• Sumber: SlowMist - "Menghabiskan sedikit uang untuk menangkap ikan besar | Mengungkap insiden penangkapan ikan 1155 WBTC"

  • Pengarang: Liz & Zero & Keywolf

latar belakang

Pada tanggal 3 Mei, menurut pemantauan platform anti-penipuan Web3 Scam Sniffer, seekor paus raksasa mengalami serangan phishing dengan alamat pertama dan terakhir yang sama dan melakukan phishing sebesar 1.155 WBTC, senilai sekitar US$70 juta. Meski cara penangkapan ikan ini sudah ada sejak lama, namun skala kerusakan yang ditimbulkan akibat kejadian ini masih cukup mengejutkan. Artikel ini akan menganalisis poin-poin penting serangan phishing pada alamat dengan nomor pertama dan terakhir yang sama, keberadaan dana, karakteristik hacker, dan saran untuk mencegah serangan phishing tersebut.

(https://twitter.com/realScamSniffer/status/1786374327740543464) Serang poin-poin penting

Alamat korban: 0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5

Alamat transfer target korban: 0xd9A1b0B1e1aE382DbDc898Ea68012FfcB2853a91

Alamat phishing: 0xd9A1C3788D81257612E2581A6ea0aDa244853a91

1. Tabrakan alamat phishing: Peretas akan membuat sejumlah besar alamat phishing terlebih dahulu secara batch. Setelah menerapkan program batch secara terdistribusi, mereka akan meluncurkan serangan phishing dengan alamat nomor pertama dan terakhir yang sama terhadap alamat transfer target. berdasarkan dinamika pengguna pada rantai. Dalam kejadian ini, hacker menggunakan alamat yang 4 digit pertamanya dan 6 digit terakhir setelah menghilangkan 0x sesuai dengan alamat transfer target korban.

2. Trailing transaksi: Setelah pengguna mentransfer uang, peretas segera menggunakan alamat phishing yang bertabrakan (sekitar 3 menit kemudian) untuk melacak transaksi (alamat phishing mentransfer 0 ETH ke alamat pengguna), sehingga alamat phishing muncul di catatan transaksi pengguna di dalamnya.

( https://etherscan.io/txs?a=0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5&p=2)

3. Mereka yang ingin mengambil umpan: Karena pengguna terbiasa menyalin informasi transfer terbaru dari riwayat dompet, setelah melihat transaksi phishing tambahan ini, dia tidak memeriksa dengan cermat apakah alamat yang dia salin benar WBTC salah ditransfer ke alamat phishing!

Analisis MistTrack

Analisis menggunakan alat pelacakan on-chain MistTrack menemukan bahwa peretas telah menukar 1,155 WBTC dengan 22,955 ETH dan mentransfernya ke 10 alamat berikut.

Pada tanggal 7 Mei, peretas mulai mentransfer ETH ke 10 alamat ini. Mode transfer dana pada dasarnya menunjukkan karakteristik meninggalkan tidak lebih dari 100 dana ETH di alamat saat ini, dan kemudian membagi sisa dana secara merata sebelum mentransfernya ke tingkat berikutnya. alamat. . Saat ini, dana tersebut belum ditukar dengan mata uang lain atau ditransfer ke platform. Gambar di bawah menunjukkan situasi transfer dana di 0x32ea020a7bb80c5892df94c6e491e8914cce2641. Buka tautan di browser untuk melihat gambar definisi tinggi:

( https://misttrack.io/s/1cJlL)

Kami kemudian menggunakan MistTrack untuk menanyakan alamat phishing awal dalam kejadian ini, 0xd9A1C3788D81257612E2581A6ea0aDa244853a91, dan menemukan bahwa sumber biaya penanganan untuk alamat ini adalah 0xdcddc9287e59b5df08d17148a078bd181313eacc.

(https://dashboard.misttrack.io/address/WBTC-ERC20/0xd9A1C3788D81257612E2581A6ea0aDa244853a91)

Mengikuti alamat biaya, kita dapat melihat bahwa antara 19 April dan 3 Mei, alamat ini memulai lebih dari 20,000 transaksi kecil, mendistribusikan sejumlah kecil ETH ke alamat berbeda untuk memancing.

( https://etherscan.io/address/0xdcddc9287e59b5df08d17148a078bd181313eacc)

Terlihat dari gambar di atas, hacker menggunakan pendekatan wide-net, sehingga korbannya harus lebih dari satu. Melalui pemindaian skala besar, kami juga menemukan insiden phishing terkait lainnya. Berikut beberapa contohnya:

Kami mengambil alamat phishing 0xbba8a3cc45c6b28d823ca6e6422fbae656d103a6 dari kejadian kedua pada gambar di atas sebagai contoh. Kami terus menelusuri alamat biaya ke atas dan menemukan bahwa alamat ini tumpang tindih dengan alamat keterlacakan biaya dari insiden phishing 1155 WBTC, jadi alamat tersebut harusnya sama. peretas.

Dengan menganalisis transfer dana menguntungkan lainnya yang dilakukan peretas (dari akhir Maret hingga sekarang), kami juga menyimpulkan bahwa karakteristik pencucian uang lainnya dari peretas adalah mengubah dana di rantai ETH menjadi Monero atau lintas rantai ke Tron dan kemudian mentransfernya. ke alamat OTC yang dicurigai. Oleh karena itu, ada kemungkinan peretas nantinya akan menggunakan metode yang sama untuk mentransfer dana yang diperoleh dari insiden phishing 1155 WBTC.

Ciri-ciri peretas

Menurut jaringan intelijen ancaman SlowMist, kami menemukan IP stasiun pangkalan seluler di Hong Kong yang digunakan oleh tersangka peretas (kemungkinan VPN tidak dikesampingkan):

  • 182.xxx.xxx.228

  • 182.xxx.xx.18

  • 182.xxx.xx.51

  • 182.xxx.xxx.64

  • 182.xxx.xx.154

  • 182.xxx.xxx.199

  • 182.xxx.xx.42

  • 182.xxx.xx.68

  • 182.xxx.xxx.66

  • 182.xxx.xxx.207

Perlu dicatat bahwa bahkan setelah peretas mencuri 1,155 WBTC, dia tampaknya tidak berencana untuk mencuci tangannya.

Menindaklanjuti tiga alamat induk alamat phishing yang dikumpulkan sebelumnya (digunakan untuk memberikan biaya penanganan ke banyak alamat phishing), ciri umumnya adalah jumlah transaksi terakhir secara signifikan lebih besar daripada yang sebelumnya. Hal ini karena peretas menonaktifkan transaksi saat ini alamat dan mentransfer dana. Dalam operasi transfer ke alamat induk dari alamat phishing baru, ketiga alamat yang baru diaktifkan masih mentransfer dana dengan frekuensi tinggi.

( https://etherscan.io/address/0xa84aa841e2a9bdc06c71438c46b941dc29517312)

Dalam pemindaian skala besar berikutnya, kami menemukan dua alamat induk alamat phishing yang dinonaktifkan. Setelah penelusuran, kami menemukan bahwa alamat tersebut terkait dengan peretas, jadi kami tidak akan membahas detailnya di sini.

  • 0xa5cef461646012abd0981a19d62661838e62cf27

  • 0x2bb7848Cf4193a264EA134c66bEC99A157985Fb8

Pada titik ini, kami telah mengajukan pertanyaan dari mana dana pada rantai ETH berasal. Setelah pelacakan dan analisis oleh tim keamanan SlowMist, kami menemukan bahwa peretas awalnya melakukan serangan phishing terhadap Tron dengan alamat pertama dan terakhir yang sama. , dan kemudian menargetkan Tron setelah mendapatkan keuntungan. Pengguna yang masuk ke rantai ETH mentransfer dana keuntungan di Tron ke rantai ETH dan memulai phishing. Gambar berikut adalah contoh phishing peretas di Tron:

(https://tronscan.org/#/address/TY3QQP24RCHgm5Qohcfu1nHJknVA1XF2zY/transfers)

Pada tanggal 4 Mei, korban menyampaikan pesan berikut kepada peretas di rantai tersebut: Anda menang, saudara, Anda dapat menyimpan 10%, dan kemudian mengembalikan 90%, dan kita dapat berpura-pura tidak terjadi apa-apa. Kita semua tahu bahwa $7 juta cukup untuk hidup dengan baik, tetapi $70 juta akan membuat Anda kurang tidur.

Pada tanggal 5 Mei, korban terus menelepon para peretas di jaringan tersebut, namun belum menerima balasan.

Bagaimana cara bertahan

  • Mekanisme daftar putih: Disarankan agar pengguna menyimpan alamat target di buku alamat dompet. Alamat target dapat ditemukan di buku alamat dompet saat transfer dilakukan berikutnya.

  • Aktifkan fungsi pemfilteran jumlah kecil di dompet: Disarankan agar pengguna mengaktifkan fungsi pemfilteran jumlah kecil di dompet untuk memblokir nol transfer tersebut dan mengurangi risiko phishing. Tim keamanan SlowMist telah menganalisis metode phishing jenis ini pada tahun 2022. Pembaca yang tertarik dapat mengeklik tautan untuk melihatnya (SlowMist: Waspada terhadap penipuan TransferFrom zero transfer, SlowMist: Waspada terhadap penipuan airdrop nomor ekor yang sama).

  • Periksa dengan cermat apakah alamatnya benar: Saat mengonfirmasi alamat, disarankan agar pengguna setidaknya memeriksa apakah 6 digit pertama dan 8 digit terakhir kecuali 0x di depannya sudah benar.

  • Tes transfer dalam jumlah kecil: Jika dompet yang digunakan oleh pengguna hanya menampilkan 4 digit pertama dan 4 digit terakhir alamat secara default, dan pengguna masih bersikeras menggunakan dompet ini, Anda dapat mempertimbangkan untuk menguji transfer dalam jumlah kecil terlebih dahulu. Jika Anda cukup malang untuk tertangkap, itu hanya cedera ringan.

Meringkaskan

Artikel ini terutama memperkenalkan metode serangan phishing menggunakan alamat nomor pertama dan terakhir yang sama, menganalisis karakteristik peretas dan pola transfer dana, serta memberikan saran untuk mencegah serangan phishing tersebut. Tim keamanan SlowMist ingin mengingatkan Anda bahwa karena teknologi blockchain tidak dapat dirusak dan operasi pada rantai tidak dapat diubah, pengguna harus memeriksa alamat dengan cermat sebelum melakukan operasi apa pun untuk menghindari kerusakan aset.

Penafian

Isi artikel ini didasarkan pada dukungan data dari sistem pelacakan anti pencucian uang MistTrack. Hal ini bertujuan untuk menganalisis alamat publik di Internet dan mengungkapkan hasil analisisnya, namun karena karakteristik blockchain, kami tidak dapat menjamin yang absolut keakuratan semua data di sini, dan tidak bertanggung jawab atas kesalahan, kelalaian, atau kerugian yang disebabkan oleh penggunaan konten artikel ini. Pada saat yang sama, artikel ini bukan merupakan dasar untuk posisi atau analisis lainnya.

Tinjauan masalah masa lalu

  • Pembaruan Bulanan |. Total kerugian akibat insiden keamanan Web3 adalah sekitar US$90,81 juta

  • Pernyataan serius SlowMist

  • Serigala Putih dengan Sarung Tangan Kosong —— Analisis yang Diretas YIEDL

  • Mengungkap jenis penipuan baru: memodifikasi tautan node RPC secara jahat untuk menipu aset

  • Hasil pelacakan profesional SlowMist dikutip oleh Dewan Keamanan PBB

Artikel ini dicetak ulang dengan izin dari SlowMist

Artikel ini Menghabiskan Uang Kecil untuk Menangkap Ikan Besar, Kabut Lambat Mengungkap Insiden Penangkapan Ikan 1155 WBTC pertama kali muncul di Zombit.