que había encontrado informes de víctimas del hack. Los usuarios se quejaron de que sus tokens ARB habían sido "auto-reclamados" a las carteras de los hackers.
El desarrollador de contratos inteligentes de Ethereum Brainsy también señaló el contrato malicioso creado por "Fake_Phishing18" el 24 de marzo. Dijeron que interactuar con el contrato crea una solicitud de transacción adicional que parece provenir de la wallet del remitente, pero en realidad es un ataque de phishing.
MetaMask ha advertido contra este tipo de ataque y lo ha denominado "envenenamiento de direcciones".
Se trata de un intento en el que los atacantes envenenan la lista de direcciones de los monederos de criptomonedas de los usuarios enviando transacciones arbitrarias desde direcciones que se parecen mucho a aquellas con las que el usuario ya ha interactuado.
En este caso, el atacante parece haber utilizado tanto un ataque de phishing a través de un contrato inteligente malicioso como el envenenamiento de direcciones, con Brainsy indicando que hace que la transacción parezca "como si fuera de la billetera [de los usuarios]."
La etiqueta "Fake_Phishing18" también está asociada a otra dirección llamada "Fake_Phishing47" que desplegó un contrato token ARB falso el 21 de marzo.
La imagen de abajo muestra que la cuenta etiquetada "Fake_Phishing18" creó el contrato para los tokens ARB falsos y luego transfirió la propiedad a "Fake_Phishing47".
El mismo puede haber creado un sitio falso de Aribtrum reclamando que si los usuarios interactuaban con el sitio web, le daría al hacker el control sobre las billeteras de los usuarios.
Por ejemplo, había al menos una página web idéntica al sitio web de reclamación de la Fundación Arbitrum circulando en algunos grupos de medios sociales el día del airdrop.
El sitio web falso reclamaba tokens ARB en nombre del usuario y los transfería a sus carteras. La única diferencia sutil entre ellas es que la página web original tiene una cuenta atrás que indica cuándo finalizará el proceso de reclamación.