Команда Webaverse потеряла $4 млн в USDC после встречи с «инвестором»

Злоумышленники украли около $4 млн в USDC у геймингового NFT-проекта Webaverse после того, как сфотографировали экран с балансом в кошельке Trust Wallet при личной встрече.

full story https://t.co/vdkAHyBaG9

— 0xngmi (aggregatoor arc) (@0xngmi) February 6, 2023

По словам сооснователя Webaverse Ахада Шамса, с командой связался человек, который представился инвестором в Web3-компании по имени Джозеф Сафра.

Он сказал, что его уже обманывали представители отрасли, поэтому он выдвинул ряд требований. «Сафра» предложил прилететь для обсуждения инвестиций в Рим и подтвердить наличие средств у проекта. Сославшись на слабое знакомство с криптокошельками, он попросил воспользоваться Trust Wallet, интерфейс которого ему понятен.

Шамс по прибытии в Рим поужинал с «Сафрой» и его «адвокатом». На следующий день состоялась встреча с участием «банкира», на которой команда Webaverse должна была показать свои фонды.

«Мы создали новый кошелек Trust Wallet еще дома на устройстве, которое не использовали для взаимодействия с ними. Мы были уверены, что без наших приватных ключей или сид-фраз средства так или иначе будут в безопасности», — подчеркнул Шамс.

Он отметил, что около 4 млн USDC они перевели в кошелек уже сидя напротив «инвестора». После этого «Сафра» попросил сфотографировать экран баланса. По словам Шамса, просьба насторожила, но никакой приватной информации на вкладке не было.

Сделав несколько снимков, злоумышленники заявили, что им нужно выйти и посоветоваться. Назад они уже не вернулись.

Через несколько минут средства из кошелька исчезли. Скамеры конвертировали активы в ETH, wBTC и USDT через 1inch, распределив сумму по 14 адресам.

Шамс подал заявление в полицию Рима и обратился в Федеральное бюро расследований США. 

Он и команда пока технически не могут объяснить, как злоумышленники получили доступ к фондам.

CEO ZenGo, разработчика одноименного криптокошелька, Уриэль Охайон предположил две возможности:

• скачивание заведомо инфицированного релиза приложения;
• передача смартфона с открытым кошельком в руки скамеру, которому достаточно малозаметного движения пальца, чтобы перейти на вкладку настройки безопасности с сид-фразой.

this story makes no sense.

the only way the funds were stolen is either because they installed a malicious version or because the scammer had *physical* access to the phone and took it in hands and move the security settings and took picture of the seed without them noticing.

— Ouriel @ZenGo (@OurielOhayon) February 7, 2023

Напомним, в декабре 2022 года неизвестные взломали кошелек BitKeep и украли активы пользователей на сумму ~$8 млн. Хакеры внедрили вредоносный код в скачиваемый файл приложения для Android.