Массовые кражи с EVM-кошельков: что происходит и где реальная проблема⁠⁠

Аналитики зафиксировали серию краж с сотен пользовательских криптовалютных кошельков, работающих в EVM-совместимых сетях.

Под удар попали обычные пользовательские кошельки, в первую очередь браузерные расширения и мобильные приложения, используемые для работы с Ethereum, BNB Chain, Polygon и другими сетями, совместимыми с EVM. При этом никаких признаков взлома самих блокчейнов или смарт-контрактов выявлено не было.

К числу кошельков, которые потенциально могут оказаться в зоне риска при подобных атаках, относятся популярные EVM-кошельки:
MetaMask, Trust Wallet, Rabby Wallet, OKX Wallet, Coinbase Wallet, imToken, TokenPocket, SafePal (в режиме hot-wallet), а также другие браузерные и мобильные кошельки, использующие сид-фразу и подключение к dApp через EVM.

Важно подчеркнуть, что все транзакции выглядят корректными и подписанными действительными приватными ключами. Это означает, что злоумышленник не взламывает сеть, а получает доступ к управлению кошельками пользователей. Такой сценарий делает инцидент особенно опасным, поскольку технически операции выглядят как обычные действия владельца.

Под угрозой оказываются все основные EVM-активы: ETH, токены стандартов ERC-20, NFT и DeFi-токены. В большинстве случаев злоумышленник выводит небольшие суммы, что снижает вероятность мгновенного обнаружения компрометации.

Среди наиболее вероятных причин происходящего называют утечки seed-фраз, небезопасное хранение резервных копий, вредоносное программное обеспечение, а также ранее выданные токенам опасные разрешения (approve). Отдельное внимание уделяется браузерным расширениям, которые при компрометации могут стать точкой входа для атаки.

Основной вывод: - низкое качество хранения и защиты данных самих кошельков. В текущей ситуации безопасность криптовалюты определяется не столько технологией блокчейна, сколько тем, насколько грамотно пользователь обращается со своими ключами, резервными копиями и разрешениями.