Solana–TON-tømmingskampanjer har utviklet seg til en alvorlig trussel mot kryptobrukere etter at forskere knyttet dem til russiskspråklige cyberkriminelle grupper. Kampanjene benytter wallet-drainere som er utviklet for å stjele digitale eiendeler etter at ofre har godkjent ondsinnede transaksjoner. Etterforskere opplyser at aktiviteten viser tegn til koordinering, gjenbruk av infrastruktur og profesjonelle strategier for inntektsgenerering.
Funnene illustrerer hvordan kryptokriminalitet fortsetter å modnes. I stedet for isolerte svindler driver angripere nå organiserte operasjoner som retter seg mot flere blokkjeder og raskt tilpasser seg sikkerhetstiltak.
Hvordan tømmingskampanjene fungerer
Angriperne bak Solana–TON-tømmingskampanjene bruker phishing-nettsteder som utgir seg for å være legitime kryptotjenester. Nettstedene ber brukere om å koble til lommebøkene sine under falske påskudd, som token-krav, airdrops eller forespørsler om kontoverifisering.
Når et offer kobler til en lommebok, ber det ondsinnede nettstedet om transaksjonsgodkjenninger som gir tilgang til eiendelene. Draineren overfører deretter tokens til angriperkontrollerte lommebøker i løpet av sekunder. Ofre forblir ofte uvitende helt til saldoen tømmes.
Forskere observerte at den samme tømmelogikken dukket opp i både Solana- og TON-økosystemene. Denne gjenbruken peker mot en felles backend-infrastruktur snarere enn uavhengige aktører.
Koblinger til russiskspråklige cyberkriminelle
Etterforskere knyttet kampanjene til russiskspråklige trusselaktører basert på språklige indikatorer, gjenbrukte kodemønstre og overlappende infrastruktur. Operatørene markedsførte wallet-drainere på undergrunnsfora og meldingskanaler som ofte brukes av russiske cyberkriminelle miljøer.
Noen angripere tilbød drainere som en tjeneste, slik at samarbeidspartnere kunne lansere phishing-kampanjer mot en andel av de stjålne midlene. Denne modellen speiler andre kriminelle økosystemer som satser på skala fremfor individuell målretting.
Analysen baserte seg ikke kun på språklige antakelser. Analytikere identifiserte gjentatt gjenbruk av de samme lommebøkene, identiske phishing-maler og delte hostingtjenester på tvers av flere kampanjer.
Omfang og økonomiske konsekvenser
Solana–TON-tømmingskampanjene førte til betydelige økonomiske tap. Angripere stjal midler fra tusenvis av lommebøker på tvers av begge nettverkene. Kampanjene rettet seg primært mot privatbrukere fremfor store institusjoner, noe som gjorde det mulig å operere mer i det skjulte og unngå rask oppdagelse.
Ved å utnytte flere blokkjeder kunne angriperne spre risikoen. Når sikkerhetsteam stengte én kampanje, flyttet operatørene trafikken til nye domener eller fokuserte på et annet økosystem. Denne fleksibiliteten bidro til å opprettholde jevne tyverivolumer.
Hvorfor kampanjene er vanskelige å stanse
Wallet-drainere utnytter en grunnleggende svakhet i desentraliserte systemer. Blokkjedetransaksjoner krever brukerens godkjenning, og angripere manipulerer denne tilliten gjennom villedende grensesnitt. Når en transaksjon først er gjennomført, kan nettverket ikke reversere den.
Phishing-nettsteder endres også hyppig. Angripere roterer domener, hostingleverandører og lommebokadresser for å omgå nedstengninger. Dette tvinger forsvarere til å reagere i etterkant fremfor å forhindre angrep fullstendig.
Risikoer for kryptobrukere
Kampanjene viser hvordan selv erfarne brukere kan bli offer for sofistikerte svindler. Angripere kopierer ofte ekte prosjekt-branding og timesetter angrepene til legitime hendelser, som airdrops. Dette skaper tidspress og senker terskelen for skepsis.
Brukere som samhandler med ukjente lenker, godkjenner uklare transaksjoner eller benytter uoffisielle supportkanaler, løper størst risiko. Maskinvarelommebøker og transaksjonssimulatorer kan redusere eksponeringen, men eliminerer ikke trusselen fullstendig.
Konklusjon
Solana–TON-tømmingskampanjene viser hvordan organisert kryptokriminalitet har utviklet seg til en skalerbar forretningsmodell. Russiskspråklige cyberkriminelle bruker delt infrastruktur, phishing-maler og automatiserte drainere for å angripe brukere på tvers av flere blokkjeder. Etter hvert som kampanjene fortsetter å tilpasse seg, forblir økt brukerbevissthet og sterkere sikkerhetstiltak i lommebøker avgjørende for å begrense fremtidige tap.
0 svar til “Solana- og TON-tømmingskampanjer knyttes til russiske kryptokriminelle”