$538M na ninakaw ng mga drainer: ETH at SOL wallets nagsanib-puwersa gamit ang real-time phishing blocks

Ang SEAL, ang nonprofit security organization na nagpatigil sa mga operasyon ng crypto drainer mula pa noong huling bahagi ng 2023, ay naglunsad ng real-time phishing defense network noong Oktubre 22 sa pakikipagtulungan sa MetaMask, WalletConnect, Backpack, at Phantom.

Ang koalisyon ay nag-deploy ng Verifiable Phishing Reports technology, na nagpapahintulot sa mga user na magsumite ng cryptographically attested na ebidensya ng mga malisyosong site, kaya nalalampasan ang manu-manong pagsusuri na nagiging dahilan upang mas mabilis makapagpalit ng infrastructure ang mga drainer kaysa sa kakayahan ng mga defender na tumugon.

Ayon sa mga ulat ng CertiK na inilathala sa buong taon, humigit-kumulang $538 milyon ang nanakaw sa pamamagitan ng phishing attacks hanggang Setyembre 30. Hindi kasama sa pagtatayang ito ang $1.4 billion na exploit laban sa Bybit noong Pebrero.

Tinutugunan ng kolaborasyon ang isang cycle ng paglala kung saan ang mga drainer ay umaangkop sa bawat mitigation.

Nang pinabilis ng SEAL ang mga update sa eth-phishing-detect, mas madalas na nagpapalit ng landing pages ang mga drainer operator.

Nang harangin ng mga infrastructure provider ang mga abusadong hosting, lumipat ang mga drainer sa offshore bulletproof services. Nang nagpatupad ang SEAL ng automated scanning sa pamamagitan ng Phishing Bot nito, nag-deploy ang mga drainer ng cloaking at anti-fingerprinting measures upang makaiwas sa detection.

Ang resulta ay isang arms race na pabor sa mga attacker, na nananatiling may inisyatiba habang nahihirapan ang mga defender na mag-validate ng mga submission sa malakihang antas.

Binabago ng Verifiable Phishing Reporter ang engagement model. Ang mga user ay nagsusumite ng mga ulat na naglalaman ng eksaktong nilalaman na inihain ng pinaghihinalaang phishing site, kalakip ang TLS attestation na nagpapatunay na ang nilalaman ay hindi peke.

Pinoproseso ng SEAL ang mga submission na ito nang real time nang walang manu-manong triage, kaya nalalampasan ang mga cloaking technique na nagtatago ng malisyosong payload mula sa automated scanners.

Ang koalisyon ay naglalagay ng mga validated report sa isang end-to-end detection system na nagba-block ng phishing domains at mapanganib na contract interactions sa lahat ng kasaling wallets, na ginagawang network-wide protection ang localized intelligence.

Sinabi ni Ohm Shah, security researcher sa MetaMask:

“Ang mga drainer ay parang isang walang katapusang laro ng taguan tulad ng karamihan sa security, sa pakikipagtulungan sa SEAL at sa kanilang mga independent researcher, pinapayagan nito ang mga wallet team tulad ng MetaMask na maging mas mabilis at mailapat ang research ng SEAL sa praktika, na epektibong nagdudulot ng abala sa infra ng drainer.”

Idinagdag ni Derek Rein, CTO ng WalletConnect, na pinalalawak ng partnership ang proteksyon para sa WalletConnect Certified wallets, na dati nang nagbababala sa mga user tungkol sa mga kilalang scam site.

Inilarawan ni Armani Ferrante, CEO ng Backpack, ang integration bilang bahagi ng misyon ng wallet na gawing mas secure ang pagmamay-ari ng digital asset, habang binigyang-diin ni Kim Persson, senior engineer sa Phantom, na ang domain security at kaligtasan ng user ay nananatiling pangunahing prayoridad.

Pagsusukat ng tagumpay

Maaaring nakasalalay ang bisa ng network sa tatlong haligi: mas kaunting user ang nawawalan ng pondo, mas mabilis na neutralisasyon ng banta, at mataas na kalidad ng detections na sinusukat laban sa pre-launch baseline at matched control.

Ang pangunahing metric ay loss rate per active user, tulad ng dollar-denominated losses sa phishing kada 1,000 monthly active wallets, na maaaring tantiyahin mula sa on-chain drainer clusters, self-report ng biktima, at wallet telemetry.

Ang bilis ang tumutukoy sa pangalawang antas ng pagsukat. Ang Time-to-protect ay sumusubaybay sa median at 95th-percentile na tagal mula sa unang Verifiable Phishing Report hanggang sa in-wallet warning o block.

Ang Time-to-neutralize ay hiwalay na sumusukat sa web vectors, mula sa report hanggang sa propagation ng blocklist hanggang sa site takedown, at on-chain vectors, kung saan ang mga report ay nagti-trigger ng interception ng mapanganib na contracts o address.

Ang patuloy na pagbawas sa mga interval na ito ay dapat na tumutugma sa mas mababang aktwal na pagkalugi.

Ang coverage at kalidad ang bumubuo sa ikatlong haligi. Ang recall ay sumusukat sa bahagi ng mga kilalang phishing domains at address na na-flag bago ang unang victimized transaction, na na-validate laban sa independent sources at post-incident investigations.

Ang precision ay sinusukat bilang isa bawas ang false-positive rate, na kinukumpirma sa pamamagitan ng kasunod na malinis na TLS attestations at user appeals.

Kasama sa karagdagang quality checks ang bahagi ng network actions na suportado ng valid TLS attestations, deduplication rates sa mga reporter, at median domain lifetime pagkatapos ng unang attestation.

Ipinapakita ng behavioral metrics kung binabago ng mga proteksyon ang kilos ng user. Ang deflection rate ay hinahati ang bilang ng mga babala na nagdulot ng pag-abandona ng mapanganib na aksyon sa kabuuang bilang ng mga ipinakitang babala, habang ang blocked-sign rate ay binibilang ang mga transaksyong tuluyang nahinto.

Inaanyayahan ng organisasyon ang karagdagang wallets na sumali sa network at hinihikayat ang mga security researcher at user na mag-ambag sa pamamagitan ng Verifiable Phishing Reporter client na makukuha sa kanilang site.

Ang post na $538M na nanakaw ng mga drainer: ETH & SOL wallets nagkaisa gamit ang real-time phishing blocks ay unang lumabas sa CryptoSlate.