MAIN Уже привлёк крипто-валютных воров, будьте аккуратнее.
С чего всё началось, пришёл я вечером с работы и увидел на телефоне уведомление об успешной транзакции от приложения Trust Wallet. Зайдя на кошелёк я ожидаемо увидел отсутствие какой либо валюты на нём, ибо вымели его подчистую.
Спустя пару дней голова стала думать трезво и мне захотелось хотя бы попытаться разобраться в этой ситуации.
Первым шагом стало прослеживание куда же ушли мои токены и BNB. С помощью транзакции и сайта BscScan Я выяснил что токены ушли на перевалочный адрес - 0xd39A623156836fc05C05f9339BeC68B55786A4de.
![](data:image/svg+xml;utf-8,<svg xmlns="http://www.w3.org/2000/svg" width="1855" height="1007" />)
![](data:image/svg+xml;utf-8,<svg xmlns="http://www.w3.org/2000/svg" width="1857" height="1005" />)
Откуда с перерывам примерно 5-7 минут они ушли на, как я понял аккумулирующий адрес - 0xA5128e9D4a930ffF62d2702129914B26913a001c
![](data:image/svg+xml;utf-8,<svg xmlns="http://www.w3.org/2000/svg" width="1861" height="1005" />)
![](data:image/svg+xml;utf-8,<svg xmlns="http://www.w3.org/2000/svg" width="1861" height="1006" />)
На самом же адресе на момент написания статьи находится почти полтора миллиона монет MAIN и 17.1 BNB или 20,000$. Количество транзакций превышает 11000 штук и как видно из их списка, с сотен адресов сюда поступают самые разные суммы монет MAIN и BNB. Интересен тот факт что первые транзакции на этом кошельке датируются всего месячной давностью.
![](data:image/svg+xml;utf-8,<svg xmlns="http://www.w3.org/2000/svg" width="1853" height="1007" />)
Не уверен что все 100% монет на этом адресе украдены, но думаю большая честь была недавно на кошельках совершенно других, законных пользователей.
Что же, с тем куда ушли монеты я разобрался, осталось понять как? Учитывая что провернуть данную операцию можно только имею доступ к сид-фразе, будем отталкиваться от того как злоумышленник мог получить к ней доступ.
Зная что я за последние время с каких либо сайтов ничего не скачивал (даже с торента), и учитывая количество появившихся монет за такой короткий срок, мне с трудом верится что это случайный фишинг. После случившегося я (Как всегда вовремя) раскошелился на лицензию антивируса с фаерволом. Проверка на вирусы не выявила каких либо угроз ни на телефоне ни на компьютере, зато фаервол компьютера стал ловить примерно через каждые пол часа попытку удалённого соединения с одних и тех же IP адресов - 192.168.1.35 (5684) 192.168.1.255 (5684)
![](data:image/svg+xml;utf-8,<svg xmlns="http://www.w3.org/2000/svg" width="803" height="397" />)
![](data:image/svg+xml;utf-8,<svg xmlns="http://www.w3.org/2000/svg" width="402" height="221" />)
Ещё один адрес пойманный фаерволом.
По всей видимости именно с помощью удалённого доступа к компьютеру злоумышленник смог проникнуть в аккаунт телеграмма и получить сид-фразу так как, он так же был установлен на компьютере. И как только (клюнуло меня в одно место) я ставлю дополнительную защиту на вход в телеграмма и блокирую доступ к нему со своего компьютера этим же вечером я лишился содержимого своего кошелька. Вопрос в том, как злоумышленник понял на каком компьютере искать, где был им добыт IP адрес моего ЭВМ. Это могло быть сделано в двух местах, через аккаунт приложения MAIN или сам телеграмм. Более того возможно данный индивид находится среди пользователей что читают канал MAIN Community. Ведь всего за неделю до инцидента я выкладывал в канале вот эти скриншоты на просьбу человека помочь добавить токен в кошелёк Trust Wallet чем мог привлечь к себе его внимание.
![](data:image/svg+xml;utf-8,<svg xmlns="http://www.w3.org/2000/svg" width="1715" height="1133" />)
На этом всё, будьте аккуратнее и не повторяйте моих ошибок. Не скупитесь на хороший фаервол и храните сид-фразу в недоступном для интернета месте. Ведь как написано выше, даже двойная защита телеграмма не даёт 100% уверенности в безопасности содержимого вашего аккаунта.
15 comments