Викрадено $538M drainers: ETH і SOL гаманці об'єднуються для блокування фішингу в реальному часі

SEAL, неприбуткова організація з безпеки, яка з кінця 2023 року порушує роботу крипто-дрейнерів, 22 жовтня запустила мережу захисту від фішингу в реальному часі у партнерстві з MetaMask, WalletConnect, Backpack та Phantom.

Коаліція впроваджує технологію Verifiable Phishing Reports, яка дозволяє користувачам надсилати криптографічно підтверджені докази шкідливих сайтів, тим самим обходячи вузьке місце ручної перевірки, що дозволяє дрейнерам змінювати інфраструктуру швидше, ніж захисники можуть реагувати.

Згідно з доповідями CertiK, опублікованими протягом року, станом на 30 вересня близько $538 мільйонів було викрадено внаслідок фішингових атак. Ця оцінка не враховує експлойт на $1.4 billions проти Bybit у лютому.

Співпраця спрямована на вирішення циклу ескалації, в якому дрейнери пристосовуються до кожної нової протидії.

Коли SEAL прискорив оновлення eth-phishing-detect, оператори дрейнерів почали частіше змінювати цільові сторінки.

Коли провайдери інфраструктури блокували зловживання хостингом, дрейнери мігрували до офшорних bulletproof-сервісів. Коли SEAL впровадив автоматизоване сканування через свого Phishing Bot, дрейнери застосували методи клоакінгу та антифінгерпринтингу для уникнення виявлення.

У результаті виникла гонка озброєнь на користь атакуючих, які зберігали ініціативу, тоді як захисники боролися з масштабною валідацією повідомлень.

Verifiable Phishing Reporter змінює модель взаємодії. Користувачі надсилають звіти, що містять точний контент, який надає підозрюваний фішинговий сайт, разом із TLS-підтвердженням, яке доводить, що контент не був підроблений.

SEAL обробляє ці повідомлення в реальному часі без ручної перевірки, обходячи методи клоакінгу, які приховують шкідливі навантаження від автоматизованих сканерів.

Коаліція передає підтверджені звіти в наскрізну систему виявлення, яка блокує фішингові домени та ризиковані взаємодії з контрактами у всіх гаманцях-учасниках, перетворюючи локалізовану інформацію на захист усього мережевого простору.

Ом Шах, дослідник безпеки з MetaMask, заявив:

“Дрейнери — це постійна гра в кішки-мишки, як і більшість питань безпеки. Працюючи разом із SEAL та їхніми незалежними дослідниками, це дозволяє командам гаманців, таким як MetaMask, бути більш гнучкими та ефективно впроваджувати дослідження SEAL на практиці, що значно ускладнює життя дрейнерам.”

Дерек Рейн, CTO WalletConnect, додав, що партнерство розширює захист для WalletConnect Certified гаманців, які вже попереджають користувачів про відомі шахрайські сайти.

Армані Ферранте, CEO Backpack, охарактеризував інтеграцію як частину місії гаманця зробити володіння цифровими активами більш безпечним, а Кім Перссон, старший інженер Phantom, підкреслив, що безпека доменів і користувачів залишаються ключовими пріоритетами.

Вимірювання успіху

Ефективність мережі може ґрунтуватися на трьох стовпах: менше користувачів втрачають кошти, швидше нейтралізуються загрози, а якість виявлення оцінюється відносно базового рівня до запуску та контрольної групи.

Основний показник — це рівень втрат на одного активного користувача, наприклад, втрати у доларах від фішингу на 1 000 щомісячно активних гаманців, які можна оцінити за допомогою кластерів дрейнерів у ланцюжку, самозвітів жертв і телеметрії гаманців.

Швидкість визначає другий рівень вимірювання. Time-to-protect відстежує медіану та 95-й процентиль часу від першого Verifiable Phishing Report до попередження чи блокування у гаманці.

Time-to-neutralize окремо вимірює веб-вектори — від звіту до поширення у блоклисті та видалення сайту, і ончейн-вектори, де звіти запускають перехоплення ризикованих контрактів або адрес.

Стійке скорочення цих інтервалів має корелювати зі зниженням фактичних втрат.

Охоплення та якість формують третій стовп. Recall відображає частку відомих фішингових доменів і адрес, позначених до першої транзакції жертви, підтверджених незалежними джерелами та розслідуваннями після інциденту.

Точність вимірюється як один мінус рівень хибнопозитивних спрацьовувань, підтверджених подальшими чистими TLS-підтвердженнями та апеляціями користувачів.

Додаткові перевірки якості включають частку дій у мережі, підкріплених дійсними TLS-підтвердженнями, рівень дедуплікації серед репортерів і медіанний час життя домену після першого підтвердження.

Поведінкові метрики покажуть, чи змінює захист дії користувачів. Deflection rate — це відношення кількості попереджень, які призвели до відмови від ризикованих дій, до загальної кількості показаних попереджень, а blocked-sign rate рахує транзакції, які були повністю зупинені.

Організація запрошує додаткові гаманці приєднатися до мережі та закликає дослідників безпеки й користувачів долучатися через клієнт Verifiable Phishing Reporter, доступний на її сайті.

Публікація $538M stolen by drainers: ETH & SOL wallets unite with real-time phishing blocks вперше з’явилася на CryptoSlate.