Bỏ tiền nhỏ để câu được cá lớn, Slow Mist tiết lộ bí mật vụ câu cá 1155 WBTC

Zombit · 2024-05-09T12:33:05.000Z
Nguồn: SlowMist - "Bỏ tiền nhỏ để bắt được cá lớn | Hé lộ sự cố câu cá 1155 WBTC" Tác giả: Liz & Zero & Keywolf lý lịch Vào ngày 3 tháng 5, theo giám sát của nền tảng chống lừa đảo Web3 Scam Sniffer, một con cá voi khổng lồ đã gặp phải một cuộc tấn công lừa đảo có cùng địa chỉ đầu tiên và cuối cùng và đã bị lừa đảo 1.155 WBTC, trị giá khoảng 70 triệu USD. Dù phương pháp đánh bắt này đã có từ lâu nhưng quy mô thiệt hại do vụ việc này gây ra vẫn còn rất chấn động. Bài viết này sẽ phân tích các điểm chính của các cuộc tấn công lừa đảo vào các địa chỉ có cùng số đầu và số cuối, nơi cất giữ tiền, đặc điểm của hacker và các đề xuất để ngăn chặn các cuộc tấn công lừa đảo như vậy.
Fuente: SlowMist - "Gastar poco dinero para pescar peces grandes | Revelando el incidente de pesca 1155 WBTC"
Autor: Liz, Zero y Keywolf
fondo
El 3 de mayo, según el seguimiento de la plataforma antifraude Web3 Scam Sniffer, una ballena gigante se encontró con un ataque de phishing con la misma primera y última dirección y le robaron 1.155 WBTC, por un valor aproximado de 70 millones de dólares. Aunque este método de pesca existe desde hace mucho tiempo, la magnitud de los daños causados ​​por este incidente sigue siendo impactante. Este artículo analizará los puntos clave de los ataques de phishing a direcciones con el mismo primer y último número, el paradero de los fondos, las características de los piratas informáticos y sugerencias para prevenir dichos ataques de phishing.
 (https://twitter.com/realScamSniffer/status/1786374327740543464) Puntos clave del ataque
Dirección de la víctima: 0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5
Dirección de transferencia de destino de la víctima: 0xd9A1b0B1e1aE382DbDc898Ea68012FfcB2853a91
Dirección de phishing: 0xd9A1C3788D81257612E2581A6ea0aDa244853a91
1. Colisión de direcciones de phishing: los piratas informáticos generarán una gran cantidad de direcciones de phishing por adelantado en lotes. Después de implementar el programa por lotes de manera distribuida, lanzarán un ataque de phishing con el mismo primer y último número de dirección contra la dirección de transferencia de destino. basado en la dinámica del usuario en la cadena. En este incidente, el pirata informático utilizó una dirección cuyos primeros 4 dígitos y últimos 6 dígitos después de eliminar 0x coincidían con la dirección de transferencia de destino de la víctima.
2. Seguimiento de transacción: después de que el usuario transfiere el dinero, el pirata informático utiliza inmediatamente la dirección de phishing colisionada (aproximadamente 3 minutos después) para rastrear una transacción (la dirección de phishing transfiere 0 ETH a la dirección del usuario), de modo que la dirección de phishing aparece en el registro de transacciones del usuario en el interior.
 (https://etherscan.io/txs?a=0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5&p=2)
3. Aquellos que desean morder el anzuelo: dado que el usuario está acostumbrado a copiar información de transferencias recientes del historial de la billetera, después de ver esta transacción de phishing, no verificó cuidadosamente si la dirección que copió era correcta. Como resultado, 1155. ¡Los WBTC fueron transferidos a la dirección de phishing por error!
Análisis de seguimiento de niebla
El análisis utilizando la herramienta de seguimiento en cadena MistTrack encontró que el hacker había intercambiado 1,155 WBTC por 22,955 ETH y los transfirió a las siguientes 10 direcciones.
El 7 de mayo, los piratas informáticos comenzaron a transferir ETH en estas 10 direcciones. El modo de transferencia de fondos básicamente mostró las características de no dejar más de 100 fondos ETH en la dirección actual y luego dividir aproximadamente los fondos restantes en partes iguales antes de transferirlos al siguiente nivel. DIRECCIÓN. . Actualmente, estos fondos no han sido canjeados por otras monedas ni transferidos a la plataforma. La siguiente imagen muestra la situación de la transferencia de fondos en 0x32ea020a7bb80c5892df94c6e491e8914cce2641. Abra el enlace en el navegador para ver la imagen de alta definición:
 (https://misttrack.io/s/1cJlL)
Luego utilizamos MistTrack para consultar la dirección de phishing inicial en este incidente, 0xd9A1C3788D81257612E2581A6ea0aDa244853a91, y descubrimos que la fuente de la tarifa de manejo para esta dirección era 0xdcddc9287e59b5df08d17148a078bd181313eacc.
 (https://dashboard.misttrack.io/address/WBTC-ERC20/0xd9A1C3788D81257612E2581A6ea0aDa244853a91)
Siguiendo la dirección de la tarifa, podemos ver que entre el 19 de abril y el 3 de mayo, esta dirección inició más de 20,000 pequeñas transacciones, distribuyendo pequeñas cantidades de ETH a diferentes direcciones para pescar.
 (https://etherscan.io/address/0xdcddc9287e59b5df08d17148a078bd181313eacc)
En la imagen de arriba podemos ver que el hacker adoptó un enfoque de red amplia, por lo que debe haber más de una víctima. A través del escaneo a gran escala, también encontramos otros incidentes de phishing relacionados. Los siguientes son algunos ejemplos:
Tomamos la dirección de phishing 0xbba8a3cc45c6b28d823ca6e6422fbae656d103a6 del segundo incidente en la imagen de arriba como ejemplo. Continuamos rastreando las direcciones de tarifa hacia arriba y descubrimos que estas direcciones se superponen con las direcciones de trazabilidad de tarifa del incidente de phishing 1155 WBTC, por lo que deberían ser las mismas. hacker.
Al analizar la situación de los piratas informáticos que transfieren otros fondos rentables (desde finales de marzo hasta el presente), también concluimos que otra característica del lavado de dinero de los piratas informáticos es convertir fondos en la cadena ETH en Monero o en cadena cruzada a Tron y luego transferirlos. a direcciones OTC sospechosas. Por lo tanto, existe la posibilidad de que los piratas informáticos utilicen más adelante el mismo método para transferir los fondos obtenidos del evento de phishing 1155 WBTC.
Características del hacker
Según la red de inteligencia de amenazas de SlowMist, descubrimos la IP de la estación base móvil en Hong Kong utilizada por presuntos piratas informáticos (no se descarta la posibilidad de una VPN):
182.xxx.xxx.228
182.xxx.xx.18
182.xxx.xx.51
182.xxx.xxx.64
182.xxx.xx.154
182.xxx.xxx.199
182.xxx.xx.42
182.xxx.xx.68
182.xxx.xxx.66
182.xxx.xxx.207
Vale la pena señalar que incluso después de que el hacker robó 1155 WBTC, no parecía tener intención de lavarse las manos.
Siguiendo las tres direcciones principales de direcciones de phishing recopiladas anteriormente (utilizadas para proporcionar tarifas de manejo a muchas direcciones de phishing), su característica común es que el monto de la última transacción es significativamente mayor que la anterior. Esto se debe a que el pirata informático desactivó la actual. dirección y transfirió los fondos En la operación de transferencia a la dirección principal de la nueva dirección de phishing, las tres direcciones recién activadas todavía están transfiriendo fondos con alta frecuencia.
 (https://etherscan.io/address/0xa84aa841e2a9bdc06c71438c46b941dc29517312)
En escaneos posteriores a gran escala, descubrimos dos direcciones principales de direcciones de phishing desactivadas. Después de rastrear la fuente, descubrimos que estaban asociadas con el pirata informático, por lo que no entraremos en detalles aquí.
0xa5cef461646012abd0981a19d62661838e62cf27
0x2bb7848Cf4193a264EA134c66bEC99A157985Fb8
En este punto, planteamos la pregunta de dónde provienen los fondos en la cadena ETH. Después del seguimiento y análisis por parte del equipo de seguridad de SlowMist, descubrimos que el hacker inicialmente llevó a cabo un ataque de phishing en Tron con la misma primera y última dirección. , y luego atacó a Tron después de obtener ganancias. Los usuarios que ingresaron a la cadena ETH transfirieron los fondos de ganancias en Tron a la cadena ETH y comenzaron a realizar phishing. La siguiente imagen es un ejemplo de phishing de los piratas informáticos en Tron.
 (https://tronscan.org/#/address/TY3QQP24RCHgm5Qohcfu1nHJknVA1XF2zY/transfers)
El 4 de mayo, la víctima transmitió el siguiente mensaje al hacker de la cadena: Tú ganas hermano, puedes quedarte con el 10% y luego devolver el 90%, y podemos fingir que no pasó nada. Todos sabemos que 7 millones de dólares son suficientes para vivir bien, pero 70 millones de dólares te harán dormir mal.
El 5 de mayo, la víctima continuó llamando a los piratas informáticos de la cadena, pero aún no ha recibido respuesta.
 como defender
Mecanismo de lista blanca: se recomienda que los usuarios guarden la dirección de destino en la libreta de direcciones de la billetera. La dirección de destino se podrá encontrar en la libreta de direcciones de la billetera la próxima vez que se realice una transferencia.
Active la función de filtrado de pequeñas cantidades de la billetera: se recomienda que los usuarios activen la función de filtrado de pequeñas cantidades de la billetera para bloquear dichas transferencias cero y reducir el riesgo de phishing. El equipo de seguridad de SlowMist analizó este tipo de método de phishing en 2022. Los lectores interesados ​​pueden hacer clic en el enlace para verlo (SlowMist: tenga cuidado con la estafa de transferencia cero TransferFrom, SlowMist: tenga cuidado con la estafa de lanzamiento aéreo del mismo número de cola).
Verifique cuidadosamente si la dirección es correcta: al confirmar la dirección, se recomienda que el usuario al menos verifique si los primeros 6 dígitos y los últimos 8 dígitos, excepto el 0x inicial, son correctos. Por supuesto, es mejor verificar cada dígito.
Prueba de transferencia de pequeña cantidad: si la billetera utilizada por el usuario solo muestra los primeros 4 dígitos y la última dirección de 4 dígitos de forma predeterminada, y el usuario aún insiste en usar esta billetera, puede considerar probar primero la transferencia de pequeña cantidad. Si tienes la mala suerte de que te atrapen, será una lesión menor.
Resumir
Este artículo presenta principalmente el método de ataque de phishing utilizando el mismo primer y último número de dirección, analiza las características de los piratas informáticos y los patrones de transferencia de fondos, y también presenta sugerencias para prevenir dichos ataques de phishing. El equipo de seguridad de SlowMist desea recordarle que, dado que la tecnología blockchain no puede ser manipulada y las operaciones en la cadena son irreversibles, los usuarios deben verificar cuidadosamente la dirección antes de realizar cualquier operación para evitar daños a los activos.
Descargo de responsabilidad
El contenido de este artículo se basa en el respaldo de datos del sistema de seguimiento contra el lavado de dinero MistTrack. Su objetivo es analizar direcciones públicas en Internet y divulgar los resultados del análisis. Sin embargo, debido a las características de la cadena de bloques, no podemos garantizar la exactitud. exactitud de todos los datos aquí, y no se hace responsable de los errores, omisiones o pérdidas causadas por el uso del contenido de este artículo. Al mismo tiempo, este artículo no constituye la base para ninguna posición u otro análisis.
Revisión de números pasados
Actualizaciones mensuales | Las pérdidas totales por incidentes de seguridad Web3 ascienden aproximadamente a 90,81 millones de dólares
Declaración solemne de SlowMist
Lobo blanco con guantes vacíos——Análisis pirateado de YIEDL
Revelando un nuevo tipo de estafa: modificar maliciosamente enlaces de nodos RPC para defraudar activos
Los resultados del seguimiento profesional de SlowMist fueron citados por el Consejo de Seguridad de las Naciones Unidas
Este artículo se reimprime con permiso de SlowMist.
Este artículo Gastando poco dinero para pescar peces grandes, Slow Mist revela el incidente de pesca 1155 WBTC apareció por primera vez en Zombit.
Explora más de este creador

Lo más reciente

Explora más de este creador

Lo más reciente

Artículos populares
