加密攻击简报：恶意软件通过照片瞄准加密钱包

每周，Information Security Media Group 都会汇总数字资产中的网络安全事件。本周，一种新的恶意软件通过照片针对加密钱包，CoinMarketCap 攻击耗尽了钱包，BitoPro 将 $11M 抢劫归咎于 Lazarus，Trezor 警告网络钓鱼活动，法国出现了今年的第 10 起加密绑架案，警方重新逮捕了一名涉嫌盗窃 $245M 比特币的青少年，Hacken 将漏洞利用抹去了 98% 的价值归咎于人为错误，Self Chain 因庞氏骗局指控罢免了首席执行官。

研究人员发现了一种他们称之为“SparkKitty”的恶意软件，它可以从 Android 和 iOS 设备中窃取照片以收集加密货币钱包助记词。卡巴斯基识别出的 SparkKitty 似乎是 SparkCat 的演变，后者使用光学字符识别从图像文件中提取恢复短语。SparkKitty 通过看似合法的应用程序进行传播，例如 Google Play 和 Apple App Store 上的消息传递、加密交换和修改或“修改”的游戏，以及非官方来源。

该恶意软件请求访问设备的照片库。在 Android 上，它会上传所有图像，有时使用 OCR 过滤带有文本的图像以及设备元数据。在 iOS 上，它会监控新图像并在获得访问权限后将其泄露。

Coin Market Cap 遭受了一次供应链攻击，通过恶意 Web3 弹出窗口使其访问者暴露于一个窃取加密货币的骗局中。该事件始于 6 月 20 日，当时用户看到将钱包连接到 CoinMarketCap 的提示。那些遵守的人在不知不觉中与窃取资金的钱包消耗脚本进行了交互。

该漏洞利用了该网站主页涂鸦图像中的漏洞。CoinMarketCap 表示，攻击者篡改了提供涂鸦的 API，通过修改后的 JSON 有效负载注入恶意 JavaScript。此脚本托管在 上，触发了模拟合法 Web3 请求的虚假钱包连接弹出窗口。

台湾加密货币交易所 BitoPro 将其平台上的 1100 万美元盗窃事件归咎于朝鲜的 Lazarus Group。该攻击发生在 5 月 8 日热钱包系统升级期间。黑客利用该过程从以太坊、Tron、Solana 和 Polygon 区块链的旧钱包中提取资金。BitoPro 的内部调查根据类似于以前备受瞩目的抢劫案的攻击模式将该事件与 Lazarus 联系起来。

攻击者使用社会工程手段，用恶意软件感染云运营员工的设备，劫持 AWS 会话令牌并绕过多重身份验证。他们将恶意脚本传送到钱包基础设施中，同时模仿正常行为以避免被发现。被盗资产通过 Tornado Cash 和 ThorChain 等去中心化交易所和混合器迅速洗钱。

BitoPro 于 6 月 2 日承认了违规行为，并确认没有内部人员参与。该交易所还使用储备金补充了受影响的钱包，并在 6 月 11 日之前完成了法医调查。

Trezor 警告用户注意一项网络钓鱼活动，该活动利用其自动支持票证系统从其合法 help@trezor.io 地址发送欺骗性电子邮件。攻击者通过使用紧急的、带有网络钓鱼的主题行提交支持票证来滥用系统，例如“保护资产”的提示，然后平台会自动回复这些消息，使消息看起来真实。

网络钓鱼电子邮件将收件人引导至模仿 Trezor 界面并提示用户输入钱包助记词的恶意网站 – 这些 24 字恢复短语用作存储在 Trezor 硬件设备上的加密货币钱包的主密钥。如果被盗，攻击者可以获得对用户资金的完全访问权限。Trezor 表示，它正在努力进行防御，以防止其支持系统进一步滥用。

法国记录了今年第 10 起与加密货币相关的绑架事件，标志着旨在迫使受害者交出加密货币的“扳手攻击”人身攻击有所增加。据报道，最新的事件发生在巴黎附近的 Maisons-Alfort，一名 23 岁的男子在办事时被绑架。攻击者强迫他打电话给他的伴侣，指示她交付一个 Ledger 硬件钱包和 5,000 欧元现金。交接后，受害者在附近的克雷泰伊安然无恙地被释放。《巴黎人报》报道称，绑架期间使用了暴力。维护此类事件全球数据库的密码朋克詹姆森·洛普 （Jameson Lopp） 表示，在今年全球报告的 32 起扳手袭击事件中，法国现在占了近三分之一。剑桥大学的研究人员表示，由于恐惧或隐私问题，许多事件没有被报告。

来自康涅狄格州丹伯里的 19 岁少年 Veer Chetal 承认了他在 2024 年 8 月从 Genesis 债权人那里盗窃 2.45 亿美元的比特币中的作用。Chetal 在网上被称为“Wiz”，与当局合作，没收了数百万资产，包括奢侈品和超过 3600 万美元的以太坊。他面临最高 24 年的监禁，但已被保释候判。

在最初的 2.45 亿美元盗窃案发生一周后，切塔尔的父母成为六名蒙面男子绑架未遂的目标，其中五人已承认对他们的指控。

新解封的法庭文件现在显示，在当局发现 Chetal 在获释期间又犯下了 200 万美元的加密货币盗窃罪后，他于 1 月份再次被捕。该计划涉及对一名新泽西州居民进行社会工程，使其以 Gemini 支持的名义透露她的钱包助记词。调查人员通过 VPN 泄漏将被盗资金与 Chetal 联系起来，该泄漏暴露了他的真实 IP 地址，可追溯到他母亲的家。据报道，Chetal 将盗窃所得的 200,000 美元进行了赌博，并在收到资金后几分钟内就在网上下注中输光了所有钱。

乌克兰网络安全公司 Hacken 表示，泄露的私钥导致其 $HAI 代币被利用，使攻击者能够铸造近 9 亿个代币，并使资产价值暴跌约 98%。攻击者利用以太坊和 BNB 链上的铸币账户，将代币倾销到去中心化交易所并窃取了约 250,000 美元。

该漏洞几乎使 $HAI 的供应量翻了一番，使其市值从 1270 万美元暴跌至 720 万美元。Hacken 承认 X（前身为 Twitter）的错误，称几年前未能实施多重签名桥设置导致了违规行为。受损的 minter 角色后来被撤销，其他账户似乎没有受到影响。

该公司暗示未来将进行代币交换并可能与 Hacken equity 合并，合并后的实体估值超过 1 亿美元。Hacken 自己最近的 Web3 安全报告警告说，人为和权限失败现在超过了智能合约错误，成为该领域最大的威胁。

区块链项目 Self Chain 已罢免 Ravindra Kumar 的首席执行官职务，此前用户将他与涉嫌非处方加密货币骗局联系起来，该骗局骗取了投资者超过 5000 万美元。该项目宣布终止 Kumar，在声称他精心策划了一个长达数月的庞氏骗局后，切断了所有联系和责任。

欺诈始于 11 月，Telegram 经纪人提供 GRT、APT、SEI 和 SUI 等折扣代币。早期参与者收到了奖金，鼓励了更大的存款。但到了 5 月，Mysten Labs 联合创始人 Adeniyi Abiodun 等行业人士警告说，不存在打折的 SUI 分配。当运营商未能交付代币时，该骗局破灭，揭示了新资金被用于支付早期投资者的费用。

Aza Ventures 首席执行官 Mohammed Waseem 表示，一家名为“Source 1”的经纪人最初提供真实代币，然后转向欺诈。尽管 Kumar 曾表示他不是 Source 1。