Autor: Bitrac

14 czerwca 2024 r. współzałożycielka Binance, pani He Yi, opublikowała w mediach społecznościowych informację, że ktoś podszywa się pod jej tożsamość i utworzył fałszywe konto X. Oszust wykorzystał to do przekazania ofierze linków phishingowych, co spowodowało, że ofiara straciła pieniądze Wiadomość ta, będąca zaszyfrowanym aktywem o wartości 60 ETH, szybko wywołała gorącą dyskusję po jej opublikowaniu.



 

Później tego samego dnia ofiara aktywnie skontaktowała się z Bitrace w celu uzyskania pomocy. Po dochodzeniu przeprowadzonym przez zespół ds. bezpieczeństwa odkryto, że podmiotem powiązanym z adresem zdarzenia był dostawca usług phishingowych Inferno Drainer. Grupa ofiar szybko się powiększała, a skala kradzieży była duża środki przekroczyły 28 mln dolarów. Celem tego artykułu jest ujawnienie tego incydentu poprzez przedstawienie technik phishingu, skali funduszy i kanałów prania pieniędzy.

 

techniki wędkarskie

Udawanie konta społecznościowego krypto-celebryty jest bardzo popularną metodą oszustwa

 

Skala uszkodzonych środków ofiary tym razem była stosunkowo duża. Skradziono certyfikaty zastawu Ethereum i Ethereum o wartości ponad 200 000 dolarów amerykańskich. 57,54weETH wpłynęło bezpośrednio na adres phishingowy i zostało zamienione na ETH za pośrednictwem zewnętrznego narzędzia DEX w celu tymczasowego gromadzenia. Pozostałe 0,58 ETH zostało przekazane w ramach umów połowowych.

 

 

Po przeprowadzeniu audytu funduszu dotyczącego skradzionej monety o adresie 0x5Ae6 nietrudno stwierdzić, że jest to kolejny typowy incydent związany z kradzieżą monet przez profesjonalnego oszusta. Gang kradnący monety przekaże cenne aktywa na adres ofiary tak szybko, jak to możliwe po uzyskaniu adresu Dlatego też oprócz Tethera celem są także aktywa emitowane przez dobrze znane protokoły, takie jak etherfi i bufor.

 

Na chwilę obecną pod adresem nadal znajduje się 197,78 ETH pozostałe po wymianie różnych tokenów ERC20, a także inne tokeny o wartości ponad 30 000 dolarów amerykańskich.

 

Wielkość funduszu

Śledzenie opłaty 0x5Ae6 pokazuje, że adres ten jest ściśle powiązany z 0x0000db5c8b030ae20308ac975898e09741e70000, który jest jednym z adresów biznesowych osławionego Inferno Drainer, oznaczonym przez główne agencje bezpieczeństwa, w tym Bitrace.

 

 

W ciągu ostatnich kilku miesięcy e70000 zainicjował transfery na ponad 30 podadresów, w tym 0x5Ae6. Te podadresy były szeroko wykorzystywane do gromadzenia środków w ramach różnych oszukańczych działań phishingowych, co zauważyli na niektórych platformach społecznościowych w przypadku incydentów wiktymizacji adresy te można mniej więcej znaleźć.

 

 

Według statystyk zespołu ds. bezpieczeństwa Bitrace, w pierwszej połowie tego roku jedynie część tych adresów, zawierająca adresy niezwiązane z umową, uzyskała nielegalnie różne aktywa o wartości ponad 28 milionów dolarów amerykańskich, z czego ponad 20 milionów dolarów to nielegalne zyski zostały wyprane i przekazane. A to może być dopiero wierzchołek góry lodowej w całej siatce przestępczej.

 

techniki prania pieniędzy

W porównaniu z fałszywymi portfelami, których celem są aktywa, w tym Tether i inne monety typu stablecoin, ten typ Drainera i jego użytkownicy wykazują bardziej „kryptorodzimą” stronę w zakresie prania funduszy i traktują priorytetowo konwersję nielegalnych zysków. Jest to ETH zamiast monet stabilnych które są łatwiejsze do rozliczenia, a miejsce pobytu środków jest ukrywane za pośrednictwem scentralizowanych platform płatniczych i wymiany zamiast tradycyjnych pralni pieniędzy.

 

 

Biorąc za przykład 0x768a, adres ten szeroko wykorzystywał scentralizowane lub zdecentralizowane platformy, takie jak Changenow, eXch, RhinoFi, 1inch i Gate podczas procesu czyszczenia funduszu, aby ukryć miejsce pobytu środków.

 

Jeśli chodzi o adres 0x5Ae6, który gromadził nielegalne zyski z tego incydentu, jak dotąd nie rozpoczął żadnych działań związanych z praniem pieniędzy. Bitrace będzie nadal monitorować ten adres i starać się przechwytywać fundusze, aby pomóc ofiarom odzyskać straty.

 

 

Na koniec ponownie przypomina się inwestorom, aby przed przystąpieniem do unikania ataków phishingowych wielokrotnie potwierdzali oficjalną stronę internetową projektu lub konto w mediach społecznościowych.