商傳媒|方承業/綜合外電報導
一種名為StepDrainer的加密貨幣竊盜工具正廣泛攻擊逾20個區塊鏈網路上的數位錢包,包括Ethereum、BNB Chain、Arbitrum和Polygon等。近期一份報告指出,在過去24小時內,已有超過500個Ethereum錢包遭竊,總計逾80萬美元的加密資產被盜。
StepDrainer以「惡意軟體即服務」(malware-as-a-service)的形式運作,透過偽造的Web3錢包彈出視窗誘騙用戶授權交易。這些彈出視窗設計得非常逼真,部分甚至模仿Web3Modal錢包的連接介面。一旦用戶連接錢包,StepDrainer會優先找出價值最高的代幣,並自動將其轉移至攻擊者控制的錢包地址。
資安研究人員發現,StepDrainer會濫用Seaport和Permit v2等合法的智能合約工具,顯示看似正常的錢包授權畫面。然而,這些彈出視窗的內容是偽造的。例如,有受害者曾看到一則訊息顯示他們將收到「+500 USDT」,使授權看起來安全無虞,實際上卻是執行資產轉移。
為躲避傳統資安工具的偵測,StepDrainer透過動態更改腳本來載入惡意程式碼,並從去中心化的鏈上帳戶獲取設定。由於惡意程式碼未儲存在單一固定位置,使得偵測難度大增。此外,地下市場上存在販售現成錢包竊盜工具包的市場,大幅降低了攻擊者發動此類詐騙的門檻。
除了StepDrainer,研究人員也發現另一款名為EtherRAT的惡意軟體,該軟體曾鎖定Linux系統,現已將攻擊範圍擴大至Windows平台。EtherRAT透過偽造的Tftpd64網路管理工具誘騙用戶下載,並將Node.js藏於虛假安裝程式中,利用Windows註冊檔確保其持續駐留於系統,並透過PowerShell進行系統檢查。EtherRAT會悄無聲息地在背景執行,在竊取資產前會先檢查防毒軟體、系統設定、網域細節及硬體資訊。
值得注意的是,許多遭盜的錢包已閒置超過7年,被竊資產最終透過ThorChain進行兌換。資安研究人員Wazz根據鏈上分析指出,這些遭盜資金最終都流向由單一錢包地址控制的帳戶。鑑於這類攻擊手法日益複雜,資安研究人員建議所有加密貨幣用戶,在將錢包連接到未知網站時,務必仔細驗證網域、詳閱交易細節後再簽署,並應移除任何不必要的無限額代幣授權,以保護自身資產安全。
