Wraz z szybkim rozwojem technologii blockchain liczba incydentów związanych z bezpieczeństwem, takich jak kradzież monet, phishing i oszustwa wymierzone w użytkowników, rośnie z dnia na dzień, a metody ataków są zróżnicowane. SlowMist codziennie otrzymuje od ofiar dużą liczbę próśb o pomoc, mając nadzieję, że uda nam się zapewnić pomoc w wyśledzeniu i uratowaniu środków. Wśród nich jest wiele dużych ofiar, które straciły dziesiątki milionów dolarów. Na tej podstawie ta seria gromadzi statystyki i analizuje skradzione formularze otrzymywane co kwartał, mając na celu analizę powszechnych lub rzadkich metod zła w rzeczywistych przypadkach po odczuleniu i pomóc użytkownikom dowiedzieć się, jak lepiej chronić swoje aktywa.
Według statystyk zespół MistTrack otrzymał w sumie 467 skradzionych formularzy w drugim kwartale 2024 r., w tym 146 formularzy zagranicznych i 321 formularzy krajowych. Zapewniliśmy bezpłatną usługę oceny tych formularzy (Ps. Treść tego artykułu dotyczy wyłącznie formularzy). ze zgłoszonych spraw, z wyłączeniem spraw, z którymi skontaktowano się za pośrednictwem poczty elektronicznej lub innych kanałów)
Wśród nich zespół MistTrack pomógł 18 skradzionym klientom w zamrożeniu środków o wartości około 20,6641 mln USD na 13 platformach.
3 główne powody kradzieży
Najpopularniejsza taktyka stosowana w formularzach za II kwartał 2024 r. jest następująca:
Wyciekł klucz prywatny
Według statystyk z formularza Q2 wielu użytkowników przechowuje klucze prywatne/mnemoniki na dyskach w chmurze, takich jak Google Docs, Tencent Docs, Baidu Cloud Disk, Graphite Docs itp. Niektórzy użytkownicy używają WeChat i innych narzędzi do przechowywania swoich kluczy prywatnych/fraz mnemonicznych Wyślij słowa mnemoniczne do zaufanych przyjaciół. Co więcej, możesz skopiować słowa mnemoniczne do tabeli WPS za pomocą funkcji czytania i pisania obrazów WeChat, a następnie zaszyfrować tabelę i uruchomić usługę w chmurze, a jednocześnie zapisać ją na dysku lokalnym. napęd komputera. Zachowania, które wydają się poprawiać bezpieczeństwo informacji, w rzeczywistości znacznie zwiększają ryzyko kradzieży informacji. Hakerzy często korzystają z metody „upychania danych uwierzytelniających”, próbując zalogować się do witryn oferujących usługi przechowywania w chmurze, zbierając w Internecie publicznie dostępne bazy danych kont i haseł. Chociaż jest to przypadek, o ile logowanie się powiedzie, hakerzy mogą z łatwością znaleźć i ukraść informacje związane z kryptowalutą. Takie sytuacje można uznać za bierny wyciek informacji. Zdarzają się również przypadki aktywnego wycieku, np. nakłonienie ofiar przez oszustów podających się za obsługę klienta do wypełnienia fraz mnemonicznych lub oszukanie przez linki phishingowe na platformach czatowych, takich jak Discord, a następnie wprowadzenie informacji klucza prywatnego. W tym miejscu zespół MistTrack stanowczo przypomina wszystkim, że klucz prywatny/fraza mnemoniczna nie powinna być nikomu ujawniana, pod żadnym pozorem.
Ponadto fałszywe portfele są również najbardziej dotkniętym obszarem, który prowadzi do wycieku kluczy prywatnych. Ta część jest już banałem, ale nadal istnieje duża liczba użytkowników, którzy podczas korzystania z wyszukiwarek niechcący klikają linki reklamowe i pobierają fałszywe aplikacje portfelowe. Ze względów sieciowych wielu użytkowników zdecyduje się pobrać powiązane aplikacje z witryn pobierania stron trzecich. Chociaż witryny te twierdzą, że ich aplikacje są pobierane z serwerów lustrzanych Google Play, ich faktyczne bezpieczeństwo jest wątpliwe. Wcześniej zespół ds. bezpieczeństwa SlowMist przeanalizował aplikację portfela na zewnętrznym rynku aplikacji apkcombo i stwierdził, że wersja imToken 24.9.11 dostarczona przez apkcombo to wersja, która nie istnieje i obecnie jest to wersja z największą liczbą fałszywych portfeli imToken w sklepie.
Prześledziliśmy także niektóre systemy zarządzania backendem powiązane z zespołem zajmującym się fałszywymi portfelami, które obejmują złożone funkcje kontroli waluty cyfrowej, takie jak zarządzanie użytkownikami, zarządzanie walutą i zarządzanie doładowaniami. Zaawansowane funkcje i profesjonalizm tego rodzaju połowów przekroczyły wyobraźnię wielu ludzi.
Na przykład w drugim kwartale odnotowano stosunkowo rzadki przypadek: użytkownik wyszukał w wyszukiwarce hasło „Twitter” i przypadkowo pobrał fałszywą wersję aplikacji Twitter. Gdy użytkownik otwiera aplikację, pojawia się monit z informacją, że VPN jest wymagany ze względu na ograniczenia regionalne i instruuje użytkownika, aby pobrał fałszywą sieć VPN dołączoną do aplikacji. W rezultacie klucz prywatny/fraza mnemoniczna użytkownika zostaje skradziona. Takie przypadki po raz kolejny przypominają nam, że wszelkie aplikacje i usługi online należy dokładnie sprawdzić i zweryfikować, aby zapewnić ich legalność i bezpieczeństwo.
Wędkarstwo
Według analizy wiele skradzionych próśb o pomoc w drugim kwartale było spowodowanych phishingiem: użytkownicy klikali komentarze do linków phishingowych zamieszczane na Twitterze do znanych projektów. Wcześniej zespół ds. bezpieczeństwa SlowMist przeprowadził ukierunkowane analizy i statystyki: po opublikowaniu tweetów przez około 80% znanych stron projektu, pierwsza wiadomość w obszarze komentarzy zostanie zajęta przez fałszywe konta phishingowe. Odkryliśmy również, że na Telegramie istnieje duża liczba grup sprzedających konta na Twitterze. Konta te mają różną liczbę obserwujących i postów oraz różne czasy rejestracji, co pozwala potencjalnym nabywcom wybierać zakupy zgodnie ze swoimi potrzebami. Historia pokazuje, że większość sprzedanych kont jest związana z branżą kryptowalut lub gwiazdami Internetu.
Ponadto istnieją również witryny specjalizujące się w sprzedaży kont na Twitterze. Strony te sprzedają konta na Twitterze z różnych lat, a nawet umożliwiają zakup bardzo podobnych kont. Na przykład fałszywe konto Optimlzm wygląda bardzo podobnie do prawdziwego konta Optimism. Po zakupie tak bardzo podobnego konta gang phishingowy użyje narzędzi promocyjnych w celu zwiększenia interakcji i liczby fanów konta, zwiększając w ten sposób wiarygodność konta. Te narzędzia promocyjne nie tylko akceptują płatności w kryptowalutach, ale także sprzedają różnorodne usługi platform społecznościowych, w tym polubienia, retweety, obserwujących itp. Za pomocą tych narzędzi grupa phishingowa może uzyskać konto na Twitterze z dużą liczbą obserwujących i postów oraz imitować dynamikę ujawniania informacji przez stronę projektu. Ze względu na duże podobieństwo do konta prawdziwej strony projektu, wielu użytkownikom trudno jest odróżnić autentyczność od fałszywego, co jeszcze bardziej zwiększa skuteczność grup phishingowych. Następnie gangi phishingowe przeprowadzają operacje phishingowe, takie jak wykorzystywanie automatycznych botów do śledzenia dynamiki dobrze znanych projektów. Gdy zespół projektowy opublikuje tweet, bot automatycznie odpowie, aby przechwycić pierwszy komentarz, przyciągając w ten sposób więcej wyświetleń. Biorąc pod uwagę, że konta ukrywane przez gang phishingowy są bardzo podobne do kont zespołu projektowego, gdy użytkownik dopuści się zaniedbania i kliknie link phishingowy na fałszywym koncie, a następnie autoryzuje i podpisze, może to prowadzić do utraty aktywów.
Ogólnie rzecz biorąc, patrząc na ataki phishingowe w branży blockchain, w przypadku użytkowników indywidualnych ryzyko polega głównie na dwóch kluczowych kwestiach, czyli „nazwie domeny i podpisie”. W celu osiągnięcia kompleksowej ochrony bezpieczeństwa zawsze opowiadaliśmy się za przyjęciem podwójnej strategii ochrony, czyli obrony świadomości bezpieczeństwa personelu + obrony środkami technicznymi. Ochrona techniczna oznacza używanie różnych narzędzi sprzętowych i programowych, takich jak wtyczka blokująca ryzyko phishingu Scam Sniffer, w celu zapewnienia bezpieczeństwa zasobów i informacji. Gdy użytkownik otworzy podejrzaną stronę phishingową, narzędzie wyświetli monit o zagrożeniu czas, zapobiegając w ten sposób powstaniu zagrożenia, w pierwszej kolejności Zablokuj je w jednym kroku. Jeśli chodzi o obronę świadomości bezpieczeństwa personelu, zdecydowanie zalecamy, aby każdy dokładnie przeczytał i stopniowo opanowywał „Podręcznik samoratowania Blockchain Dark Forest” (https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob /main/README_CN.md). Tylko dzięki współpracy tych dwóch strategii ochrony możemy skutecznie zwalczać zmieniające się i unowocześniane metody ataków phishingowych oraz chronić bezpieczeństwo zasobów.
Oszustwo
Istnieje wiele technik oszustwa. Q2 Najpopularniejszą techniką oszustwa jest Pixiu Pan. W legendach Pixiu uważany jest za magiczne stworzenie. Mówi się, że może połknąć wszystko, nie wydalając tego. Bajka mówi, że połknięte skarby, takie jak złoto i biżuteria, nie mogą zostać wyjęte z jego ciała. Dlatego dysk Pixiu jest używany jako metafora cyfrowych walut, których po zakupie nie można sprzedać.
Ofiara opisała swoje doświadczenie: „Zadałem pytanie w grupie na Telegramie i ktoś entuzjastycznie odpowiedział na wiele moich pytań i wiele mnie nauczył. Po dwóch dniach prywatnej rozmowy poczułem, że inni byli całkiem w porządku. Więc on zaproponował zabranie mnie na rynek pierwotny w celu zakupu nowych tokenów i podał adres kontraktu na walutę na PancakeSwap. Po zakupie waluta stale rosła. Powiedział mi, że minęło pół roku, kiedy nadeszła wspaniała okazja zasugerował, żebym natychmiast zwiększył inwestycje. Poczułem, że sprawa nie jest taka prosta, więc nie posłuchałem jego rady. Kiedy zdałem sobie sprawę, że mogłem zostać oszukany, zapytałem innych osób w grupie Pomogłem w dochodzeniu i dowiedziałem się, że to rzeczywiście Pixiu Coin. Ja też go wypróbowałem i mogłem go tylko kupić, ale nie sprzedać. Kiedy oszust dowiedział się, że nie dodałem już pozycji, również mnie zablokował.
Doświadczenia tej ofiary w rzeczywistości odzwierciedlają typowy schemat oszustwa Pixiu Pan:
1. Oszuści wdrażają inteligentne kontrakty, które zastawiają pułapki i rzucają przynętę obiecując wysokie zyski;
2. Oszuści robią wszystko, co w ich mocy, aby przyciągnąć ofiary do zakupu tokenów. Ofiary często zauważają, że tokeny szybko zyskują na wartości po zakupie. Dlatego ofiary zazwyczaj decydują się zaczekać, aż liczba tokenów wzrośnie wystarczająco, zanim spróbują je wykorzystać, ale okazuje się, że nie mogą ich sprzedać. zakupione tokeny;
3. Na koniec oszust wycofuje zainwestowane środki ofiary.
Warto wspomnieć, że wszystkie monety Pixiu wymienione w formularzu Q2 miały miejsce na BSC. Jak widać na poniższym obrazku, istnieje wiele transakcji monetami Pixiu, w wyniku czego oszuści wysyłali również posiadane tokeny do portfeli i giełd wiele transakcji. Iluzja udziału człowieka.
Ze względu na ukryty charakter rynku Pixiu, nawet doświadczonym inwestorom może być trudno dostrzec prawdę. W dzisiejszych czasach panuje trend memowy, a różne rodzaje „Dogecoinów” mają pewien wpływ na rynek. Ponieważ cena talerza Pixiu będzie szybko rosła, ludzie często podążają za trendem i kupują pod wpływem impulsu. Wielu uczestników rynku, którzy nie znają prawdy, goniąc za falą „lokalnej psiej gorączki”, niechcący wpada w pułapkę talerza Pixiu. Po zakupie nie mogą już z niego korzystać.
Dlatego zespół MistTrack zaleca, aby użytkownicy przed przystąpieniem do handlu podjęli następujące kroki, aby uniknąć strat finansowych spowodowanych uczestnictwem w handlu Pixiu:
Użyj MistTrack, aby sprawdzić status ryzyka powiązanych adresów, lub użyj narzędzia do wykrywania bezpieczeństwa tokenów GoPlus, aby zidentyfikować monety Pixiu i podejmować decyzje handlowe;
Sprawdź, czy kod został skontrolowany i zweryfikowany w Etherscan, BscScan lub przeczytaj recenzje, jak ostrzegają niektóre ofiary na karcie recenzji fałszywych monet;
Zrozum istotne informacje o walucie wirtualnej, rozważ pochodzenie strony projektu i zwiększ świadomość w zakresie samozapobiegania. Uważaj na waluty wirtualne, które oferują bardzo wysokie zyski, ponieważ bardzo wysokie zyski zwykle oznaczają większe ryzyko.
napisz na końcu
Jeśli Twoja kryptowaluta zostanie niestety skradziona, zapewnimy bezpłatną pomoc społeczną w celu oceny sprawy. Wystarczy przesłać formularz zgodnie z wytycznymi dotyczącymi klasyfikacji (kradzież środków/oszustwo/wymuszenie). Jednocześnie przesłany adres hakera zostanie również zsynchronizowany z siecią współpracy w zakresie analizy zagrożeń SlowMist InMist Lab w celu kontroli ryzyka. (Uwaga: prześlij formularz w języku chińskim na https://aml.slowmist.com/cn/recovery-funds.html, a formularz w języku angielskim na https://aml.slowmist.com/recovery-funds.html)
SlowMist od wielu lat jest głęboko zaangażowany w przeciwdziałanie praniu pieniędzy w kryptowalutach i stworzył kompletne i wydajne rozwiązanie obejmujące zgodność, dochodzenie i audyt. Aktywnie pomaga budować zdrowe środowisko ekologiczne dla kryptowalut, a także zapewnia wsparcie dla Branża Web3, instytucje finansowe, agencje regulacyjne i działy ds. zgodności w celu świadczenia profesjonalnych usług. Wśród nich MistTrack to platforma do badania zgodności, która zapewnia analizę adresów portfeli, monitorowanie funduszy i identyfikowalność. Zgromadziła ponad 300 milionów etykiet adresowych, ponad 1000 jednostek adresowych, ponad 500 000 danych dotyczących zagrożeń i ponad 90 milionów adresów ryzyka. zapewniają one potężną ochronę w celu zapewnienia bezpieczeństwa zasobów cyfrowych i zwalczania przestępstw związanych z praniem pieniędzy.