Autor: Frank, PANews
W ciemnym lesie szyfrowania hakerzy obserwują zasoby w łańcuchu i czekają na okazje. Wśród wielu ofiar phishingu ostatecznie szczęśliwcem okazał się wieloryb, któremu wyłudzono 1155 Bitcoinów.
Ta „sprawa phishingu” była uważnie obserwowana przez społeczność ze względu na jej ogromną kwotę. Historia zaczyna się 3 maja, kiedy użytkownik wieloryba stracił 1155 WBTC o wartości około 70 milionów dolarów, gdy został wyłudzony przez hakera o tym samym adresie. . Następnie haker zamienił wszystkie WBTC na 22 955 ETH i przelał je na dziesiątki kont. 4 maja ofiara zaczęła krzyczeć do hakera za pośrednictwem wiadomości w łańcuchu, prosząc drugą stronę o zatrzymanie 10% i zwrot pozostałych 90%. Ponadto adresy ETH obu stron stały się również przestrzenią scentralizowanej komunikacji, a wiele adresów brało udział w pogoni za monetami. Do 9 maja haker odpowiedział ofierze, prosząc o pozostawienie wiadomości telegramowej i zapewniając, że skontaktuje się z nim proaktywnie.
9 maja haker zaczął zwracać ETH ofierze, ostatecznie zwracając całe ETH. Czy haker zrobił to pod presją, czy z sumienia? PANews uzyskało wgląd w przyczyny w oparciu o informacje o wymianie w sieci.
Łowcy nagród odstraszają hakerów
Od 4 maja ofiara wielokrotnie krzyczała na hakera, że może przekazać drugiej stronie 10%, ale twierdziła również, że nie opublikowała niczego na Twitterze, i doradzała hakerowi: Wszyscy to wiemy. 7 milionów na pewno sprawi, że Twoje życie stanie się lepsze, ale 70 milionów nie pozwoli Ci spać spokojnie.
Niestety, po wielokrotnych telefonach, haker nie odpowiedział. Wydaje się, że w rękach ofiary brakuje rozstrzygających dowodów potwierdzających prawdziwą tożsamość hakera, w tym faktu, że sieć analizy zagrożeń SlowMist zlokalizowała jedynie mobilną stację bazową w Hongkongu i nie uwzględnia możliwości VPN. Dlatego hakerzy również są pewni siebie.
Do 7 maja z adresu 0x882c927f0743c8aBC093F7088901457A4b520000 wysyłano do ofiary wiadomość o następującej treści: „Witam, jestem jednym z programistów ChangeNow. Mam dostęp do bazy danych ChangeNow. Haker korzystał z tej platformy wiele razy. Mogę wyciec wszystkie jego dane , ale proszę o nagrodę w wysokości 100 000 dolarów w zamian za dane takie jak adres IP i adres giełdy, na którą przesłano środki, tę informację mogę jedynie przekazać, reszta należy do policji, która powinna skontaktować się z giełdą i zbierać jego dane osobowe, na przykład z adresem Właściwy KYC i lokalizacją, prosimy o przesłanie potwierdzenia, jeśli chcesz kontynuować sprawę.”
Chociaż ofiara nigdy nie odpowiedziała na prośbę o nagrodę z tego adresu, zaraz po tej wiadomości haker nagle przesłał ofierze 51 ETH z prośbą o dodanie konta TG ofiary.
Dzięki analizie sieci PANews odkryło, że wiele powiązanych kont hakera wchodziło w interakcję z giełdą ChangeNow. Środki na adres łowcy nagród, który wezwał, zostały również wycofane przez ChangeNow. Być może to właśnie ta informacja trafiła w słaby punkt hakera i sprawiła, że zaczął on uważać na nieznanego informatora.
ChangeNow to giełda, którą hakerzy bardzo lubią. Ogólnie rzecz biorąc, służy ona jako narzędzie do mieszania walut ze względu na jej anonimowość i zwolnienie z KYC. Według PANews, jeśli haker kiedykolwiek korzystał z funkcji wymiany walut fiducjarnych na platformie, rzeczywiście wymagane jest KYC.
Jednak sądząc po informacjach znajdujących się w łańcuchu łowcy nagród i informacjach pozostawionych, nie można potwierdzić tożsamości drugiej strony jako członka personelu ChangeNow. Ostatecznie, sądząc po informacjach w łańcuchu, wydaje się, że łowca nagród nie otrzymał jeszcze nagrody w wysokości 100 000 dolarów, na którą liczył.
Prawdziwą ofiarą może być wielka, znudzona małpa
5 maja PAULY, osoba, która ujawniła tożsamość założyciela PEPE i założyciela Pond Coin, udawała ofiarę zagubionych tokenów na Twitterze, być może po to, by zyskać popularność dzięki temu incydencie. Jednak analiza przeprowadzona przez PANews wykazała, że PAULY nie była ofiarą tego zdarzenia.
Według informacji TG pozostawionych przez ofiarę w łańcuszku, był on powiązany z użytkownikiem @BuiDuPh na Twitterze. Użytkownik jest przedstawiany jako wietnamski inżynier oprogramowania. Po zdarzeniu wielokrotnie przekazywał mediom relacje na temat zdarzenia. PANews próbowało skontaktować się z użytkownikiem, ale nie otrzymało odpowiedzi. Do 12 maja użytkownik wylogował się ze swojego konta na Twitterze i usunął wszystkie powiązane treści. Jednak patrząc na poprzednie aktualizacje użytkownika na Twitterze, widzimy, że po incydencie użytkownik przesłał jedynie część istotnych treści i codziennie utrzymywał dużą liczbę wyświetleń oraz interakcji z innymi treściami. Nie wyglądał na osobę, która straciła 70 dolarów milion Użytkownik może również pomóc posiadaczom tokenów uporać się z incydentem.
Na podstawie śledzenia informacji w łańcuchu PANews ustaliło, że prawdziwym właścicielem zagubionego tokena jest prawdopodobnie użytkownik @nobody_vault. Nikt_vault jest dobrze znanym graczem NFT i niegdyś największym posiadaczem Boring Ape NFT. W chwili obecnej nadal posiada 49 gier NFT Boring Ape, a wcześniej zainwestował w projekt gry łańcuchowej Undeads. Z informacji znajdujących się w sieci wynika, że pod adresem utraconej monety dokonano dużej liczby transakcji z adresem none_vault.
Hakerzy jeszcze nie ustali
Z informacji znajdujących się w łańcuchu wynika, że haker przeprowadził ostatnio około 25 000 małych transakcji w celu phishingu za pośrednictwem dwóch adresów 0x8C642c4bB50bCafa0c867e1a8dd7C89203699a52 i 0xDCddc9287e59B5DF08d17148a078bD181313EAcC. Jak dotąd wygląda na to, że haker nie ma zamiaru przestać. Nawet po zwróceniu ofierze 1155WBTC haker nadal wykorzystuje tę metodę do łowienia ryb. Oprócz tego phishingu, według analizy SlowMist, haker zarobił ostatnio dzięki tej metodzie ponad 1,27 miliona dolarów.
Inny użytkownik 0x09564aC9288eD66bD32E793E76ce4336C1a9eD00 również pozostawił wiadomość w łańcuchu wskazującą, że haker wyłudził tą metodą ponad 20 adresów.
Jednak w porównaniu z ofiarą, która straciła 1155 WBTC, inni użytkownicy wydają się nie mieć tyle szczęścia. Ze względu na niewielką liczbę tych niewielkich ofiar phishingu nie przyciągają uwagi opinii publicznej. Wyglądało również na to, że po zwróceniu środków haker był wolny od wszelkiej odpowiedzialności prawnej. Nie tylko nadal im się to uchodzi na sucho, ale nadal wracają do starych nawyków.
Zwykłym użytkownikom to wydarzenie przypomina również, aby przed przesłaniem pieniędzy dokładnie potwierdzili swój adres.