Когда хакеры попытались вывести средства инвесторов из ICO Blockstack — стартапа, занимающегося разработкой децентрализованного интернета, — разработчики проекта не только успешно отбили атаку, но и смогли взять реванш, побив мошенников их же оружием.

Фишинговые сайты ICO Blockstack

Скаммеры надеялись перенаправить инвесторов, которые не успели аккредитоваться на лимитированный токенсейл Blockstack, на фишинговые сайты, код которых был полностью скопирован с blockstack.com. Мошеннические сайты, нацеленные на получение доступа к конфиденциальным данным инвесторов, не учли того факта, что, копируя код, они напрямую подключались к серверу, который находился под контролем разработчиков Blockstack. А именно — к верхнему баннеру оригинального сайта, на котором транслировались твиты компании. Это позволило команде Blockstack свести на нет активность фишинговых сайтов и запустить свою контратаку посредника «Человек Посередине». Данный тип интернет-атак позволяет перехватить канал связи, а инициаторы атаки получают полный доступ к передаваемой информации

Благодаря данным контрмерам разработчикам Blockstack удалось оказаться своего рода посредником между фишинговыми сайтами скамеров и собственной Twitter-лентой. Команда пришла к простому и изящному решению проблемы. Используя бэкдор, который позволил получить удаленный доступ к баннеру, они предупреждали всех посетителей сайта, что те перешли на неофициальный ресурс и могут потерять деньги.

«Наш сервер подгружал твиты с нашего аккаунта в баннер на официальном сайте blockstack.com. А на все запросы, которые шли с других адресов, мы размещали сообщение “ЭТО ФИШИНГОВЫЙ САЙТ”, вместо твита», — объяснил сооснователь Blockstack Мунееб Али в письме CoinDesk.

«Мы заметили несколько подобных сайтов, которые пытались перенаправить трафик на свои адреса. Поэтому мы заранее всех предупредили, что доверять можно только официальному сайту blockstack.com», — сообщил второй сооснователь стартапа Раин Шиа.

Поскольку ICO Blockstack было одним из самых ожидаемых токен-сейлов этого года, неудивительно, что скаммеры попытались воспользоваться ситуацией, возникшей в связи с растущим хайпом. При большом количестве публикаций об ICO Blockstack хакерам удалось незаметно разместить адреса фишинговых сайтов в соцсетях. Так иногда поступают злоумышленники, которые запускают фейк-страницы благотворительных организаций, чтобы получить пожертвования во время катастроф и стихийных бедствий.

Несмотря на то, что токен-сейл Blockstack был официально закрыт, два фишинговых сайта все еще продолжали работать (однако без верхнего баннера с твитами), предлагая 10% скидку на… абсолютно ничего. Так что остерегайтесь подобных сайтов.

DDos-атаки и фишинг на ICO KICKICO

Похожей историей поделился с Medium российский предприниматель Анти A. Данилевский, который основал и руководит KICKICO — блокчейн-платформой для сбора средств на бизнес-проекты.

Когда KICKICO проводила пре-сейл, дважды их сайт подвергался DDos-атакам. Было получено множество запросов, с которыми сайт заведомо не мог справиться и был вынужден отказать в обслуживании всем пользователям. Атаки длились по 30-40 минут и происходили с множества фейковых аккаунтов на Facebook. Причину данных атак команда поняла позже, когда предположительные скаммеры отправили письмо с предложением обеспечить дальнейшую безопасность от подобных DDos-атак. Дальше разработчики подключили CDN-сервис CloudFlare, который защитил сайт и его кеширование.

Но на этом атаки на KICKICO не прекратились, и скаммерам удалось собрать с инвесторов порядка $50,000 при помощи фишинговых сайтов. Как и с Blockstack, хакеры использовали сайты с тем же дизайном, однако их адрес заканчивался на .co (а не .com, как официальный сайт проекта). Более того, они даже скопировали репозиторий (хранилище данных) блокчейн-платформы Starbase, которая позволяет создавать и выпускать токены. Фейковая платформа, также как и оригинальная, находилась на веб-сервисе GitHub, который предоставляет хостинг IT-проектов и их совместную разработку. Хакеры назвали свою платформу kick-ico, что еще больше убедило инвесторов в том, что они имеют дело с организаторами ICO, а не с мошенниками. Это позволило хакерам собрать средства с инвесторов на сумму $50,000.

Команда узнала о существовании данного сайта, однако установить IP-адрес владельцев они так и не смогли, из-за того, что злоумышленники использовали прокси-сервисы. По мнению Анти A. Данилевского, полный план хакеров заключался в том, чтобы запустить серию DDos-атак на официальный сайт KICKICO, а когда он перестал бы отвечать, скаммеры разослали бы новый адрес .co ничего не подозревающим инвесторам через мессенджеры и соцсети. Но DDos-атаки не прошли, и план хакеров провалился. После того, как команде стало известно о существовании сайта .co, они направили письмо в GitHub, который тут же заблокировал мошенников.

Последняя атака хакерам также частично удалась. Несмотря на то, что команда KICKICO провела пять или шесть аудитов смарт-контрактов и серверов, скаммерам удалось найти лазейку, в связи с чем скрипт, отвечающий за обработку биткоин-платежей, был скомпрометирован. В результате смарт-контракт отправил на неизвестный кошелек 600 млн монет, выпущенных в ходе ICO. Команде пришлось не только переписать смарт-контракты проводимой кампании, но и смарт-контракты выпущенных токенов, чтобы обесценить их. Эта атака значительно замедлила сбор средств. Также пришлось перевыпустить все 600 млн монет и выслать их инвесторам. Однако по завершению кампании была достигнута цель в 50,000 эфиров. Таким образом хакерам удалось в какой-то степени подорвать репутацию, но средства вкладчиков остались нетронутыми.