Ostatnio kilku użytkowników zgłosiło, że ich aktywa zostały skradzione. Na początku nie byli pewni, w jaki sposób ich fundusze zostały skradzione, ale po dokładniejszym przyjrzeniu się odkryliśmy, że był to nowy rodzaj oszustwa airdrop.
Wiele adresów ofiar było stale zrzucanych z powietrza z niewielkimi kwotami tokenów (0,01 USDT, 0,001 USDT itd.) i najprawdopodobniej były celem ataku, ponieważ ich adresy były zaangażowane w transakcje o dużej wartości i wolumen obrotu. Ostatnie kilka cyfr adresu atakującego jest niemal identyczne z ostatnimi kilkoma cyframi adresu użytkownika. Ma to na celu oszukanie użytkownika, aby przypadkowo skopiował zły adres z historii transakcji i wysłał środki na niewłaściwy adres.
Informacje powiązane
Adres atakującego 1: TX…dWfKz
Adres użytkownika 1: TW…dWfKz
Adres atakującego 2: TK…Qw5oH
Adres użytkownika 2: TW…Qw5oH
Analiza MistTrack
Zacznijmy od przeglądu dwóch adresów atakujących:
Adres atakującego (TX…..dWfKz) i adres użytkownika (TW…..dWfKz) kończą się na dWfKz. Nawet po tym, jak użytkownik omyłkowo wysłał 115 193 USDT na zły adres, atakujący nadal zrzuca 0,01 USDT i 0,001 USDT na adres ofiary, używając dwóch nowych adresów, które również kończą się na dWfKz.
To samo przydarzyło się naszej drugiej ofierze. Adres atakującego (TK…. .Qw5oH) i adres użytkownika ( (TW…. .Qw5oH) kończą się na Qw5oH. Ofiara omyłkowo wysłała 345 940 USDT na zły adres, a atakujący kontynuuje zrzucanie 0,01 USDT na adres ofiary, używając nowych adresów, które również kończą się na Qw5oH.
Następnie sprawdzimy adres atakującego 1, używając naszej platformy AML MistTrack (tx.. .dWfKz). Jak pokazano na poniższym rysunku, adres atakującego 1 zrzuca 0,01 USDT i 0,02 USDT na różne adresy docelowe, z których wszystkie wchodziły w interakcję z adresem kończącym się na dWfKz.
Z perspektywy czasu możemy zauważyć, że pierwsze przelewy na te zrzuty przyszły z adresu TF…. J5Jo8 10 października, kiedy to przelano na niego 0,5 USDT.
Wstępna analiza TF… .J5Jo8:
Ten adres wysłał 0,5 USDT do prawie 3300 adresów, co wskazuje, że każdy z tych adresów odbiorczych może być adresem używanym przez atakującego do airdropu. Postanowiliśmy więc wybrać jeden adres losowo, aby zweryfikować naszą teorię.
MistTrack został użyty do analizy ostatniego adresu na powyższym wykresie, TX…..4yBmC. Jak pokazano na poniższym rysunku, adres TX….4yBmC jest używany przez atakującego do zrzucania 0,01 USDT na wiele adresów kończących się na 4yBmC.
Przyjrzyjmy się adresowi atakującego 2 (TK…. .Qw5oH): 0,01 USDT zostało wysłane na wiele adresów, a początkowe finansowanie w wysokości 0,6 USDT zostało wysłane z TD…. .psxmk.
Jak widać na poniższym wykresie, atakujący wysłał 0,06 USDT na adres TD…. .kXbFq i wszedł także w interakcję z adresem depozytowym użytkownika FTX kończącym się na Qw5oH.
Odwróćmy więc proces i sprawdźmy, czy inne adresy nawiązały interakcję z TD… .kXbFq. Czy są jakieś inne adresy z takimi samymi znakami końcowymi, jak te, które zostały do nich wysłane?
Ponownie wybierzemy dwa adresy losowo i przetestujemy naszą teorię. (na przykład adres depozytu Kraken TU… .hhcWoT i adres depozytu Binance TM…. .QM7me).
Niestety, oszustowi udało się nakłonić niczego niepodejrzewającego użytkownika do wysłania mu środków.
Streszczenie
W tym artykule skupiono się na tym, jak oszust wykorzystuje użytkowników, którzy kopiują adres z historii transakcji bez weryfikacji całego adresu. Osiągają to, generując podobny adres, który kończy się tak samo jak adres użytkownika, i regularnie przesyłając niewielkie kwoty środków na adres użytkownika. Wszystko to odbywa się w nadziei, że użytkownicy skopiują fałszywy adres i wyślą swoje środki oszustowi następnym razem.
SlowMist chciałby przypomnieć wszystkim, że ze względu na niezmienność technologii blockchain i nieodwracalność operacji on-chain, prosimy o dwukrotne sprawdzenie adresu przed kontynuowaniem. Użytkownicy są również zachęcani do korzystania z funkcji książki adresowej w portfelu, aby nie musieli kopiować i adresować za każdym razem.
