Хакери са източвали дигитални портфейли от борсата за криптовалути gate.io. Според компанията за киберсигурност ESET това е станало чрез компрометиране на брояча StatCounter, който се използва от сайта на борсата.
StatCounter е популярен иструмент за измерване на трафика на сайтове. Според сaмата платформа StatCounter се използва от около 2 млн. уебмастъри по света. Борсата gate.io също използва този брояч.
Промъкване през задния вход
Вместо да атакуват директно сайта на gate.io, хакерите са се вмъкнали през задния вход – в случая през брояча на сайта.
За да използва StatCounter, уебмастърът трябва да добави в сайта си JavaScript код. Хакерите са успели да компрометират този код и да добавят в него свой собствен.
Когато потребител на gate.io иска да прави трансфери към други биткойн адреси, той отива на страница с адрес: https://www.gate.io/myaccount/withdraw/BTC. Зловреденият код засича, когато това се случи, и се активира.
Работата му е да замени оригиналния биткойн адрес, към който потребителят иска да направи трансакция, с биткойн адрес, който се притежава от хакерите.
Как протича атаката
1.Потребителят зарежда страницата, от която ще прави трансакция;
2. Зловредният код подменя адреса, към който ще се изпраща сумата, с адрес, който се контролира от хакерите. При всяко зареждане на скрипта се зарежда нов биткойн адрес. Така е по-трудно да се проследи общият размер на сумата, източена от портфейлите до момента;
3.Зловредният код проверява каква сума планира да трансферира потребителят. Той може да променя сумата, така че да достигне дневния допустим лимит.
„Не знаем колко биткойни са откраднати по време на тази атака. Но тя показва, че организаторите й са готови да стигнат далеч, за да постигнат целта си. Те първо компрометират платформа за измерване на интернет трафик, за д амогат след това да пробият и борса за криптовалути“, коментират от ESET.
По данни на компанията дневно в geto.io се правят трансакции в биткойн на стойност 1.6 млн. долара