Solana–TON-tömningskampanjer har vuxit fram som ett allvarligt hot mot kryptoanvändare efter att forskare kopplat dem till ryskspråkiga cyberkriminella grupper. Kampanjerna bygger på plånbokstömmande verktyg som är utformade för att stjäla digitala tillgångar efter att offer godkänt skadliga transaktioner. Utredare uppger att aktiviteten visar tecken på samordning, återanvänd infrastruktur och professionella strategier för monetisering.
Fynden visar hur kryptobrottslighet fortsätter att mogna. I stället för isolerade bedrägerier driver angripare nu organiserade operationer som riktar in sig på flera blockkedjor och snabbt anpassar sig till nya säkerhetsåtgärder.
Hur tömningskampanjerna fungerar
Angriparna bakom Solana–TON-tömningskampanjerna använder nätfiskesajter som utger sig för att vara legitima kryptotjänster. Sajterna uppmanar användare att ansluta sina plånböcker under falska förevändningar, exempelvis tokenutdelningar, airdrops eller verifiering av konton.
När ett offer ansluter sin plånbok begär den skadliga sajten transaktionsgodkännanden som ger åtkomst till tillgångarna. Dräneringsverktyget överför därefter tokens till angriparkontrollerade plånböcker inom några sekunder. Offren förblir ofta omedvetna tills saldot plötsligt töms.
Forskare observerade att samma dräneringslogik förekom i både Solana- och TON-ekosystemen. Denna återanvändning tyder på en gemensam backend-infrastruktur snarare än fristående aktörer.
Kopplingar till ryskspråkiga cyberkriminella
Utredare knöt tömningskampanjerna till ryskspråkiga hotaktörer baserat på språkindikatorer, återanvända kodmönster och överlappande infrastruktur. Operatörerna marknadsförde plånbokstömmande tjänster på underjordiska forum och meddelandekanaler som ofta används av ryska cyberkriminella nätverk.
Vissa angripare erbjöd dräneringsverktyg som en tjänst, vilket gjorde det möjligt för affilierade aktörer att starta nätfiskekampanjer i utbyte mot en andel av de stulna tillgångarna. Modellen liknar andra cyberkriminella ekosystem som bygger på skala snarare än individuella mål.
Analysen baserades inte enbart på språkliga antaganden. Analytiker identifierade upprepad användning av samma plånböcker, identiska nätfiskemallar och delade värdtjänster i flera kampanjer.
Omfattning och ekonomisk påverkan
Solana–TON-tömningskampanjerna har lett till betydande ekonomiska förluster. Angripare stal tillgångar från tusentals plånböcker över båda nätverken. Kampanjerna riktade främst in sig på privatpersoner snarare än stora institutioner, vilket gjorde det möjligt att agera mer diskret och undvika snabb upptäckt.
Genom att använda flera blockkedjor kunde angriparna sprida riskerna. När säkerhetsteam blockerade en kampanj flyttade operatörerna trafiken till nya domäner eller fokuserade på ett annat ekosystem. Denna flexibilitet bidrog till att upprätthålla en jämn nivå av stölder.
Varför kampanjerna är svåra att stoppa
Plånbokstömmande attacker utnyttjar en grundläggande svaghet i decentraliserade system. Blockkedjetransaktioner kräver användarens godkännande, och angripare manipulerar detta förtroende genom vilseledande gränssnitt. När en transaktion väl har genomförts kan nätverket inte återställa den.
Nätfiskesajter förändras dessutom snabbt. Angripare roterar domäner, värdleverantörer och plånboksadresser för att undvika nedstängningar. Det tvingar försvarare att reagera i efterhand snarare än att helt förebygga angrepp.
Risker för kryptoanvändare
Kampanjerna visar hur även erfarna användare kan falla offer för avancerade bedrägerier. Angripare kopierar ofta verklig projektbranding och tajmar sina attacker till legitima händelser, såsom airdrops. Det skapar tidspress och minskar användarnas skepsis.
Användare som klickar på okända länkar, godkänner otydliga transaktioner eller förlitar sig på inofficiella supportkanaler löper störst risk. Hårdvaruplånböcker och transaktionssimulatorer kan minska exponeringen, men eliminerar inte hotet helt.
Slutsats
Solana–TON-tömningskampanjerna visar hur organiserad kryptobrottslighet har utvecklats till en skalbar affärsmodell. Ryskspråkiga cyberkriminella använder delad infrastruktur, nätfiskemallar och automatiserade dräneringsverktyg för att angripa användare över flera blockkedjor. I takt med att dessa kampanjer fortsätter att anpassa sig förblir användarmedvetenhet och starkare skydd i plånböcker avgörande för att begränsa framtida förluster.
0 svar till ”Solana- och TON-tömningskampanjer kopplas till ryska kryptokriminella”