Криптоказино Duelbits лишилось $4,6 млн в результате взлома

В ночь на 14 февраля хакеры атаковали криптовалютное казино Duelbits и вывели средства на $4,6 млн благодаря компрометации закрытого ключа. Об этом сообщили аналитики CertiK.

#CertiKSkynetAlert ?

Last night @Duelbits was exploited and assets worth ~$4.6m were taken in a possible private key compromise (PKC).

All assets were swapped for ETH which currently sits in EOA 0x0428 ? pic.twitter.com/MzNqAzBExb

— CertiK Alert (@CertiKAlert) February 14, 2024

По данным исследователей, злоумышленники вывели хранящиеся на платформе активы, конвертировали их в ETH и отправили на другой адрес. 

Согласно Cyvers Alert, взлом стал возможен из-за утраты доступа к кошельку. Атака затронула сети Ethereum и BNB Chain.

Root cause seems to be loss of wallet access control.
Address already swapped $USDT, $APE, $SHIB to $ETH. Some of the digital assets are bridged from $BNB to $ETH.

We tried to reach the team but no response were given!
Attacker address: https://t.co/nEHiNTfZas

Please reach to…

— ? Cyvers Alerts ? (@CyversAlerts) February 13, 2024

Представители Duelbits пока не отреагировали на инцидент, а также не ответили на предупреждения компаний по кибербезопасности. 

Параллельно в Blockaid сообщили об обнаружении нового фишинга, организованного группировкой Angel Drainer. 

Today our researchers discovered yet another emerging attack vector from the Angel Drainer group — this time phishing users and leading them to a single Safe Vault contract where 128 wallets have been drained of $403k+ so far. All Blockaid-protected users are safe. ? pic.twitter.com/niffQDlciG

— Blockaid (@blockaid_) February 13, 2024

По данным аналитиков, хакеры развернули смарт-контракт в Safe Vault, который крадет средства пользователей. Жертвами новой схемы уже стали 128 кошельков, в общей сложности потеряв приблизительно $403 000 в криптовалюте.

Напомним, 12 февраля хакер в результате повторного взлома игровой блокчейн-платформы PlayDapp выпустил 1,59 млрд токенов PLA на $253,9 млн по рыночной цене.

Первый инцидент произошел 9 февраля. Тогда неизвестный заминтил с неавторизованного кошелька 200 млн PLA ($36,5 млн).

В январе ущерб криптоиндустрии от взломов и мошенничества составил ~$126,8 млн, согласно Immunefi.