Mówi się, że giełdy kryptowalut dzielą się na dwie kategorie: te, które padły ofiarą kradzieży oraz te, które dopiero zostaną zhackowane. Mimo, że zdanie to jest w oczywisty sposób przerysowane, zwraca uwagę na pewną istotną prawidłowość na rynku kryptowalut - giełdy nie są najbezpieczniejszym sposobem na przechowywanie swoich kryptowalut, gdyż jako scentralizowane ośrodki obrotu, dysponujące najczęściej potężnymi środkami, należącymi do tysięcy klientów, są łakomym i często również łatwym kąskiem dla cyberprzestępców. W ciągu ostatnich lat 31 giełd kryptowalut padło ofiarą ataków hakerskich, tracąc przy tym środki szacunkowo wyceniane na ponad 1,3 mld dolarów. Poziom zabezpieczeń giełd, jak i świadomość jej użytkowników systematycznie rosną, co jednak wymusza na kryptowalutowych przestępcach opracowywanie coraz bardziej zaawansowanych i przemyślanych metod przeprowadzania ataku.
Jednym z najświeższych i wyjątkowo pomysłowych przypadków złamania zabezpieczeń giełdy był atak na platformę gate.io, który na szczęście stosunkowo szybko został udaremniony przez firmę ESET, zajmującą się cyberbezpieczeństwem. Odkryła ona, że wcale nie trzeba hackować zabezpieczeń giełdy, aby uzyskać do niej dostęp.
Jak uzyskać dostęp do giełdy, nie łamiąc jej zabezpieczeń?
Do ataku doszło 3 listopada, stosunkowo szybko jednak został on wykryty. Wg firmy ESET, hakerzy nie dokonali bezpośredniego złamania zabezpieczeń giełdy kryptowalut gate.io, lecz wykorzystali do tego jedną z usług, z której korzystała platforma - popularnego serwisu dostarczającego analitykę ruchu na stronie internetowej StatCounter, działającego na podobnej zasadzie, co najpopularniejszy Google Analytics.
Usługi tego typu wymagają umieszczenia zewnętrznego kodu w JavaScript na poszczególnych podstronach, aby umożliwić liczenie i kontrolowanie zachowania użytkowników. Taki właśnie zewnętrzny kod usługi StatCounter był umieszczony na witrynie giełdy gate.io. I to właśnie on pozwolił cyberprzestępcom na uzyskanie dostępu do giełdy bez łamania jej zabezpieczeń - hakerzy, łamiąc zabezpieczenia samej platformy analitycznej, mogli wstrzykiwać złośliwy kod na wszystkich podstronach giełdy, które posiadały skrypt usługi StatCounter.
Jak przebiegł atak?
Hakerzy jako wektor ataku wykorzystali usługę, która posiadała dostęp do kodu witryny giełdy, jednocześnie będąc znacznie mniej zabezpieczoną od niej samej - kto bowiem chciałby hackować popularny serwis liczący odwiedziny na stronach?
Pomysłowym przestępcom udało się umieścić złośliwy kod w skrypcie StatCounter, wklejanym przez administratorów serwisów korzystających z jego usług analitycznych.
Złośliwy skrypt uaktywniał się wyłącznie w przypadku, w którym adres strony posiadał człon: myaccount/withdraw/BTC.
W oczywisty sposób wskazywało to na fakt, że celem hakerów była giełda kryptowalut, a konkretnie jej podstrona, służąca do wypłat środków w bitcoinie (BTC) przez klientów. Pracownicy ESET stosunkowo szybko ustalili, że giełda gate.io jest jedyną, która posiada taki format adresu do wypłat BTC i jednocześnie korzysta z usług analitycznych StatCounter, co wskazuje na to, że właśnie ona była celem ataku.
Czytaj także: Nie daj się okraść! Jak bezpiecznie posługiwać się kryptowalutami?
To jednak dopiero początek procesu, który opracowali hakerzy. Jeśli zainfekowany skrypt StatCounter pojawiał się na stronie z adresem myaccount/withdraw/BTC, dochodziło do dodania nowego elementu, odsyłającego do adresu: https://www.statconuter[.]com/c.php
Jak można zauważyć po dokładniejszym przyjrzeniu się, nazwa domeny miała przypominać prawdziwy adres witryny StatCounter (przestawiono kolejność dwóch liter), najprawdopodobniej po to, by nie wzbudzić podejrzeń administratorów giełdy. Co ciekawe, ten sam adres podszywający się pod serwis StatCounter był już zawieszony w 2010 r. ze względu na podejrzaną aktywność.
Adres https://www.statconuter[.]com/c.php, który aktywował się na podstronie wypłaty BTC na giełdzie gate.io uruchamiał kolejny złośliwy skrypt, który służył do kradzieży bitcoinów wypłacanych przez klientów giełdy.
W jaki sposób do tego dochodziło? Na podstronie do wypłat na giełdzie gate.io, po wpisaniu docelowej wartości transferu, adresu portfela oraz hasła bezpieczeństwa, należało kliknąć przycisk „Submit request”. Złośliwy skrypt zmieniał funkcję przycisku, wprowadzając przekierowanie, które generowało inny adres portfela BTC niż podany przez użytkownika, jednocześnie wykorzystując jego dane autoryzacyjne. Co ciekawe, złośliwy skrypt za każdym razem generował inny adres, stąd też oszacowanie ile osób padło ofiarą ataku jest utrudnione.
Podstrona do wypłaty BTC na giełdzie kryptowalut gate.io, źródło: ESET
Sam przebieg ataku był zasadniczo niewykrywalny, gdyż do przekierowania dochodziło już po kliknięciu przycisku potwierdzającego zlecenie wypłaty. Potencjalna ofiara mogła zdać sobie sprawę z tego, że została okradziona dopiero po sprawdzeniu statusu potwierdzonej operacji w eksploratorze bloków.
ESET po odkryciu złośliwego skryptu w kodzie usługi StatCounter, niezwłocznie poinformował giełdę gate.io oraz sam serwis analityczny. W środę 7 listopada giełda wydała specjalne oświadczenie, w którym zapewniła, że przestała korzystać z usług StatCounter, zaś środki klientów platformy są całkowicie bezpieczne. Nie podano jednak informacji czy jakikolwiek z użytkowników giełdy padł ofiarą ataku, zaś złośliwy skrypt generujący za każdym razem inny adres uniemożliwia niezależne oszacowanie liczby ewentualnych poszkodowanych.
Jak bronić się przed takim atakiem?
Atak tego typu był na tyle wyrafinowany, że tradycyjne środki bezpieczeństwa, takie jak m.in. podwójna autoryzacja (2FA), nie uchroniłyby potencjalnej ofiary.
Aby uchronić się przed takim atakiem w przyszłości, warto blokować zewnętrzne skrypty znajdujące się na witrynach giełd. Można do tego celu wykorzystać m.in. wtyczkę xMatrix dla przeglądarki Google Chrome, wymaga ona jednak od użytkownika pewnej biegłości.
Czytaj także: Mogliśmy być na miejscu Malty
