Auteur : Frank, PANews

Dans la sombre forêt du cryptage, les pirates surveillent les actifs de la chaîne et attendent des opportunités. Parmi les nombreuses victimes du phishing, la baleine à qui 1 155 Bitcoins ont été hameçonnés a finalement été la plus chanceuse.

Cette « affaire de phishing » a été étroitement surveillée par la communauté en raison de son montant énorme. L'histoire commence le 3 mai, lorsqu'un utilisateur de baleine a subi une perte de 1 155 WBTC, d'une valeur d'environ 70 millions de dollars, après avoir été hameçonné par un pirate informatique. même adresse. Par la suite, le pirate informatique a converti tous les WBTC en 22 955 ETH et les a transférés sur des dizaines de comptes. Le 4 mai, la victime a commencé à crier au pirate informatique via des messages en chaîne, demandant à l'autre partie de conserver 10 % et de restituer les 90 % restants. De plus, les adresses ETH des deux sont également devenues un espace de communication centralisé et de nombreuses adresses ont participé à la recherche de pièces. Jusqu'au 9 mai, le hacker a répondu à la victime en lui demandant de laisser un message télégramme et en lui disant qu'il prendrait l'initiative de le contacter.

Le 9 mai, le pirate informatique a commencé à restituer l’ETH à la victime, pour finalement restituer la totalité de l’ETH. Le pirate informatique a-t-il agi ainsi sous pression ou par conscience ? PANews a obtenu un aperçu des raisons sur la base de l'échange d'informations sur la chaîne.

Les chasseurs de primes dissuadent les pirates

Depuis le 4 mai, la victime a crié à plusieurs reprises au pirate informatique. En plus de dire qu'elle pouvait donner 10 % à l'autre partie, elle a également déclaré qu'elle n'avait rien publié sur Twitter et a informé le pirate informatique : Nous le savons tous. 7 millions vous rendront certainement la vie meilleure, mais 70 millions ne vous permettront pas de bien dormir.

Malheureusement, après plusieurs appels, le pirate informatique n’a reçu aucune réponse. Il semble qu'il y ait un manque de preuves concluantes entre les mains de la victime pour confirmer la véritable identité du pirate informatique, y compris le fait que le réseau de renseignement sur les menaces de SlowMist n'a localisé qu'une station de base mobile à Hong Kong et n'inclut pas la possibilité de VPN. Les pirates informatiques sont donc également en confiance.

Jusqu'au 7 mai, une adresse 0x882c927f0743c8aBC093F7088901457A4b520000 envoyait un message à la victime disant : "Bonjour, je suis l'un des programmeurs de ChangeNow. J'ai accès à la base de données ChangeNow. Le pirate a utilisé cette plateforme à plusieurs reprises. Je peux divulguer toutes ses données. , mais je demande une récompense de 100 000 $ en échange de données telles que l'adresse IP et l'adresse de l'échange où les fonds ont été envoyés, je ne peux que fournir ces informations, le reste appartient à la police de contacter l'échange et ; collecter ses données personnelles, par exemple avec l'adresse KYC et le lieu pertinents, veuillez envoyer une confirmation si vous souhaitez poursuivre l'affaire.

Bien que la victime n'ait jamais répondu à la demande de prime à partir de cette adresse, juste après ce message, le pirate informatique a soudainement retransféré 51 ETH à la victime, avec une demande d'ajout du compte TG de la victime.

PANews a découvert grâce à une analyse en chaîne que plusieurs comptes associés du pirate informatique ont interagi avec l'échange ChangeNow. Les fonds à l'adresse du chasseur de primes qui a appelé ont également été retirés par ChangeNow. C'est peut-être cette information qui a touché le point faible du hacker et l'a amené à se méfier de cet informateur inconnu.

ChangeNow est un échange très apprécié des pirates informatiques. De manière générale, il est utilisé comme outil de mélange de devises en raison de son anonymat et de son exemption KYC. Selon PANews, si le pirate informatique a déjà utilisé la fonction de change de devises fiduciaires sur la plateforme, le KYC est en effet requis.

Cependant, à en juger par les informations en chaîne du chasseur de primes et les informations laissées sur place, l'identité de l'autre partie ne peut pas être confirmée comme étant un membre du personnel de ChangeNow. Au final, à en juger par les informations diffusées sur la chaîne, il semblerait que le chasseur de prime n'ait pas encore reçu la prime de 100 000 $ qu'il espérait.

La vraie victime pourrait être un grand singe qui s'ennuie

Le 5 mai, PAULY, la personne qui a révélé l'identité du fondateur de PEPE et du fondateur de Pond Coin, a fait semblant d'être victime de jetons perdus sur Twitter, peut-être pour gagner en popularité grâce à cet incident. Cependant, l'analyse de PANews a révélé que PAULY n'a pas été victime de cet incident.

Selon les informations TG laissées par la victime sur la chaîne, celle-ci était liée à un utilisateur @BuiDuPh sur Twitter. L'utilisateur est présenté comme un ingénieur logiciel vietnamien. Après l’incident, il a relayé à plusieurs reprises les reportages des médias sur l’incident. PANews a tenté de contacter l'utilisateur mais n'a reçu aucune réponse. Le 12 mai, l'utilisateur s'est déconnecté de son compte Twitter et a supprimé tout le contenu associé. Cependant, en regardant les mises à jour Twitter précédentes de l'utilisateur, nous pouvons voir que l'utilisateur n'a transmis que certains contenus pertinents après l'incident et a maintenu un grand nombre de vues et d'interactions avec d'autres contenus chaque jour. Il ne ressemblait pas à une personne qui a perdu 70 $. millions. L’utilisateur peut également simplement aider les détenteurs de jetons à gérer l’incident.

PANews a découvert, sur la base du suivi des informations en chaîne, que le véritable propriétaire du jeton perdu est probablement l'utilisateur @nobody_vault qui est un joueur NFT bien connu et était autrefois le plus grand détenteur de Boring Ape NFT. À l’heure actuelle, il détient toujours 49 NFT Boring Ape et a déjà investi dans un projet de jeu en chaîne Undeads. Selon les informations sur la chaîne, l'adresse de la pièce perdue contient un grand nombre de transactions avec l'adresse debody_vault.

Les hackers ne se sont pas encore arrêtés

Selon les informations de la chaîne, on peut constater que le pirate informatique a récemment effectué environ 25 000 petites transactions de phishing via les deux adresses 0x8C642c4bB50bCafa0c867e1a8dd7C89203699a52 et 0xDCddc9287e59B5DF08d17148a078bD181313EAcC. Jusqu'à présent, il semble que le pirate informatique n'ait pas l'intention de s'arrêter. Même après avoir restitué 1155WBTC à la victime, le pirate informatique continue d'utiliser cette méthode pour pêcher. En plus de ce phishing, selon l'analyse de SlowMist, le pirate informatique a récemment gagné plus de 1,27 million de dollars grâce à cette méthode.

Un autre utilisateur 0x09564aC9288eD66bD32E793E76ce4336C1a9eD00 a également laissé un message sur la chaîne indiquant que le pirate avait hameçonné plus de 20 adresses via cette méthode.

Mais comparé à la victime qui a perdu 1 155 WBTC, les autres utilisateurs ne semblent pas avoir autant de chance. En raison de leur faible montant, ces petites victimes de phishing n'attirent pas l'attention du public. Le pirate informatique semblait également dégagé de toute responsabilité légale après avoir restitué les fonds. Non seulement ils continuent à s’en sortir, mais ils continuent à revenir à leurs anciennes habitudes.

Pour les utilisateurs ordinaires, cet incident rappelle également à chacun de confirmer soigneusement son adresse avant de transférer de l'argent.