Autore: Team AML di SlowMist

Con il rapido sviluppo della blockchain, gli incidenti di sicurezza come il furto di monete, il phishing e le frodi contro gli utenti aumentano di giorno in giorno e i metodi di attacco sono diversi. SlowMist riceve ogni giorno un gran numero di richieste di aiuto dalle vittime, sperando che possiamo fornire aiuto nel tracciare e salvare i fondi. Tra loro, ci sono molte grandi vittime che hanno perso decine di milioni di dollari. Sulla base di ciò, questa serie raccoglie statistiche e analizza i moduli rubati ricevuti ogni trimestre, con l'obiettivo di analizzare metodi malvagi comuni o rari con casi reali dopo la desensibilizzazione e aiutare gli utenti a imparare a proteggere meglio i propri beni.

Secondo le statistiche, il team MistTrack ha ricevuto un totale di 467 moduli rubati nel secondo trimestre del 2024, inclusi 146 moduli esteri e 321 moduli nazionali. Abbiamo fornito servizi comunitari di valutazione gratuiti per questi moduli (Ps. Il contenuto di questo articolo è solo per i moduli dai casi presentati, esclusi i casi contattati tramite e-mail o altri canali)

Tra questi, il team MistTrack ha aiutato 18 clienti rubati a congelare fondi per circa 20,6641 milioni di dollari su 13 piattaforme.

I 3 principali motivi di furto

La tattica più comune utilizzata nei moduli del secondo trimestre del 2024 è la seguente:

Chiave privata trapelata

Secondo le statistiche del modulo Q2, molti utenti archiviano chiavi/mnemonici privati ​​in dischi cloud come Google Docs, Tencent Docs, Baidu Cloud Disk, Graphite Docs, ecc. Alcuni utenti utilizzano WeChat e altri strumenti per archiviare chiavi/mnemonici privati ​​Invia le parole mnemoniche ai tuoi amici fidati. Inoltre, puoi copiare le parole mnemoniche nella tabella WPS tramite la funzione Picture Literacy di WeChat, quindi crittografare la tabella e avviare il servizio cloud e allo stesso tempo archiviarla nel disco rigido locale di. il computer. Questi comportamenti che sembrano migliorare la sicurezza delle informazioni in realtà aumentano notevolmente il rischio di furto di informazioni. Gli hacker utilizzano spesso il metodo del "credential stuffing" per tentare di accedere a questi siti Web di servizi di archiviazione cloud raccogliendo database di account e password trapelati pubblicamente su Internet. Sebbene si tratti di un atto fortuito, finché l'accesso ha esito positivo, gli hacker possono facilmente trovare e rubare informazioni relative alla criptovaluta. Queste situazioni possono essere considerate come una fuga passiva di informazioni. Ci sono anche alcuni casi di fuga attiva, come le vittime che vengono indotte da truffatori che fingono di essere del servizio clienti per compilare frasi mnemoniche, o vengono ingannate da collegamenti di phishing su piattaforme di chat come Discord e quindi immettono informazioni sulla chiave privata. In questo caso, il Team MistTrack ricorda fortemente a tutti che la chiave privata/frase mnemonica non deve essere divulgata a nessuno in nessuna circostanza.

Inoltre, i portafogli falsi sono anche l’area più colpita che porta alla fuga di chiavi private. Questa parte è già un cliché, ma c'è ancora un gran numero di utenti che inavvertitamente cliccano su link pubblicitari quando utilizzano i motori di ricerca e scaricano applicazioni di portafoglio false. Per motivi di rete, molti utenti sceglieranno di ottenere applicazioni correlate da siti di download di terze parti. Sebbene questi siti affermino che le loro app vengono scaricate dai mirror di Google Play, la loro effettiva sicurezza è discutibile. In precedenza, il team di sicurezza di SlowMist ha analizzato l'applicazione portafoglio sul mercato di applicazioni di terze parti apkcombo e ha scoperto che la versione imToken 24.9.11 fornita da apkcombo è una versione che non esiste ed è attualmente la versione con i portafogli imToken più falsi sul mercato.

Abbiamo anche monitorato alcuni sistemi di gestione backend relativi al team del portafoglio falso, che includono complesse funzioni di controllo della valuta digitale come la gestione degli utenti, la gestione della valuta e la gestione delle ricariche. Le caratteristiche avanzate e la professionalità di questo tipo di pesca hanno superato l'immaginazione di molte persone.

Ad esempio, nel secondo trimestre si è verificato un caso relativamente raro: un utente ha cercato "Twitter" in un motore di ricerca e ha scaricato accidentalmente una versione falsa dell'app Twitter. Quando l'utente apre l'app, viene visualizzato un messaggio che informa che è necessaria una VPN a causa delle restrizioni regionali e indirizza l'utente a scaricare la falsa VPN fornita con l'app. Di conseguenza, la chiave privata/frase mnemonica dell'utente viene rubata. Casi come questo ci ricordano ancora una volta che qualsiasi applicazione e servizio online dovrebbe essere attentamente esaminato e verificato per garantirne la legalità e la sicurezza.

pesca

Secondo l'analisi, molte delle richieste di aiuto rubate nel secondo trimestre sono state causate dal phishing: gli utenti hanno cliccato sui commenti dei link di phishing pubblicati su Twitter di progetti noti. In precedenza, il team di sicurezza di SlowMist ha effettuato analisi e statistiche mirate: dopo che circa l'80% dei noti partecipanti al progetto pubblicano tweet, il primo messaggio nell'area commenti sarà occupato da account di phishing fraudolenti. Abbiamo anche scoperto che su Telegram esistono numerosi gruppi per la vendita di account Twitter. Questi account hanno un numero diverso di follower e post e tempi di registrazione diversi, il che consente ai potenziali acquirenti di scegliere di acquistare in base alle proprie esigenze. La storia mostra che la maggior parte degli account venduti sono associati al settore delle criptovalute o a celebrità di Internet.

Inoltre, ci sono anche alcuni siti Web specializzati nella vendita di account Twitter. Questi siti Web vendono account Twitter di diversi anni e supportano persino l'acquisto di account molto simili. Ad esempio, il conto falso Optimlzm sembra molto simile al conto reale Optimism. Dopo aver acquistato un account così simile, la banda di phishing utilizzerà strumenti di promozione per aumentare l'interazione e il numero di fan dell'account, aumentando così la credibilità dell'account. Questi strumenti promozionali non solo accettano pagamenti in criptovaluta, ma vendono anche una varietà di servizi di piattaforme social tra cui Mi piace, retweet, follower, ecc. Utilizzando questi strumenti, il gruppo di phishing può ottenere un account Twitter con un gran numero di follower e post e imitare la dinamica di diffusione delle informazioni del soggetto coinvolto nel progetto. A causa dell'elevata somiglianza con il racconto del vero partecipante al progetto, per molti utenti è difficile distinguere l'autenticità da quello falso, aumentando così ulteriormente la percentuale di successo dei gruppi di phishing. Le bande di phishing eseguono poi operazioni di phishing, ad esempio seguono con bot automatizzati le dinamiche di progetti noti. Quando il team del progetto pubblica un tweet, il bot risponderà automaticamente per catturare il primo commento, attirando così più visualizzazioni. Dato che gli account mascherati dalla banda di phishing sono molto simili agli account del team di progetto, se l'utente negligente clicca sul collegamento di phishing dell'account falso, quindi autorizza e firma, ciò può portare a perdite patrimoniali.

In generale, considerando gli attacchi di phishing nel settore blockchain, per i singoli utenti, il rischio risiede principalmente nei due punti centrali "nome di dominio e firma". Per ottenere una protezione completa della sicurezza, abbiamo sempre sostenuto l'adozione di una doppia strategia di protezione, vale a dire la difesa della consapevolezza della sicurezza del personale + la difesa dei mezzi tecnici. La difesa tecnica si riferisce all'utilizzo di vari strumenti hardware e software, come il plug-in Scam Sniffer per il blocco del rischio di phishing, per garantire la sicurezza di risorse e informazioni. Quando l'utente apre una pagina di phishing sospetta, lo strumento visualizzerà un messaggio di rischio tempo, evitando così che il rischio si formi in un solo passaggio. In termini di difesa della consapevolezza della sicurezza del personale, consigliamo vivamente a tutti di leggere approfonditamente e padroneggiare gradualmente il "Manuale di autosalvataggio della Blockchain Dark Forest" (https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob /main/README_CN.md). Solo attraverso la cooperazione di queste due strategie di protezione possiamo combattere efficacemente i metodi di attacco di phishing in continua evoluzione e aggiornamento e proteggere la sicurezza delle risorse.

Truffa

Esistono molte tecniche di frode Q2 La tecnica di frode più comune è Pixiu Pan. Nelle leggende, Pixiu è considerato una creatura magica. Si dice che possa ingoiare tutto senza espellerlo. La favola dice che una volta ingoiati tesori come oro e gioielli, non possono essere portati fuori dal suo corpo. Pertanto, il disco Pixiu viene utilizzato come metafora delle valute digitali che non possono essere vendute una volta acquistate.

Una vittima ha descritto la sua esperienza: “Ho posto una domanda nel gruppo Telegram e qualcuno ha risposto con entusiasmo a molte delle mie domande e mi ha insegnato molto. Dopo aver chiacchierato in privato per due giorni, ho sentito che gli altri erano abbastanza bravi mi ha proposto di portarmi sul mercato primario per acquistare nuovi token e mi ha fornito un indirizzo contrattuale per la valuta su PancakeSwap. Dopo averlo acquistato, la valuta ha continuato a salire. Mi ha detto che era un anno e mezzo quando è arrivata un'occasione d'oro insieme, mi ha suggerito di aumentare immediatamente gli investimenti. Sentivo che le cose non erano così semplici, quindi non ho seguito il suo consiglio. Una volta che ho capito che potevo essere stato ingannato, ho chiesto ad altre persone del gruppo . Ho aiutato con l'indagine e ho scoperto che si trattava effettivamente di Pixiu Coin e ho potuto solo acquistarlo ma non venderlo. Quando il truffatore ha scoperto che non aggiungevo più posizioni, mi ha anche bloccato.

L’esperienza di questa vittima riflette in realtà il modello tipico della frode Pixiu Pan:

1. I truffatori utilizzano contratti intelligenti che piazzano trappole e lanciano esche promettendo profitti elevati;

2. I truffatori fanno del loro meglio per attirare obiettivi per acquistare token. Le vittime spesso vedono i token apprezzarsi rapidamente dopo l'acquisto, pertanto, le vittime di solito decidono di attendere che i token aumentino abbastanza prima di provare a riscattarli, solo per scoprire che non possono venderli. gettoni acquistati;

3. Infine, il truffatore ritira i fondi investiti dalla vittima.

Vale la pena ricordare che le monete Pixiu menzionate nel modulo Q2 sono avvenute tutte su BSC. Come puoi vedere nell'immagine qui sotto, ci sono molte transazioni di monete Pixiu che i truffatori hanno anche inviato ai portafogli e agli scambi molte transazioni. L'illusione della partecipazione umana.

A causa della natura nascosta del mercato Pixiu, potrebbe essere difficile anche per gli investitori esperti vedere chiaramente la verità. Al giorno d’oggi prevale la tendenza dei meme e diversi tipi di “Dogecoin” hanno un certo impatto sul mercato. Poiché il prezzo del piatto Pixiu aumenterà rapidamente, le persone spesso seguono la tendenza e acquistano impulsivamente. Molti partecipanti al mercato che non conoscono la verità stanno inseguendo questa ondata di "febbre canina locale", ma inavvertitamente cadono nella trappola del piatto Pixiu. Dopo l'acquisto non potranno più utilizzarlo in vendita.

Pertanto, il team MistTrack consiglia agli utenti di adottare le seguenti misure prima di fare trading per evitare perdite finanziarie causate dalla partecipazione al trading Pixiu:

• Utilizza MistTrack per verificare lo stato di rischio degli indirizzi correlati o utilizza lo strumento di rilevamento della sicurezza Token di GoPlus per identificare le monete Pixiu e prendere decisioni commerciali;

• Controlla se il codice è stato controllato e verificato su Etherscan, BscScan o leggi le recensioni come avvisano alcune vittime nella scheda Recensioni delle monete truffa;

• Comprendere le informazioni rilevanti sulla valuta virtuale, considerare il background del partecipante al progetto e migliorare la consapevolezza dell'autoprevenzione. Diffidare delle valute virtuali che offrono rendimenti ultra elevati, poiché rendimenti ultra elevati di solito significano un rischio maggiore.