Auteur : Équipe SlowMist AML

Avec le développement rapide de la blockchain, les incidents de sécurité tels que le vol de pièces de monnaie, le phishing et la fraude ciblant les utilisateurs augmentent de jour en jour et les méthodes d'attaque sont diverses. SlowMist reçoit chaque jour un grand nombre de demandes d'aide de victimes, dans l'espoir que nous puissions les aider à retrouver et à récupérer des fonds. Parmi elles, de nombreuses victimes importantes ont perdu des dizaines de millions de dollars. Sur cette base, cette série collecte des statistiques et analyse les formulaires volés reçus chaque trimestre, dans le but d'analyser les méthodes malveillantes courantes ou rares avec des cas réels après désensibilisation, et d'aider les utilisateurs à apprendre à mieux protéger leurs actifs.

Selon les statistiques, l'équipe MistTrack a reçu un total de 467 formulaires volés au deuxième trimestre 2024, dont 146 formulaires à l'étranger et 321 formulaires nationaux. Nous avons fourni des services communautaires d'évaluation gratuits pour ces formulaires (Ps. Le contenu de cet article concerne uniquement les formulaires). des cas soumis, à l'exclusion des cas contactés par courrier électronique ou par d'autres canaux)

Parmi eux, l'équipe MistTrack a aidé 18 clients volés à geler environ 20,6641 millions de dollars de fonds sur 13 plateformes.

Les 3 principales raisons du vol

La tactique la plus couramment utilisée dans les formulaires du deuxième trimestre 2024 est la suivante :

Clé privée divulguée

Selon les statistiques du formulaire Q2, de nombreux utilisateurs stockent des clés/mnémoniques privées sur des disques cloud tels que Google Docs, Tencent Docs, Baidu Cloud Disk, Graphite Docs, etc. Certains utilisateurs utilisent WeChat et d'autres outils pour stocker des clés/mnémoniques privées. les mots mnémoniques à vos amis de confiance. De plus, vous pouvez copier les mots mnémoniques dans le formulaire WPS via la fonction de lecture d'images de WeChat, puis crypter le formulaire et démarrer le service cloud, et en même temps le stocker sur le disque dur local de l'ordinateur. Ces comportements qui semblent améliorer la sécurité des informations augmentent en réalité considérablement le risque de vol d’informations. Les pirates utilisent souvent la méthode du « credential stuffing » pour tenter de se connecter à ces sites Web de services de stockage dans le cloud en collectant des bases de données de comptes et de mots de passe divulguées publiquement sur Internet. Bien qu’il s’agisse d’un acte fortuit, tant que la connexion réussit, les pirates peuvent facilement trouver et voler des informations liées à la cryptomonnaie. Ces situations peuvent être considérées comme une fuite passive d’informations. Il existe également des cas de fuite active, tels que des victimes incitées par des escrocs se faisant passer pour le service client à remplir des phrases mnémoniques, ou trompées par des liens de phishing sur des plateformes de discussion telles que Discord, puis saisissant des informations de clé privée. Ici, l'équipe MistTrack rappelle fortement à tout le monde que la clé privée/phrase mnémonique ne doit en aucun cas être divulguée à qui que ce soit.

En outre, les faux portefeuilles sont également le domaine le plus durement touché, conduisant à la fuite de clés privées. Cette partie est déjà un cliché, mais il existe encore un grand nombre d'utilisateurs qui cliquent par inadvertance sur des liens publicitaires lorsqu'ils utilisent des moteurs de recherche et téléchargent de fausses applications de portefeuille. Pour des raisons de réseau, de nombreux utilisateurs choisissent d'obtenir des applications associées sur des sites de téléchargement tiers. Bien que ces sites prétendent que leurs applications sont téléchargées à partir de miroirs Google Play, leur sécurité réelle est discutable. Auparavant, l'équipe de sécurité de SlowMist a analysé l'application de portefeuille sur le marché des applications tierces apkcombo et a découvert que la version imToken 24.9.11 fournie par apkcombo est une version qui n'existe pas et est actuellement la version avec le plus de faux portefeuilles imToken. sur le marché.

Nous avons également suivi certains systèmes de gestion back-end liés à l'équipe du faux portefeuille, qui incluent des fonctions complexes de contrôle des devises numériques telles que la gestion des utilisateurs, la gestion des devises et la gestion des recharges. Les caractéristiques avancées et le professionnalisme de ce type de pêche ont dépassé l'imagination de nombreuses personnes.

Par exemple, le deuxième trimestre a connu un cas relativement rare : un utilisateur a recherché « Twitter » dans un moteur de recherche et a accidentellement téléchargé une fausse version de l'application Twitter. Lorsque l'utilisateur ouvre l'application, une invite apparaît indiquant qu'un VPN est requis en raison de restrictions régionales et lui demande de télécharger le faux VPN fourni avec l'application. En conséquence, la clé privée/phrase mnémonique de l'utilisateur est volée. Des cas comme celui-ci nous rappellent une fois de plus que toutes les applications et services en ligne doivent être soigneusement examinés et vérifiés pour garantir leur légalité et leur sécurité.

pêche

Selon l'analyse, de nombreuses demandes d'aide volées au deuxième trimestre étaient dues à du phishing : les utilisateurs cliquaient sur des liens de phishing et des commentaires publiés sur Twitter concernant des projets bien connus. Auparavant, l'équipe de sécurité de SlowMist effectuait des analyses et des statistiques ciblées : après qu'environ 80 % des parties connues du projet publient des tweets, le premier message dans la zone de commentaires sera occupé par des comptes de phishing frauduleux. Nous avons également constaté qu'il existe un grand nombre de groupes sur Telegram pour vendre des comptes Twitter. Ces comptes ont différents nombres d'abonnés et de publications et ont des délais d'inscription différents, ce qui permet aux acheteurs potentiels de choisir d'acheter en fonction de leurs besoins. L’histoire montre que la plupart des comptes vendus sont associés à l’industrie des cryptomonnaies ou à des célébrités sur Internet.

En outre, il existe également des sites Web spécialisés dans la vente de comptes Twitter. Ces sites Web vendent des comptes Twitter de différentes années et prennent même en charge l'achat de comptes très similaires. Par exemple, le faux compte Optimlzm ressemble beaucoup au vrai compte Optimism. Après avoir acheté un compte aussi similaire, le gang de phishing utilisera des outils de promotion pour augmenter l'interaction et le nombre de fans du compte, augmentant ainsi la crédibilité du compte. Ces outils promotionnels acceptent non seulement les paiements en crypto-monnaie, mais vendent également une variété de services de plateformes sociales, notamment les likes, les retweets, les abonnés, etc. Grâce à ces outils, le groupe de phishing peut obtenir un compte Twitter avec un grand nombre de followers et de publications, et imiter la dynamique de diffusion d'informations de l'équipe du projet. En raison de la grande similitude avec le compte de la véritable partie du projet, il est difficile pour de nombreux utilisateurs de distinguer l'authenticité du faux, augmentant ainsi encore le taux de réussite des groupes de phishing. Les gangs de phishing mènent ensuite des opérations de phishing, par exemple en utilisant des robots automatisés pour suivre la dynamique de projets bien connus. Lorsque l'équipe du projet publie un tweet, le bot répondra automatiquement pour récupérer le premier commentaire, attirant ainsi plus de vues. Étant donné que les comptes déguisés par les gangs de phishing sont très similaires aux comptes de l'équipe de projet, une fois que l'utilisateur fait preuve de négligence et clique sur le lien de phishing sur le faux compte, puis autorise et signe, cela peut entraîner des pertes d'actifs.

D'une manière générale, en ce qui concerne les attaques de phishing dans l'industrie de la blockchain, pour les utilisateurs individuels, le risque réside principalement dans les deux points essentiels que sont « le nom de domaine et la signature ». Afin de parvenir à une protection globale de la sécurité, nous avons toujours préconisé l'adoption d'une double stratégie de protection, à savoir la défense par la sensibilisation à la sécurité du personnel + la défense par les moyens techniques. La défense technique fait référence à l'utilisation de divers outils matériels et logiciels, tels que le plug-in de blocage des risques de phishing Scam Sniffer, pour garantir la sécurité des actifs et des informations. Lorsque l'utilisateur ouvre une page de phishing suspecte, l'outil affiche une invite de risque. temps, empêchant ainsi le risque de se former en premier lieu. En termes de défense de sensibilisation à la sécurité du personnel, nous recommandons fortement à chacun de lire en profondeur et de maîtriser progressivement le « Blockchain Dark Forest Self-Rescue Handbook » (https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/ blob/main/ README_CN.md). Ce n'est que grâce à la coopération de ces deux stratégies de protection que nous pourrons lutter efficacement contre les méthodes d'attaque de phishing changeantes et améliorées et protéger la sécurité des actifs.

Arnaque

Il existe de nombreuses techniques de fraude. Q2 La technique de fraude la plus courante est le Pixiu Pan. Dans les légendes, Pixiu est considéré comme une créature magique. On dit qu'il peut tout avaler sans l'excréter. La fable dit qu'une fois les trésors tels que l'or et les bijoux avalés, ils ne peuvent plus être retirés de son corps. Par conséquent, le disque Pixiu est utilisé comme métaphore pour les monnaies numériques qui ne peuvent pas être vendues une fois achetées.

Une victime a décrit son expérience : « J'ai posé une question dans le groupe Telegram, et quelqu'un a répondu avec enthousiasme à beaucoup de mes questions et m'a beaucoup appris. Après avoir discuté en privé pendant deux jours, j'ai senti que les autres étaient plutôt bien. m'a proposé de m'emmener sur le marché primaire pour acheter de nouveaux jetons et m'a fourni une adresse contractuelle pour la devise sur PancakeSwap. Après l'avoir achetée, la devise a continué à augmenter. Il m'a dit que cela faisait six mois qu'une opportunité en or s'est présentée. Pendant ce temps, il m'a suggéré d'augmenter immédiatement mes investissements. J'ai senti que les choses n'étaient pas si simples, alors je n'ai pas suivi ses conseils. Une fois que j'ai réalisé que j'avais peut-être été trompé, j'ai demandé à d'autres personnes du groupe. " J'ai aidé à l'enquête et j'ai découvert qu'il s'agissait bien de Pixiu Coin. Je l'ai également essayé et je n'ai pu que l'acheter mais pas le vendre. Lorsque l'escroc a découvert que je n'augmenterais plus ma position, il m'a également bloqué. "

L’expérience de cette victime reflète en fait le schéma typique de la fraude Pixiu Pan :

1. Les fraudeurs déploient des contrats intelligents qui tendent des pièges et lancent des appâts promettant des profits élevés ;

2. Les fraudeurs font de leur mieux pour inciter leurs cibles à acheter des jetons. Les victimes voient souvent les jetons s'apprécier rapidement après l'achat. Par conséquent, les victimes décident généralement d'attendre que les jetons augmentent suffisamment avant d'essayer de les échanger, pour ensuite découvrir qu'elles ne peuvent pas les vendre. Jetons achetés ;

3. Enfin, l’escroc retire les fonds investis par la victime.

Il convient de mentionner que les pièces Pixiu mentionnées dans le formulaire Q2 ont toutes eu lieu sur BSC. Comme vous pouvez le voir sur l'image ci-dessous, les escrocs ont également envoyé les jetons qu'ils détenaient vers des portefeuilles et des bourses, ce qui a entraîné. de nombreuses transactions. L’illusion de la participation humaine.

En raison de la nature cachée du marché Pixiu, il peut être difficile, même pour les investisseurs expérimentés, de voir clairement la vérité. De nos jours, la tendance des mèmes est répandue et différents types de « Dogecoins » ont un certain impact sur le marché. Parce que le prix de l'assiette Pixiu augmentera rapidement, les gens suivent souvent la tendance et achètent de manière impulsive. De nombreux acteurs du marché qui ne connaissent pas la vérité poursuivent cette vague de « fièvre des chiens locaux », mais tombent par inadvertance dans le piège de l'assiette Pixiu. Après l'achat, ils ne peuvent plus l'utiliser pour la vente.

Par conséquent, l'équipe MistTrack recommande aux utilisateurs de prendre les mesures suivantes avant de négocier pour éviter les pertes financières causées par la participation au trading Pixiu :

  • Utilisez MistTrack pour vérifier l'état de risque des adresses associées, ou utilisez l'outil de détection de sécurité des jetons de GoPlus pour identifier les pièces Pixiu et prendre des décisions commerciales ;

  • Vérifiez si le code a été audité et vérifié sur Etherscan, BscScan ou lisez les avis comme le préviennent certaines victimes dans l'onglet Avis sur les pièces frauduleuses ;

  • Comprenez les informations pertinentes sur la monnaie virtuelle, tenez compte des antécédents de la partie au projet et améliorez la sensibilisation à l'auto-prévention. Méfiez-vous des monnaies virtuelles qui offrent des rendements ultra élevés, car des rendements ultra élevés signifient généralement un risque plus élevé.