Lennult ründajad vahetavad kasutajate brauserites bitcoini rahakotid välja, et saadetavaid vahendeid kinni pidada.
Tundmatu küberkurjategijate rühmitus lisas Tor-võrku servereid, et viia läbi SSL-i eemaldamise rünnak Tor-brauseri krüptovaluutadega tehinguid tegevate kasutajate vastu. Nende ülesanne oli asendada sihtmärgiks olevad BTC-aadressid otse liikluses, jättes seeläbi nende ohvrid ilma digitaalsest valuutast.
Küberkurjategijad alustasid oma tegevust 2020. aasta jaanuaris ja 2020. aasta maiks kontrollisid nad veerandit kõigist Tor-võrgu väljumissõlmedest (23,95% ehk 380 tükki). Nende serverite kaudu lahkub kasutajaliiklus Tor-võrgust ja siseneb avatud Internetti.
Operatsiooni ulatust on turvauurija Nusenu sõnul raske määrata, kuid ta suutis tuvastada ligi nelisada pahatahtlikku väljumissõlme, mis olid operatsiooni tippajal ründajate kontrolli all.
Manipuleerides kontrollitud Tori väljumissõlmede kaudu liikuvat liiklust, kasutasid ründajad Tori brauseri kasutajate vastu MITM-i ründetehnikat. Eelkõige tundsid nad huvi krüptovaluutadega seotud saitide külastajate vastu.
Kui täpsem olla, siis küberkurjategijad viisid läbi nn SSL-i eemaldamise – nad keerasid kasutajate HTTPS-liikluse tagasi vähem turvalisele HTTP-le. Nagu Nusenu selgitas, oli ründajate eesmärk asendada bitcoini-aadressid HTTP-liikluse sees, mis saadeti bitcoini mikseritele (teenused krüptovaluutatehingute anonüümseks muutmiseks). Muutes bitcoini aadresse HTTP liikluse tasemel, püüdsid küberkurjategijad krüptoraha edukalt kinni, ilma et selle omanikud seda märkaksid.
Kasutades tehnikat, mida nimetatakse SSL-i eemaldamiseks, vahetasid ründajad kasutajate krüpteeritud HTTPS-i liikluse krüptimata HTTP vastu, võimaldades neil pealtkuulatud andmeid vabalt sõeluda ja muuta oma äranägemise järgi enne, kui need Tor-võrgust lahkusid. Nii said nad võimaluse otsida kasutajaliiklusest Bitcoini rahakoti aadresse ja need seejärel enda omadega asendada.
Rünnaku tulemusena võib Tor Browseri kasutaja, kes üritab oma Bitcoini rahakotist teise Bitcoini rahakotti raha üle kanda, hõlpsasti raha petturitele üle anda.
Selle aasta juunis viisid Tor võrgu operaatorid läbi "puhastuse", nõrgendades oluliselt ründajate ründejõudu. Neil õnnestus sissetungijate mõju märkimisväärselt vähendada, kuid enam kui 10% võrguliiklusest jääb nende kontrolli alla.