Con el rápido desarrollo de blockchain, los incidentes de seguridad como el robo de monedas, el phishing y el fraude dirigidos a los usuarios aumentan día a día y los métodos de ataque son diversos. SlowMist recibe una gran cantidad de solicitudes de ayuda de las víctimas todos los días, con la esperanza de poder brindarles ayuda para rastrear y rescatar fondos. Entre ellas, hay muchas víctimas importantes que han perdido decenas de millones de dólares. En base a esto, esta serie recopila estadísticas y analiza los formularios robados recibidos cada trimestre, con el objetivo de analizar métodos malignos comunes o raros con casos reales después de la desensibilización y ayudar a los usuarios a aprender cómo proteger mejor sus activos.

Según las estadísticas, MistTrack Team recibió un total de 467 formularios robados en el segundo trimestre de 2024, incluidos 146 formularios en el extranjero y 321 formularios nacionales. Proporcionamos servicios comunitarios de evaluación gratuitos para estos formularios (Ps. El contenido de este artículo es solo para formularios). de Casos enviados, excluyendo los casos contactados a través de correo electrónico u otros canales)

Entre ellos, MistTrack Team ayudó a 18 clientes robados a congelar aproximadamente 20,6641 millones de dólares en fondos en 13 plataformas.

Las 3 principales razones del robo

La táctica más común utilizada en los formularios del segundo trimestre de 2024 es la siguiente:

Clave privada filtrada

Según las estadísticas del formulario Q2, muchos usuarios almacenan claves privadas/mnemónicos en discos en la nube como Google Docs, Tencent Docs, Baidu Cloud Disk, Graphite Docs, etc. Algunos usuarios usan WeChat y otras herramientas para almacenar sus claves privadas/frases mnemónicas. Envíe las palabras mnemotécnicas a sus amigos de confianza. Además, puede copiar las palabras mnemotécnicas en la tabla WPS a través de la función de alfabetización de imágenes de WeChat, luego cifrar la tabla e iniciar el servicio en la nube y, al mismo tiempo, almacenarla en el disco duro local. unidad de la computadora. Estos comportamientos que parecen mejorar la seguridad de la información en realidad aumentan en gran medida el riesgo de robo de información. Los piratas informáticos suelen utilizar el método de "relleno de credenciales" para intentar iniciar sesión en estos sitios web de servicios de almacenamiento en la nube recopilando bases de datos de cuentas y contraseñas filtradas públicamente en Internet. Aunque se trata de un acto de casualidad, siempre que el inicio de sesión sea exitoso, los piratas informáticos pueden encontrar y robar fácilmente información relacionada con las criptomonedas. Estas situaciones pueden considerarse como una fuga pasiva de información. También hay algunos casos de filtración activa, como víctimas que son inducidas por estafadores que se hacen pasar por servicio al cliente para completar frases mnemotécnicas, o son engañadas mediante enlaces de phishing en plataformas de chat como Discord, y luego ingresan información de clave privada. Aquí, el equipo de MistTrack les recuerda encarecidamente a todos que la clave privada/frase mnemotécnica no debe revelarse a nadie bajo ninguna circunstancia.

Además, las carteras falsas también son el área más afectada que conduce a la fuga de claves privadas. Esta parte ya es un cliché, pero todavía hay una gran cantidad de usuarios que, sin darse cuenta, hacen clic en enlaces publicitarios cuando utilizan motores de búsqueda y descargan aplicaciones de billetera falsas. Por motivos de red, muchos usuarios optarán por obtener aplicaciones relacionadas de sitios de descarga de terceros. Aunque estos sitios afirman que sus aplicaciones se descargan desde espejos de Google Play, su seguridad real es cuestionable. Anteriormente, el equipo de seguridad de SlowMist analizó la aplicación de billetera en el mercado de aplicaciones de terceros apkcombo y descubrió que la versión imToken 24.9.11 proporcionada por apkcombo es una versión que no existe y actualmente es la versión con más billeteras imToken falsas. en el mercado.

También rastreamos algunos sistemas de administración de backend relacionados con el equipo de billetera falsa, que incluyen funciones complejas de control de moneda digital, como administración de usuarios, administración de moneda y administración de recargas. Las características avanzadas y la profesionalidad de este tipo de pesca han superado la imaginación de muchas personas.

Por ejemplo, en el segundo trimestre se produjo un caso relativamente raro: un usuario buscó "Twitter" en un motor de búsqueda y accidentalmente descargó una versión falsa de la aplicación de Twitter. Cuando el usuario abre la aplicación, aparece un mensaje que afirma que se requiere una VPN debido a restricciones regionales y le indica que descargue la VPN falsa que viene con la aplicación. Como resultado, se roba la clave privada/frase mnemotécnica del usuario. Casos como este nos recuerdan una vez más que cualquier aplicación y servicio en línea debe revisarse y verificarse cuidadosamente para garantizar su legalidad y seguridad.

pesca

Según el análisis, muchas de las solicitudes de ayuda robadas en el segundo trimestre fueron causadas por phishing: los usuarios hicieron clic en comentarios de enlaces de phishing publicados en Twitter de proyectos conocidos. Anteriormente, el equipo de seguridad de SlowMist realizó análisis y estadísticas específicos: después de que aproximadamente el 80% de los participantes conocidos en el proyecto publiquen tweets, el primer mensaje en el área de comentarios estará ocupado por cuentas de phishing fraudulentas. También descubrimos que existe una gran cantidad de grupos en Telegram para vender cuentas de Twitter. Estas cuentas tienen diferentes números de seguidores y publicaciones, y tienen diferentes tiempos de registro, lo que permite a los compradores potenciales elegir comprar según sus necesidades. La historia muestra que la mayoría de las cuentas vendidas están asociadas con la industria de las criptomonedas o celebridades de Internet.

Además, también existen algunos sitios web que se especializan en vender cuentas de Twitter. Estos sitios web venden cuentas de Twitter de varios años e incluso admiten la compra de cuentas muy similares. Por ejemplo, la cuenta falsa Optimlzm se parece mucho a la cuenta real Optimism. Después de comprar una cuenta tan similar, la banda de phishing utilizará herramientas de promoción para aumentar la interacción y el número de fans de la cuenta, aumentando así la credibilidad de la cuenta. Estas herramientas promocionales no solo aceptan pagos con criptomonedas, sino que también venden una variedad de servicios de plataformas sociales que incluyen me gusta, retweets, seguidores, etc. Con estas herramientas, el grupo de phishing puede obtener una cuenta de Twitter con una gran cantidad de seguidores y publicaciones, e imitar la dinámica de divulgación de información del grupo del proyecto. Debido a la gran similitud con la cuenta del grupo real del proyecto, a muchos usuarios les resulta difícil distinguir la autenticidad de la falsa, lo que aumenta aún más la tasa de éxito de los grupos de phishing. Luego, las bandas de phishing llevan a cabo operaciones de phishing, como el uso de robots automatizados para seguir la dinámica de proyectos conocidos. Cuando el equipo del proyecto publica un tweet, el bot responderá automáticamente para captar el primer comentario, atrayendo así más visitas. Dado que las cuentas disfrazadas por bandas de phishing son muy similares a las cuentas del equipo del proyecto, una vez que el usuario es negligente y hace clic en el enlace de phishing de la cuenta falsa, y luego autoriza y firma, puede provocar pérdidas de activos.

En términos generales, al observar los ataques de phishing en la industria blockchain, para los usuarios individuales, el riesgo radica principalmente en los dos puntos centrales de "nombre de dominio y firma". Para lograr una protección de seguridad integral, siempre hemos abogado por la adopción de una estrategia de protección dual, a saber, defensa de la conciencia de seguridad del personal + defensa de los medios técnicos. La defensa técnica se refiere al uso de varias herramientas de hardware y software, como el complemento de bloqueo de riesgos de phishing Scam Sniffer, para garantizar la seguridad de los activos y la información. Cuando el usuario abre una página de phishing sospechosa, la herramienta mostrará un mensaje de riesgo. tiempo, evitando así que se forme el riesgo en primer lugar. En términos de defensa de la conciencia de seguridad del personal, recomendamos encarecidamente que todos lean en profundidad y dominen gradualmente el "Manual de autorrescate de Blockchain Dark Forest" (https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/ blob/main/README_CN.md). Sólo mediante la cooperación de estas dos estrategias de protección podremos combatir eficazmente los métodos de ataque de phishing cambiantes y actualizados y proteger la seguridad de los activos.

Estafa

Existen muchas técnicas de fraude. P2 La técnica de fraude más común es Pixiu Pan. En las leyendas, Pixiu es considerado una criatura mágica. Se dice que puede tragarlo todo sin excretarlo. La fábula dice que una vez que se tragan tesoros como el oro y las joyas, no se pueden sacar de su cuerpo. Por lo tanto, el disco Pixiu se utiliza como metáfora de las monedas digitales que no se pueden vender una vez compradas.

Una víctima describió su experiencia: “Hice una pregunta en el grupo de Telegram y alguien respondió con entusiasmo muchas de mis preguntas y me enseñó mucho. Después de charlar en privado durante dos días, sentí que los demás eran bastante buenos. propuso llevarme al mercado primario para comprar nuevos tokens y me proporcionó una dirección de contrato para la moneda en PancakeSwap. Después de que la compré, la moneda siguió subiendo. Me dijo que había pasado medio año cuando llegó una oportunidad de oro. Luego me sugirió que aumentara la inversión de inmediato. Sentí que las cosas no eran tan simples, así que no seguí su consejo. Una vez que me di cuenta de que podría haber sido engañado, le pregunté a otras personas del grupo. Ayudé con la consulta y descubrí que efectivamente era Pixiu Coin. También lo probé y solo pude comprarlo pero no venderlo. Cuando el estafador descubrió que ya no aumentaría mi posición, también me bloqueó.

La experiencia de esta víctima en realidad refleja el patrón típico del fraude de Pixiu Pan:

1. Los estafadores implementan contratos inteligentes que colocan trampas y arrojan cebos que prometen altas ganancias;

2. Los estafadores hacen todo lo posible para atraer objetivos para que compren tokens. Las víctimas a menudo ven que los tokens se aprecian rápidamente después de comprarlos. Por lo tanto, las víctimas generalmente deciden esperar hasta que los tokens aumenten lo suficiente antes de intentar canjearlos, solo para descubrir que no pueden venderlos. fichas compradas;

3. Finalmente, el estafador retira los fondos invertidos de la víctima.

Vale la pena mencionar que todas las monedas Pixiu mencionadas en el formulario del segundo trimestre ocurrieron en BSC. Como puede ver en la imagen a continuación, hay muchas transacciones de monedas Pixiu. Los estafadores también enviaron los tokens que tenían a billeteras e intercambios, lo que resultó en. muchas transacciones. La ilusión de la participación humana.

Debido a la naturaleza oculta del mercado de Pixiu, puede resultar difícil incluso para los inversores experimentados ver la verdad con claridad. Hoy en día, la tendencia de los memes prevalece y varios tipos de "Dogecoins" tienen cierto impacto en el mercado. Debido a que el precio del plato Pixiu aumentará rápidamente, la gente suele seguir la tendencia y comprar impulsivamente. Muchos participantes del mercado que no saben la verdad están persiguiendo esta ola de "fiebre del perro local", pero sin darse cuenta caen en la trampa del plato Pixiu. Después de comprarlo, ya no pueden usarlo.

Por lo tanto, el equipo de MistTrack recomienda que los usuarios tomen las siguientes medidas antes de operar para evitar pérdidas financieras causadas por participar en el comercio de Pixiu:

  • Utilice MistTrack para comprobar el estado de riesgo de las direcciones relacionadas, o utilice la herramienta de detección de seguridad Token de GoPlus para identificar monedas Pixiu y tomar decisiones comerciales;

  • Verifique si el código ha sido auditado y verificado en Etherscan, BscScan o lea reseñas como advierten algunas víctimas en la pestaña de reseñas de monedas fraudulentas;

  • Comprenda información relevante sobre la moneda virtual, considere los antecedentes de la parte del proyecto y mejore la conciencia de autoprevención. Tenga cuidado con las monedas virtuales que ofrecen rendimientos ultra altos, ya que los rendimientos ultra altos generalmente implican un mayor riesgo.

escribe al final

Si lamentablemente le roban su criptomoneda, brindaremos servicios de asistencia comunitaria para la evaluación del caso de forma gratuita. Solo necesita enviar un formulario de acuerdo con las pautas de clasificación (fondos robados/fraude/extorsión). Al mismo tiempo, la dirección del pirata informático que envió también se sincronizará con la red de cooperación de inteligencia de amenazas de SlowMist InMist Lab para el control de riesgos. (Nota: envíe el formulario en chino a https://aml.slowmist.com/cn/recovery-funds.html y envíe el formulario en inglés a https://aml.slowmist.com/recovery-funds.html)

SlowMist ha estado profundamente involucrado en el campo de la lucha contra el lavado de dinero con criptomonedas durante muchos años y ha formado un conjunto completo y eficiente de soluciones que cubren el cumplimiento, la investigación y la auditoría. Ayuda activamente a construir un entorno ecológico saludable para las criptomonedas y también brinda soporte para ellas. la industria Web3, instituciones financieras, agencias reguladoras y departamentos de cumplimiento para brindar servicios profesionales. Entre ellos, MistTrack es una plataforma de investigación de cumplimiento que proporciona análisis de direcciones de billetera, monitoreo de fondos y trazabilidad. Ha acumulado más de 300 millones de etiquetas de direcciones, más de 1000 entidades de direcciones, más de 500 000 datos de inteligencia sobre amenazas y más de 90 millones de direcciones de riesgo. estos brindan una protección poderosa para garantizar la seguridad de los activos digitales y combatir los delitos de lavado de dinero.