Ukryte włamanie: czym jest atak „zero-click” w świecie kryptowalut

Wyobraź sobie: niczego nie klikasz, a jednak twój portfel kryptowalutowy został zhakowany. Brzmi jak fantastyka? To rzeczywistość ataku zero-click.

Wyjaśniamy, jak działa ta metoda, czy twój portfel kryptowalutowy może zostać zhakowany i co zrobić, aby temu zapobiec.

Czym jest atak zero-click

Atak zero-click (od ang. zero-click attack) — to rodzaj włamania hakerskiego, w którym ofiara nie musi klikać w linki, otwierać plików ani wykonywać żadnych działań. Wszystko dzieje się bez jej udziału. Wystarczy podatna aplikacja lub urządzenie.

Hakerzy wykorzystują luki w oprogramowaniu (np. w systemie operacyjnym smartfona albo w samej aplikacji portfela), aby przejąć kontrolę nad urządzeniem lub wyciągnąć klucze prywatne.

Typowe cele ataku zero-click:

• uzyskanie dostępu do portfela kryptowalutowego bez wiedzy użytkownika;

• kradzież kluczy prywatnych lub fraz seed;

• przelanie kryptowaluty na konta przestępców.

[info content="WAŻNE! Atak zero-click jest skomplikowany i zwykle stosowany przeciwko konkretnym celom. Jednak wraz z rozwojem narzędzi staje się coraz bardziej dostępny dla cyberprzestępców." color="yellow"]

Mechanizmy ataku

Atak zero-click różni się od typowych metod włamania tym, że nie wymaga interakcji użytkownika. Złodziej wykorzystuje exploity — specjalne programy lub kody, które wykorzystują luki w oprogramowaniu.

[info content="Najczęstsze cele to urządzenia mobilne z zainstalowanymi portfelami kryptowalut, ponieważ smartfon przechowuje klucze prywatne i jest stale podłączony do internetu." color="red"]

Scenariusz wygląda tak: haker znajduje lukę w systemie wymiany wiadomości, dekoderach multimediów, Bluetooth albo WebKit (silnik przeglądarki), wysyła specjalnie przygotowaną wiadomość lub żądanie, którego nie trzeba otwierać, i uzyskuje kontrolę nad częścią systemu. Dzięki temu może obejść PIN, biometrię lub zabezpieczenia aplikacji portfela.

Często exploit łączy kilka luk i działa z dokładnością co do wersji systemu operacyjnego. Dlatego regularne aktualizacje są krytycznie ważne.

Przykłady rzeczywistych ataków na portfele kryptowalutowe

Choć większość głośnych ataków zero-click dotyczy szpiegowskich narzędzi, takich jak Pegasus, w świecie kryptowalut także pojawiły się podobne przypadki.

• W 2022 roku specjaliści ds. bezpieczeństwa odkryli, że niektóre mobilne portfele na Androida z dostępem do WebView mogły zostać zhakowane bez kliknięć. Hakerzy wykorzystywali pliki HTML z wbudowanymi skryptami, które automatycznie uruchamiały się w systemowej przeglądarce wbudowanej w portfel. To pozwalało przechwytywać frazy seed lub inicjować ukryte żądania wypłat.

• Kolejny przykład to podatność w module Bluetooth jednego z popularnych portfeli sprzętowych. Pozwalała ona napastnikowi w zasięgu sygnału połączyć się z urządzeniem, przejąć część komunikacji i próbować zdobyć lub zmienić dane.

Jak wykryć i zapobiegać atakom zero-click

Największy problem z atakami zero-click polega na tym, że są niewidoczne. Użytkownik nie zauważa niczego podejrzanego, dopóki nie jest za późno. Wykrycie ich jest trudne nawet dla ekspertów, ponieważ często nie pozostawiają śladów w logach czy standardowych wskaźnikach aktywności.

Istnieją jednak pośrednie objawy, które mogą budzić podejrzenia: urządzenie szybciej się rozładowuje, przegrzewa, samo łączy się z internetem lub wykonuje działania bez udziału użytkownika. W przypadku portfeli kryptowalutowych sygnałem ostrzegawczym są znikające środki lub nieznane transakcje.

Aby zminimalizować ryzyko:

• korzystaj ze sprzętowych portfeli z ograniczoną łącznością zewnętrzną;

• wyłączaj niepotrzebne moduły w telefonie (zwłaszcza Bluetooth i NFC);

• regularnie aktualizuj system operacyjny i aplikacje;

• wybieraj portfele, które przeszły niezależny audyt bezpieczeństwa.

Co grozi ofierze ataku zero-click

Jeśli portfel kryptowalutowy został zhakowany przez atak zero-click konsekwencje mogą być krytyczne. Najczęstszy scenariusz to natychmiastowa utrata wszystkich środków przechowywanych w portfelu. Haker uzyskuje dostęp do klucza prywatnego lub frazy seed, a następnie przelewa kryptowalutę na własne adresy. Ze względu na anonimowość blockchainu odzyskanie środków jest praktycznie niemożliwe.

Oprócz bezpośrednich strat finansowych użytkownik ryzykuje również:

• utratę kontroli nad innymi powiązanymi portfelami (np. korzystającymi z tej samej frazy seed);

• kompromitację dostępu do platform DeFi, giełd czy kolekcji NFT;

• „wiecznie pusty” portfel — po kradzieży dana adresacja uważana jest za niebezpieczną do ponownego użycia.

[info content="Szczególnie narażone są osoby przechowujące duże sumy w gorących portfelach (na smartfonie lub w przeglądarce), bez dodatkowych warstw zabezpieczeń." color="yellow"]

Przypadki utraty środków

W 2023 roku odnotowano gwałtowny wzrost ataków kryptofishingowych. Według danych FBI, straty z powodu oszustw kryptowalutowych przekroczyły 5,6 mld USD — to o 45% więcej niż w 2022 roku. Największe kwoty pochodziły z inwestycyjnych oszustw — niemal 3,9 mld USD.

W takich atakach oszuści często łączą metody inżynierii społecznej z technicznymi exploitami, w tym zero-click, aby przejąć klucze prywatne lub frazy seed bez wyraźnej interakcji ze strony użytkownika.

Jak minimalizować ryzyko

Aby zmniejszyć prawdopodobieństwo włamania do portfela kryptowalutowego, warto stosować następujące zasady:

• przechowuj duże sumy wyłącznie na portfelach sprzętowych, które nie mają stałego dostępu do internetu;

• nie instaluj podejrzanego oprogramowania, zwłaszcza z niezweryfikowanych źródeł;

• włącz uwierzytelnianie dwuskładnikowe (2FA) wszędzie, gdzie to możliwe;

• regularnie aktualizuj aplikacje i system operacyjny;

• używaj oddzielnych urządzeń do przechowywania kryptowalut — bez dostępu do mediów społecznościowych, przeglądarek czy innych usług.

[info content="PORADA! Najlepsza strategia to dywersyfikacja ryzyka: trzymaj główne aktywa na zimnych portfelach, a do codziennych transakcji używaj oddzielnego portfela z niewielką kwotą." color="green"]

Środki zapobiegawcze

Aby atak zero-click nie był możliwy, stosuj podstawowe zasady:

• aktualizuj mobilny system operacyjny i aplikacje natychmiast po wydaniu nowych wersji;

• nie przechowuj frazy seed w notatkach, chmurze ani na zrzutach ekranu;

• wyłączaj Bluetooth, NFC i lokalizację, jeśli ich nie używasz;

• unikaj publicznych sieci Wi-Fi, zwłaszcza podczas logowania do portfela;

• nie otwieraj wiadomości ani plików od nieznanych kontaktów, nawet w Telegramie czy WhatsAppie.

Co robić przy podejrzeniu włamania

Jeśli zauważysz podejrzane transakcje albo niestabilne działanie portfela:

• natychmiast przelej środki na nowy adres z inną frazą seed;

• zainstaluj nowy portfel na innym urządzeniu;

• poinformuj społeczność lub dział wsparcia portfela — możliwe, że to luka o charakterze masowym;

• nie używaj ponownie skompromitowanego urządzenia.

[info content="WAŻNE! Jeśli istnieje podejrzenie, że twój portfel kryptowalutowy został zhakowany, nie próbuj „sprawdzać”, co jeszcze działa. Każde uruchomienie skompromitowanej aplikacji może dać hakerowi dodatkowy dostęp." color="red"]

Podsumowanie

Atak zero-click to jeden z najgroźniejszych rodzajów włamań, ponieważ użytkownik niczego nie podejrzewa i nie klika żadnych linków.

Aby nie paść ofiarą, ważne jest korzystanie ze sprawdzonych portfeli, regularne aktualizowanie oprogramowania, przechowywanie frazy seed offline oraz minimalizowanie ryzyka poprzez stosowanie rozwiązań sprzętowych.