Платформа безопасности блокчейна GoPlus 10 апреля выпустила срочное предупреждение: в EngageLab SDK, широко используемом для Android push-уведомлений, обнаружена критическая уязвимость. Она затрагивает более 50,000,000 пользователей Android, из которых около 30,000,000 — пользователи криптовалютных кошельков. Злоумышленники могут развернуть на устройствах жертв вредоносное ПО, выдающее себя за легитимные приложения, чтобы похищать приватные ключи криптокошельков и учетные данные для входа.
Технический принцип уязвимости: цепочка атак между приложениями с бесшумным выполнением
(Источник:GoPlus)
Ключевой дефект этой уязвимости заключается в том, что EngageLab SDK при обработке механизма обмена Intent-сообщениями в Android не проводит достаточную проверку источника. Intent — это легитимный механизм передачи команд между приложениями Android, однако реализация EngageLab SDK позволяет неавторизованным источникам обходить обычные процедуры проверки и инициировать выполнение целевым приложением чувствительных операций.
Полная цепочка атаки из трех шагов
Внедрение вредоносного приложения: злоумышленник маскирует вредоносное ПО под легитимное App и побуждает жертву установить его на том же Android-устройстве.
Инъекция вредоносного Intent: вредоносное App отправляет на том же устройстве интегрированным в систему криптокошелькам или финансовым приложениям специально сформированные вредоносные Intent-сообщения.
Выполнение действий с превышением полномочий: после получения Intent целевое приложение выполняет неавторизованные действия без ведома пользователя, включая кражу приватных ключей кошельков, учетных данных для входа и других чувствительных данных.
Наибольшая опасность этой цепочки атаки состоит в ее незаметности: жертве не требуется никаких активных действий. Достаточно, чтобы на устройстве одновременно присутствовали вредоносное приложение и приложение с уязвимой версией EngageLab SDK — и атака может завершиться в фоновом режиме.
Масштаб последствий: пользователи криптовалют сталкиваются с риском необратимой потери активов
EngageLab SDK как широко развернутый базовый компонент push-уведомлений встроен в тысячи Android-приложений, из-за чего масштаб воздействия достиг 50,000,000 устройств. Среди них пользователи криптовалютных кошельков — около 30,000,000.
Как только приватный ключ криптокошелька утечет, злоумышленник получает полный контроль над ончейн-активами жертвы. А поскольку транзакции в блокчейне имеют необратимый характер, такие потери практически невозможно вернуть; степень риска значительно выше, чем при обычных инцидентах с утечкой данных в приложениях.
Срочные меры реагирования: немедленный чек-лист действий для разработчиков и пользователей
Рекомендации по обеспечению безопасности с разбиением по группам
- Разработчики и производители приложений
· Немедленно проверьте, интегрирован ли в продукт EngageLab SDK, и убедитесь, что текущая версия ниже 4.5.5
· Обновитесь до EngageLab SDK 4.5.5 или более новой официальной исправленной версии (см. официальную документацию EngageLab)
· Переиздайте обновленную версию и сообщите пользователям, чтобы они как можно скорее завершили обновление
- Обычные пользователи Android
· Немедленно перейдите в Google Play и обновите все приложения, в первую очередь — криптовалютные кошельки и финансовые приложения
· Проявляйте настороженность к приложениям из неизвестных источников или неофициальных каналов загрузки; при необходимости немедленно удаляйте
· Если вы подозреваете, что приватный ключ уже утек, следует немедленно создать новый кошелек на безопасном устройстве, перенести активы и навсегда отключить старый адрес
Частые вопросы
Что такое EngageLab SDK и почему он широко интегрирован в криптовалютные кошельки?
EngageLab SDK — это сторонний программный пакет, предоставляющий функцию Android push-уведомлений. Благодаря простоте развертывания его используют многие приложения. Push-уведомления — практически стандартная функция для всех мобильных приложений, поэтому EngageLab SDK широко присутствует в криптовалютных кошельках и финансовых приложениях, что и привело к масштабу воздействия в 50,000,000 пользователей.
Как проверить, затронуто ли мое устройство этой уязвимостью?
Если на вашем Android-устройстве установлены криптовалютный кошелек или финансовое приложение и оно еще не обновлено до последней версии, существует риск быть затронутым. Рекомендуется немедленно обновить все приложения в магазине Google Play. Разработчики могут подтвердить, используют ли они EngageLab SDK версий ниже 4.5.5, проверив номер версии SDK внутри приложения.
Если приватный ключ уже утек, как действовать срочно?
Немедленно создайте новый адрес кошелька на незараженном безопасном устройстве, перенесите все активы исходного кошелька на новый адрес и навсегда отключите исходный адрес. Одновременно измените пароли входа на всех соответствующих платформах и включите двухфакторную аутентификацию для аккаунта, чтобы снизить риск дальнейших взломов.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Крипто-взломы подогревают дискуссию о токенизации Уолл-стрит
Высокопрофильные взломы в криптовалюте проверяют риски DeFi, но маловероятно что они сорвут токенизацию; институции предпочитают разрешенные блокчейны, тогда как более широкая токенизация должна взаимодействовать с DeFi; стейблкоины подвергаются проверке и могут столкнуться с регуляторным противодействием.
CryptoFrontier3ч назад
Volo Protocol потерял $3.5M в хаке на Sui, обязуется компенсировать убытки и заморозить средства хакера
Сообщение Gate News, 22 апреля — Volo Protocol, оператор доходных хранилищ на Sui, объявил вчера (21 апреля), что начал замораживать похищенные активы после эксплойта на $3.5 млн. Хакеры вывели WBTC, XAUm и USDG из Volo Vaults, что стало последним крупным инцидентом в сфере безопасности DeFi за исторически особенно тяжелый месяц для сектора.
GateNews7ч назад
Французская семья вынуждена перевести средства $820K в криптовалюте после вооруженного вторжения в дом
Сообщение Gate News, 22 апреля — Семью в Плоудальмезо, небольшом городе в Бретани, Франция, в понедельник (20 апреля) вторглись два вооруженных человека в масках, сообщает The Block. Троих взрослых связывали более трех часов и заставили перевести примерно 700,000 евро (около $820,000) в криптовалюте на кошельки, контролируемые злоумышленниками. Подозреваемые скрылись на автомобиле; позже транспортное средство было обнаружено полицией в Бресте, однако арестов пока не было.
Этот инцидент является частью более широкой тенденции во Франции. Французская судебная полиция зафиксировала более 40 похищений или грабежей, связанных с криптовалютой, за текущий год — по сравнению примерно с 30 случаями в 2025. Среди прежних жертв были родственники стримера, руководитель крупной криптобиржи и женщина-судья.
GateNews8ч назад
DOJ запустил процесс компенсаций для жертв мошенничества OneCoin: доступно $40M+ восстановленных активов
Сообщение Gate News, 22 апреля — Министерство юстиции США объявило о запуске процесса компенсаций для жертв схемы криптовалютного мошенничества OneCoin: более $40 миллиона восстановленных активов теперь доступны для распределения.
Мошенническая схема, действовавшая в период с 2014 по 2019 год под управлением Ружи
GateNews9ч назад
На создателей AI16Z и ELIZAOS подали в суд по обвинениям в мошенничестве на $2,6 млрд; падение токена на 99,9% от пика
Федеральный коллективный иск обвиняет AI16Z/ELIZAOS в криптомошенничестве на $2,6 млрд через фальшивые заявления об ИИ и обманный маркетинг, утверждая покровительство инсайдеров и инсценированную автономную систему; требует возмещения ущерба в соответствии с законами о защите прав потребителей.
Аннотация: В этом отчете описан поданный 21 апреля в SDNY федеральный коллективный иск, в котором обвиняются AI16Z и его переименование ELIZAOS в криптомошенничестве на $2,6 млрд с использованием фальшивых заявлений об ИИ и обманного маркетинга. В иске утверждается о созданной связке с Andreessen Horowitz и о неавтономной системе. Приводятся данные о пиковой оценке в начале 2025 года, об обвале на 99,9% и примерно о 4 000 убыточных кошельков; при этом инсайдеры получили ~40% новых токенов. Истцы просят возмещения ущерба и справедливой помощи (equitable relief) в соответствии с законами штатов Нью-Йорк и Калифорния о защите потребителей. Регуляторы в Корее и крупные биржи предупреждали или приостанавливали связанную торговлю.
GateNews11ч назад
SlowMist сообщает: активное вредоносное ПО macOS MacSync Stealer, нацеленное на пользователей криптовалют
SlowMist предупреждает о MacSync Stealer (v1.1.2) для macOS, который похищает кошельки, учетные данные, связки ключей и инфраструктурные ключи, используя поддельные запросы AppleScript и фиктивные ошибки «unsupported»; призывает к осторожности и вниманию к IOCs.
Аннотация: В этом отчете обобщается предупреждение SlowMist о MacSync Stealer (v1.1.2) — вредоносной программе-информационном похитителе для macOS, нацеленной на криптовалютные кошельки, учетные данные браузера, системные связки ключей и инфраструктурные ключи (SSH, AWS, Kubernetes). Она обманывает пользователей с помощью поддельных диалогов AppleScript, запрашивая пароли, и отображает видимые фиктивные сообщения «unsupported». SlowMist предоставляет IOCs своим клиентам и советует избегать непроверенных скриптов для macOS и сохранять бдительность в отношении необычных запросов пароля.
GateNews12ч назад
