Сливщики переходят на TON и Bitcoin

Потрясающие цифры — это мечта проекта, но это также оазис для  сливщиков.  

Блокчейн TON стал историей успеха криптовалюты в 2024 году. Цена Toncoin выросла более чем в 5 раз за последний год, и эта криптовалюта вошла в десятку лучших  по рыночной капитализации.

Такие игры-кликеры с аирдропами, как Notcoin и Hamster Kombat, помогли сделать показатель ежедневных активных адресов выше, чем у Ether. 900 миллионов пользователей платформы обмена сообщениями Telegram обещают TON  возможность массового внедрения. Но они также обещают богатую охоту сливщикам.

TON регистрирует больше пользователей, чем Ethereum. Источник: Delphi Digital.

Израильская охранная фирма Blockaid сообщает, что сливщики начали мигрировать на The Open Network (TON), блокчейн, первоначально разработанный приложением для обмена сообщениями Telegram.

«Мы видим, что многие пользователи все больше и больше интересуются экосистемой TON, потому что через TON передается очень много ценности», — говорит Раз Нив, соучредитель Blockaid.

Крипто-новички, которые стекаются на платформу ради игр, являются идеальной и неискушенной мишенью для сливщиков. Что еще хуже, активность в TON является относительно новым явлением, а кошельки сети еще не содержат инструментов безопасности, которые есть в старых блокчейнах, таких как Ethereum.

Один сливщик TON был замечен жертвой фишинга с привлекательной суммой в 5000 долларов США. В этой схеме использовалась уникальная функция комментариев TON, которая позволяет переводам содержать специальное сообщение для получателя на этапе подписи в его кошельках.

Когда появляется сообщение о переводе с надписью «Получите 5000 долларов США» и кнопкой «Подтвердить», жертвы подключаются, не зная, что они на самом деле подписывают контракт на слив токенов. По данным Scam Sniffer, этот простой, но эффективный трюк принес одному конкретному сливщику не менее 22 000 TON (около 152 000 долларов США). Совсем недавно тот же подозрительный адрес использовался для развертывания кампании, связанной с фишинговым мошенничеством с раздачей монет Notcoin.

«По мере роста популярности TON растет число случаев фишинга. ScamSniffer обнаружил всплеск количества фишинговых сайтов, связанных с TON, в прошлом месяце», — предупредила охранная фирма в майском твите.

Скрипты для слива TON доступны всего за 300 долларов — естественно, в Telegram.

Кто такие сливщики и как они влияют на TON?

Сливщики ( англ. drainers) — это мошеннические инструменты, которые разработчики продают, чтобы помочь мошенникам лицам украсть криптовалюты. Мошенники часто переманивают инвесторов с помощью фишинговых ссылок, которые позволяют им украсть — “слить” — их активы.

Например, пользователь, который публикует сообщение о зависшей транзакции на Coinbase on X, часто видит дюжину ответов от поддельных сотрудников службы поддержки Coinbase, предлагающих помощь, что приводит на поддельный веб-сайт, который обманом заставляет пользователей передать контроль над своим кошельком злоумышленнику. Аналогичным образом, сообщение об отмене одобрения старых токенов (что является хорошей идеей, чтобы избежать злоупотреблений) может привести к сливу.

По данным Scam Sniffer, в мае жертвы потеряли 42 миллиона долларов в результате фишинговых атак, причем почти 80% этих жертв были на Ethereum. Это больше, чем $38,6 млн в апреле, но меньше, чем $75 млн в марте.

Многие из сливщиков ищут новые возможности, потому что их бизнес стал затруднен в таких блокчейнах, как Ethereum, где инструменты безопасности все чаще способны выявлять вредоносные ссылки и запросы с высокой точностью.

В мае криптофонды пострадали от фишинговых атак. Источник: Scam Sniffer.

Blockaid — это инструмент безопасности, который представляет собой одну из крупнейших угроз для деятельности сливщиков. Прикрепленный к таким кошелькам, как MetaMask и Coinbase, сервис отслеживает подозрительные транзакции.

При обнаружении угрозы Blockaid размещает на кошельках знаки остановки, предупреждающие пользователей о потенциальных потерях (хотя некоторые инвесторы все же решают продолжить, несмотря на многочисленные предупреждения).

«Обход Blockaid» стал функцией, рекламируемой выжившими сливщиками, хотя не все из них работают.

Blockaid предупреждает транзакцию MetaMask о вредоносном запросе с поддельного веб-сайта Cointelegraph. Источник: Blockaid.

За последний год интеграция кошелька Blockaid сыграла ключевую роль в закрытии магазинов сливщиков. Violet Drainer, ставшая  одним из последних примеров, прямо называет Blockaid причиной своего закрытия. Violet Drainer объявила о своем закрытии в апреле 2024 года, назвав основной причиной снижение количества успешных случаев мошенничества из-за инструментов безопасности Blockaid.

«Многие сливы закрываются из-за нескольких обращений, и в целом слив становится все труднее», — сообщил  оператор бывшего Telegram-канала Violet Drainer, утверждая, что Telegram-канал был продан за 7000 долларов и сейчас находится под «новым руководством».

«Новый менеджер тоже сливает, но с помощью частного слива, который, как утверждается, имеет полный обход Blockaid», — сказал источник.

Частные сливы работают в закрытых группах. В некоторых случаях для подключения к службам слива требуется печать одобрения члена группы.

Оператор Violet Drainer добавил, что сливщики переходят на «новую монету», которую «теперь можно сливать».

«На мой взгляд, это лучше, чем слив SOL и ETH», — говорит оператор.

Когда его спросили, на какую криптовалюту переходят сливщики, оператор отказался от комментариев, поскольку это “причинит вред сообществу». Но операторы сливов в ряде сообществ Telegram выделяют сети TON и Bitcoin в качестве главных кандидатов на то, чтобы стать новыми горячими зонами для слива.

Blockaid сообщает, что сливщики отдают предпочтение TON.

От EVM к TVM

Повышенная сложность использования блокчейнов Ethereum и Ethereum Virtual Machine делает растущую популярность TON привлекательной для сливщиков. База пользователей блокчейна стремительно растет благодаря вирусным мини-приложениям, обычно связанным с обещаниями будущих аирдропов.

По данным Token Terminal, по состоянию на 14 июня сеть имела рекордные 5,7 миллиона пользователей в месяц по сравнению с 228 000 в начале года.

Но это не так просто, как портирование на TON, особенно потому, что TON по своей сути не является блокчейном на основе EVM. Разработчики сливов начали предлагать мультичейн-продукты для блокчйенов EVM, таких как Ethereum, BNB Chain от Binance или Avalanche. Для блокчейнов, не связанных с EVM, таких как TON, разработчики сливов должны внедрять новые продукты.

Это не означает, что TON имеет новые уязвимости безопасности. Это означает, что передовые инструменты безопасности и детекторы мошенничества еще не интегрированы в сетевые кошельки.

Ежемесячный рост пользователей TON в 2024 году. Источник: Token Terminal.

Природа Telegram, ориентированная на конфиденциальность (зашифрованные сообщения, но не сквозное шифрование), привлекательна для пользователей, которые считают, что основные приложения для обмена сообщениями недостаточно ориентированы на защиту данных и конфиденциальность.

По словам основателя Telegram Павла Дурова, у приложения для обмена сообщениями 900 миллионов пользователей. Тем не менее, его дизайн, ориентированный на конфиденциальность, также сделал приложение платформой для незаконной деятельности, и некоторые уже окрестили его новой «темной паутиной» (dark web).

В Blockaid заявляют, что работают над мерами безопасности в различных блокчейнах, включая TON, но не заинтересованы в обмене информацией и данными, которые могут быть использованы незаконными субъектами для управления компанией.

«Из-за этой игры в кошки-мышки все, что мы показываем публично, немедленно используется сливщиками, чтобы попытаться обойти нас», — говорит представитель Blockaid.

Больше денег — больше жуликов

Рост TON происходит на фоне резкого роста популярности игр на базе Telegram.

Notcoin, вирусная игра для Telegram, которая вознаграждала пользователей за нажатие на экран, по сообщениям, привлекла 35 миллионов пользователей. Ее идейный преемник, Hamster Kombat, утверждает, что его база игроков насчитывает более 150 миллионов пользователей.

Но как раз там, где есть большое количество пользователей и большая прибыль от криптовалюты, вы найдете мошенников и воров.

Новичкам придется пострадать

Журналисты нашли Telegram-канал, в котором продается скрипт-сливщик TON.

Продукт рекламируется как скрипт для очистки кошелька, который работает только с кошельком Tonkeeper, поскольку тот все еще находится в самой ранней доступной версии.

На момент написания этой статьи сливщ работал только для двух типов токенов: Toncoin и Jetton (взаимозаменяемые токены TON). Полный исходный код продается за 1000 долларов, а более легкая версия — за 300 долларов.

Миллионы пользователей, которые присоединяются к блокчейну TON в надежде на получение аирдропа через различные мини-приложения Telegram, не являются крипто-аборигенами и впервые познакомятся с кошельками и исходными фразами благодаря этому вирусному опыту.

К несчастью для них (но к счастью для сливщиков), Blockaid пока не поддерживает кошельки TON. Но он сканирует и обнаруживает вредоносный код во всех DApps, в том числе в TON.

Новичкам в криптовалюте, которые еще не до конца осознают угрозы, исходящие от сливщиков, возможно, придется пройти этот путь и узнать риски на собственном горьком опыте, пока инструменты безопасности не появятся в относительно новой сети.

«Мы начали с Ethereum — заблокировали сливщиков там. Они переехали в Solana — мы и там их заблокировали. Теперь они переезжают в TON. После этого они окажутся в следующем блокчейне», — говорит Нив из Blockaid.

Следующий — Биткоин?

По словам Коса, основателя охранной фирмы SlowMist, активы на основе Ethereum, особенно токены ERC-20, являются наиболее истощенными активами в мире, но даже у них есть свои ограничения.

Это связано с тем, что только один актив ERC-20, например USDT или USDC, может быть использован одновременно в рамках одной транзакции. Исключением является то, что несколько токенов могут быть истощены при одобрении контрактов платформы (например, OpenSea Seaport или Uniswap Permit2).

Первая утечка биткоинов, замеченная сообществом безопасности.  

В Биткоине транзакции используют модель UTXO, где каждая транзакция может включать в себя несколько входов (неизрасходованные выходы предыдущих транзакций) и несколько выходов (новые UTXO).

«Поскольку все активы на основе биткоинов (включая собственно биткоин) существуют как UTXO, если пользователь стал жертвой сливщика, все его активы на основе биткойнов потенциально могут быть слиты одновременно в одной транзакции», — объясняет Кос.

Это означает, что если злоумышленник получит контроль над кошельком пользователя, он может создать транзакцию, которая консолидирует все UTXO, принадлежащие пользователю, потенциально сливая все активы на основе биткойнов в одной транзакции, будь то BRC-20, ординалы, руны и даже Биткоин.

Криминалистическая фирма Chainalysis, занимающаяся блокчейном, сообщила в мае, что обнаружила первый слив биткоинов, замаскированный под веб-сайт Magic Eden, рынка невзаимозаменяемых токенов, который поддерживает торговлю биткойн-ординалами.

По данным Chainalysis, по состоянию на апрель 2024 года этот злоумышленник украл около 500 000 долларов США в рамках более чем 1000 транзакций.

Но Кос говорит, что еще более ранний инцидент предполагает, что сливщикам биткойнов уже год. В июне 2023 года пользователь социальной сети сообщил о мошенничестве, замаскированном под проект BRC-20, продвигаемом вместе с подозрительной фишинговой ссылкой.

Рост TON открывает новые горизонты для сливщиков, продлевая их продолжительность жизни, поскольку бизнес по сливу Ethereum становится все менее эффективным.

Некоторые из наиболее успешных игроков решили уйти на пенсию. Pink Drainer бросили свою карьеру после того, как украли 85 миллионов долларов. Inferno Drainer закрылась в конце 2023 года после кражи $70 млн, но в мае снова начала активизироваться.

Растущая база пользователей TON, состоящая из новичков в криптовалюте, и функции конфиденциальности Telegram открывают новые возможности и новое море жертв для сливщиков. Отсутствие надежных инструментов безопасности, таких как Blockaid, в сети TON (на данный момент) усугубляет уязвимость этих пользователей.

Это часть продолжающейся «игры в кошки-мышки», как ее называет Нив, в которой охранные фирмы и киберпреступники сражаются, чтобы перехитрить друг друга.

Как только в сети TON будут установлены меры безопасности, обязательно появится новая угроза, как это недавно наблюдалось в редких инцидентах с Биткоином, где модель UTXO представляет собой эффективный сценарий слива для злоумышленников.

Оператор Violet Drainers называет эту фазу частных сливов и угроз в нескольких блокчейнах «новой эрой сливов».

Но Blockaid утверждает, что они на шаг впереди тех, кто занимается сливом, и что они по-прежнему способны выявлять и отслеживать деятельность по сливу, независимо от того, действуют ли они публично или в частном порядке.