В первом случае хакеры воспользовались магазином Google Play, разместив там приложение для управления кошельком Trezor со смартфона.
Учитывая многофакторность защиты холодного кошелька, его невозможно взломать внешними программами Ключи хранятся внутри, а пароли принимаются непосредственно при вводе с устройства, но злоумышленники не стремились атаковать Trezor.
После скачивания приложения и ввода персональных данных аккаунта, пользователя переадресовывали на сайт Coin Wallet – горячего кошелька, поддерживающего 13 видов криптовалют. Установившим его пользователям после запуска в работу, выдавался не случайный адрес, а кошелек хакеров. Злоумышленники без проблем и взломов завладевали отправленным на него депозитом.
Еще более оригинально поступили владельцы сервиса WalletGenerator, генерирующего случайные ключи для «бумажных кошельков» Bitcoin и других криптовалют. Обычно такие сервисы уличают в злонамеренности, легко обнаружив передачу информации на удаленные сервера.
WalletGenerator никуда не передавал данные ключей, это было незачем делать, потому что на сайте повторялась одна и также комбинация якобы «случайно» сгенерированных ключей. Хакеры просто могли зайти на сайт и «списать» этот адрес.
В среднем, посещаемость сайта составляет 140 тыс пользователей за сутки. Мало кто из них обращает внимание, что все ключи на самом деле похожи друг на друга. После того, как IT-специалисты из MyCrypto обратились за разъяснениями к администратору сервиса, уязвимость была устранена.