El 3 de mayo, una ballena gigante se encontró con un ataque de phishing con la misma dirección y le robaron 1.155 WBTC, por un valor aproximado de 70 millones de dólares.
fondo
El 3 de mayo, según el seguimiento de la plataforma antifraude Web3 Scam Sniffer, una ballena gigante se encontró con un ataque de phishing con la misma primera y última dirección y le robaron 1.155 WBTC, por un valor aproximado de 70 millones de dólares. Aunque este método de pesca existe desde hace mucho tiempo, la magnitud de los daños causados por este incidente sigue siendo impactante. Este artículo analizará los puntos clave de los ataques de phishing a direcciones con el mismo primer y último número, el paradero de los fondos, las características de los piratas informáticos y sugerencias para prevenir dichos ataques de phishing.
(https://twitter.com/realScamSniffer/status/1786374327740543464)
atacar puntos clave
Dirección de la víctima:
0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5
Dirección de transferencia objetivo de la víctima:
0xd9A1b0B1e1aE382DbDc898Ea68012FfcB2853a91
Dirección de pesca:
0xd9A1C3788D81257612E2581A6ea0aDa244853a91
1. Colisión de direcciones de phishing: los piratas informáticos generarán una gran cantidad de direcciones de phishing por adelantado en lotes. Después de implementar el programa por lotes de manera distribuida, lanzarán un ataque de phishing con el mismo primer y último número de dirección contra la dirección de transferencia de destino. basado en la dinámica del usuario en la cadena. En este incidente, el pirata informático utilizó una dirección cuyos primeros 4 dígitos y últimos 6 dígitos después de eliminar 0x coincidían con la dirección de transferencia de destino de la víctima.
2. Seguimiento de transacción: después de que el usuario transfiere el dinero, el pirata informático utiliza inmediatamente la dirección de phishing colisionada (aproximadamente 3 minutos después) para rastrear una transacción (la dirección de phishing transfiere 0 ETH a la dirección del usuario), de modo que la dirección de phishing aparece en el registro de transacciones del usuario en el interior.
(https://etherscan.io/txs?a=0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5&p=2)
3. Aquellos que desean morder el anzuelo: dado que el usuario está acostumbrado a copiar información de transferencias recientes del historial de la billetera, después de ver esta transacción de phishing, no verificó cuidadosamente si la dirección que copió era correcta. Como resultado, 1155. ¡Los WBTC fueron transferidos a la dirección de phishing por error!
Análisis de seguimiento de niebla
El análisis utilizando la herramienta de seguimiento en cadena MistTrack encontró que el hacker había intercambiado 1,155 WBTC por 22,955 ETH y los transfirió a las siguientes 10 direcciones.
El 7 de mayo, los piratas informáticos comenzaron a transferir ETH en estas 10 direcciones. El modo de transferencia de fondos básicamente mostró las características de no dejar más de 100 fondos ETH en la dirección actual y luego dividir aproximadamente los fondos restantes en partes iguales antes de transferirlos al siguiente nivel. DIRECCIÓN. . Actualmente, estos fondos no han sido canjeados por otras monedas ni transferidos a la plataforma. La siguiente imagen muestra la situación de la transferencia de fondos en 0x32ea020a7bb80c5892df94c6e491e8914cce2641. Abra el enlace en el navegador para ver la imagen de alta definición:
(https://misttrack.io/s/1cJlL)
Luego utilizamos MistTrack para consultar la dirección de phishing inicial en este incidente, 0xd9A1C3788D81257612E2581A6ea0aDa244853a91, y descubrimos que la fuente de la tarifa de manejo para esta dirección era 0xdcddc9287e59b5df08d17148a078bd181313eacc.
(https://dashboard.misttrack.io/address/WBTC-ERC20/0xd9A1C3788D81257612E2581A6ea0aDa244853a91)
Siguiendo la dirección de la tarifa, podemos ver que entre el 19 de abril y el 3 de mayo, esta dirección inició más de 20,000 pequeñas transacciones, distribuyendo pequeñas cantidades de ETH a diferentes direcciones para pescar.
(https://etherscan.io/address/0xdcddc9287e59b5df08d17148a078bd181313eacc)
Según la imagen de arriba, podemos ver que el hacker adoptó un enfoque de red amplia, por lo que debe haber más de una víctima. A través del escaneo a gran escala, también encontramos otros incidentes de phishing relacionados. Los siguientes son algunos ejemplos:
Tomamos la dirección de phishing 0xbba8a3cc45c6b28d823ca6e6422fbae656d103a6 del segundo incidente en la imagen de arriba como ejemplo. Continuamos rastreando las direcciones de tarifa hacia arriba y encontramos que estas direcciones se superponen con las direcciones de trazabilidad de tarifa del incidente de phishing 1155 WBTC, por lo que deberían ser las mismas. hacker.
Al analizar la situación de los piratas informáticos que transfieren otros fondos rentables (desde finales de marzo hasta el presente), también concluimos que otra característica del lavado de dinero de los piratas informáticos es convertir fondos en la cadena ETH en Monero o en cadena cruzada a Tron y luego transferirlos. a direcciones OTC sospechosas, por lo tanto, existe la posibilidad de que los piratas informáticos utilicen más adelante el mismo método para transferir los fondos obtenidos del evento de phishing 1155 WBTC.
Características del hacker
Según la red de inteligencia de amenazas de SlowMist, descubrimos la IP de la estación base móvil en Hong Kong utilizada por presuntos piratas informáticos (no se descarta la posibilidad de una VPN):
182.xxx.xxx.228
182.xxx.xx.18
182.xxx.xx.51
182.xxx.xxx.64
182.xxx.xx.154
182.xxx.xxx.199
182.xxx.xx.42
182.xxx.xx.68
182.xxx.xxx.66
182.xxx.xxx.207
Vale la pena señalar que incluso después de que el hacker robó 1155 WBTC, parecía que no tenía intención de lavarse las manos.
Siguiendo las tres direcciones principales de direcciones de phishing recopiladas anteriormente (utilizadas para proporcionar tarifas de manejo a muchas direcciones de phishing), su característica común es que el monto de la última transacción es significativamente mayor que la anterior. Esto se debe a que el pirata informático desactivó la actual. dirección y transfirió los fondos En la operación de transferencia a la dirección principal de la nueva dirección de phishing, las tres direcciones recién activadas todavía están transfiriendo fondos con alta frecuencia.
(https://etherscan.io/address/0xa84aa841e2a9bdc06c71438c46b941dc29517312)
En escaneos posteriores a gran escala, descubrimos dos direcciones principales de direcciones de phishing desactivadas. Después de la trazabilidad, descubrimos que estaban asociadas con el pirata informático, por lo que no entraremos en detalles aquí.
0xa5cef461646012abd0981a19d62661838e62cf27
0x2bb7848Cf4193a264EA134c66bEC99A157985Fb8
En este punto, tenemos otra pregunta sobre de dónde provienen los fondos en la cadena ETH. Después del seguimiento y análisis por parte del equipo de seguridad de SlowMist, descubrimos que el hacker inicialmente llevó a cabo un ataque de phishing en Tron con el mismo primer y último número de dirección. , y luego apuntó a Tron después de obtener ganancias. Los usuarios que están en la cadena ETH transfieren los fondos de ganancias en Tron a la cadena ETH y comienzan a pescar. La siguiente imagen es un ejemplo de phishing de los piratas informáticos en Tron:
(https://tronscan.org/#/address/TY3QQP24RCHgm5Qohcfu1nHJknVA1XF2zY/transfers)
El 4 de mayo, la víctima transmitió el siguiente mensaje al hacker de la cadena: Tú ganas hermano, puedes quedarte con el 10% y luego devolver el 90%, y podemos fingir que no pasó nada. Todos sabemos que 7 millones de dólares son suficientes para vivir una buena vida, pero 70 millones de dólares te harán dormir mal.
El 5 de mayo, la víctima continuó llamando a los piratas informáticos de la cadena, pero aún no ha recibido respuesta.
(https://etherscan.io/idm?addresses=0x1e227979f0b5bc691a70deaed2e0f39a6f538fd5,0xd9a1c3788d81257612e2581a6ea0ada244853a91&type=1)
como defender
Mecanismo de lista blanca: se recomienda que los usuarios guarden la dirección de destino en la libreta de direcciones de la billetera. La dirección de destino se podrá encontrar en la libreta de direcciones de la billetera la próxima vez que se realice una transferencia.
Active la función de filtrado de pequeñas cantidades de la billetera: se recomienda que los usuarios activen la función de filtrado de pequeñas cantidades de la billetera para bloquear dichas transferencias cero y reducir el riesgo de sufrir phishing. El equipo de seguridad de SlowMist analizó este tipo de método de phishing en 2022. Los lectores interesados pueden hacer clic en el enlace para verlo (SlowMist: tenga cuidado con la estafa de transferencia cero TransferFrom, SlowMist: tenga cuidado con la estafa de lanzamiento aéreo del mismo número de cola).
Verifique cuidadosamente si la dirección es correcta: al confirmar la dirección, se recomienda que el usuario al menos verifique si los primeros 6 dígitos y los últimos 8 dígitos, excepto el 0x inicial, son correctos. Por supuesto, es mejor verificar cada dígito.
Prueba de transferencia de pequeña cantidad: si la billetera utilizada por el usuario solo muestra los primeros 4 dígitos y la última dirección de 4 dígitos de forma predeterminada, y el usuario aún insiste en usar esta billetera, puede considerar probar primero la transferencia de pequeña cantidad. Si desafortunadamente lo atrapan, será una lesión menor.
Resumir
Este artículo presenta principalmente el método de ataque de phishing utilizando el mismo primer y último número de dirección, analiza las características de los piratas informáticos y los patrones de transferencia de fondos, y también presenta sugerencias para prevenir este tipo de ataques de phishing. Me gustaría recordarles a todos que, dado que la tecnología blockchain es. no puede ser manipulado y las operaciones en la cadena son irreversibles. Por lo tanto, antes de realizar cualquier operación, los usuarios deben verificar cuidadosamente la dirección para evitar daños a los activos.