From 4/12 to 4/21, close to $4.31 million in assets were maliciously transferred to terra1fz57nt6t3nnxel6q77wsmxxdesn7rgy0h27x3 from about 52 different addresses.
— SlowMist (@SlowMist_Team) April 21, 2022
Атакующий использовал фишинговые рекламные объявления в Google. По мнению аналитиков фирмы, расчет был на то, что пользователи будут искать известные проекты экосистемы Terra вроде Anchor или Astroport.
Поиск выдавал в первых строчках результаты, похожие на реальный сайт. В некоторых случаях даже указывалось корректное доменное имя, но оно менялось после перехода по ссылке.
Our security team conducted an analysis of this incident and discovered that the bulk of this attack was from google phishing ads. Users would search well know projects on the Terra blockchain such as @anchor_protocol or @astroport_fi only to click on the first link by google. pic.twitter.com/aucIcnsCd7
— SlowMist (@SlowMist_Team) April 21, 2022
В открывающемся окне жертве предлагали подключить свой кошелек и ввести seed-фразу. Это позволяло несанкционированно вывести из него активы.
These may look like normal ads and some even show the same domain names, but once you click on the link, the domain name actually changes. When clicked, it'll prompt you to connect your wallet, however instead of connecting, users are asked to input their seed phrase. pic.twitter.com/OZjifaJ17m
— SlowMist (@SlowMist_Team) April 21, 2022
Специалисты SlowMist рекомендовали пользователям Terra не переходить по рекламе Google или по ссылкам на сомнительные ресурсы.
За десять дней на кошелек злоумышленника поступили средства с 54 различных адресов.
