538 mln USD skradzione przez drainers: portfele ETH i SOL łączą siły, aby w czasie rzeczywistym blokować phishing

SEAL, organizacja non-profit zajmująca się bezpieczeństwem, która od końca 2023 roku zakłóca działalność crypto drainerów, uruchomiła 22 października sieć obrony przed phishingiem w czasie rzeczywistym we współpracy z MetaMask, WalletConnect, Backpack i Phantom.

Koalicja wdraża technologię Verifiable Phishing Reports, która umożliwia użytkownikom przesyłanie kryptograficznie poświadczonych dowodów na istnienie złośliwych stron, omijając tym samym wąskie gardło ręcznej weryfikacji, które pozwala drainerom szybciej rotować infrastrukturą niż obrońcy są w stanie reagować.

Zgodnie z raportami CertiK publikowanymi w ciągu roku, do 30 września skradziono około 538 milionów dolarów w wyniku ataków phishingowych. Szacunek ten nie obejmuje exploita na Bybit w lutym, który wyniósł 1.4 miliarda dolarów.

Współpraca ta odpowiada na cykl eskalacji, w którym drainerzy dostosowywali się do każdej kolejnej metody ograniczania zagrożeń.

Kiedy SEAL przyspieszył aktualizacje eth-phishing-detect, operatorzy drainerów częściej zmieniali strony docelowe.

Kiedy dostawcy infrastruktury blokowali nadużycia hostingowe, drainerzy migrowali do zagranicznych usług bulletproof. Gdy SEAL wdrożył automatyczne skanowanie za pomocą swojego Phishing Bot, drainerzy zastosowali techniki maskowania i antyfingerprintingu, aby uniknąć wykrycia.

Efektem była wyścig zbrojeń sprzyjający atakującym, którzy zachowywali inicjatywę, podczas gdy obrońcy mieli trudności ze skalowaniem weryfikacji zgłoszeń.

Verifiable Phishing Reporter zmienia ten model działania. Użytkownicy przesyłają raporty zawierające dokładną treść serwowaną przez podejrzaną stronę phishingową, wraz z poświadczeniem TLS potwierdzającym, że treść nie została sfałszowana.

SEAL przetwarza te zgłoszenia w czasie rzeczywistym bez ręcznej selekcji, omijając techniki maskowania, które ukrywają złośliwe ładunki przed automatycznymi skanerami.

Koalicja przekazuje zweryfikowane raporty do kompleksowego systemu wykrywania, który blokuje domeny phishingowe i ryzykowne interakcje z kontraktami w portfelach uczestniczących w projekcie, zamieniając lokalną wiedzę w ochronę całej sieci.

Ohm Shah, badacz bezpieczeństwa w MetaMask, stwierdził:

„Drainerzy to nieustanna gra w kotka i myszkę, jak większość zagadnień bezpieczeństwa. Współpraca z SEAL i ich niezależnymi badaczami pozwala zespołom portfeli takim jak MetaMask działać bardziej elastycznie i skutecznie wdrażać badania SEAL w praktyce, co utrudnia życie drainerom.”

Derek Rein, CTO WalletConnect, dodał, że partnerstwo rozszerza ochronę dla WalletConnect Certified wallets, które już ostrzegają użytkowników przed znanymi stronami scamowymi.

Armani Ferrante, CEO Backpack, określił integrację jako część misji portfela mającej na celu zwiększenie bezpieczeństwa posiadania aktywów cyfrowych, podczas gdy Kim Persson, starszy inżynier w Phantom, podkreślił, że bezpieczeństwo domen i użytkowników pozostaje kluczowym priorytetem.

Mierzenie sukcesu

Skuteczność sieci może opierać się na trzech filarach: mniejszej liczbie użytkowników tracących środki, szybszej neutralizacji zagrożeń oraz wysokiej jakości wykryciach, mierzonych względem stanu sprzed uruchomienia i grupy kontrolnej.

Głównym wskaźnikiem jest wskaźnik strat na aktywnego użytkownika, np. straty w dolarach spowodowane phishingiem na 1 000 miesięcznie aktywnych portfeli, które można oszacować na podstawie klastrów drainerów on-chain, zgłoszeń ofiar i telemetrii portfeli.

Szybkość definiuje drugi poziom pomiaru. Time-to-protect śledzi medianę i 95. percentyl czasu od pierwszego Verifiable Phishing Report do ostrzeżenia lub blokady w portfelu.

Time-to-neutralize osobno mierzy wektory webowe, czas od zgłoszenia do propagacji na listę blokowanych i usunięcia strony, oraz wektory on-chain, gdzie zgłoszenia uruchamiają przechwycenie ryzykownych kontraktów lub adresów.

Utrzymujące się skrócenie tych interwałów powinno korelować z niższymi rzeczywistymi stratami.

Zasięg i jakość stanowią trzeci filar. Recall mierzy odsetek znanych domen i adresów phishingowych oznaczonych przed pierwszą transakcją ofiary, potwierdzony przez niezależne źródła i dochodzenia po incydencie.

Precyzja jest mierzona jako jeden minus wskaźnik fałszywie pozytywnych, potwierdzony przez kolejne czyste poświadczenia TLS i odwołania użytkowników.

Dodatkowe kontrole jakości obejmują odsetek działań sieciowych popartych ważnymi poświadczeniami TLS, wskaźniki deduplikacji między zgłaszającymi oraz medianę czasu życia domeny po pierwszym poświadczeniu.

Metryki behawioralne pokażą, czy ochrona zmienia zachowania użytkowników. Wskaźnik deflection dzieli liczbę ostrzeżeń, które prowadzą do porzucenia ryzykownych działań przez łączną liczbę wyświetlonych ostrzeżeń, podczas gdy blocked-sign rate liczy transakcje zatrzymane na stałe.

Organizacja zaprasza kolejne portfele do dołączenia do sieci i zachęca badaczy bezpieczeństwa oraz użytkowników do współpracy poprzez klienta Verifiable Phishing Reporter dostępnego na jej stronie.

Artykuł $538M stolen by drainers: ETH & SOL wallets unite with real-time phishing blocks pojawił się najpierw na CryptoSlate.