Autor: Equipe SlowMist AML

 

Com o rápido desenvolvimento do blockchain, incidentes de segurança como roubo de moedas, phishing e fraudes contra usuários estão aumentando dia a dia e os métodos de ataque são diversos. SlowMist recebe diariamente um grande número de pedidos de ajuda de vítimas, esperando que possamos fornecer ajuda no rastreamento e resgate de fundos. Entre elas, há muitas vítimas grandes que perderam dezenas de milhões de dólares. Com base nisso, esta série coleta estatísticas e analisa os formulários roubados recebidos a cada trimestre, com o objetivo de analisar métodos malignos comuns ou raros com casos reais após a dessensibilização e ajudar os usuários a aprender como proteger melhor seus ativos.

De acordo com as estatísticas, a equipe MistTrack recebeu um total de 467 formulários roubados no segundo trimestre de 2024, incluindo 146 formulários estrangeiros e 321 formulários nacionais. Fornecemos serviços comunitários de avaliação gratuitos para esses formulários (Ps. O conteúdo deste artigo é apenas para formulários. de Casos enviados, excluindo casos contatados por e-mail ou outros canais)

Entre eles, a equipe MistTrack ajudou 18 clientes roubados no congelamento de aproximadamente US$ 20,6641 milhões em fundos em 13 plataformas.

3 principais motivos para roubo

A tática mais comum usada nos formulários do segundo trimestre de 2024 é a seguinte:

Chave privada vazou

De acordo com as estatísticas do formulário Q2, muitos usuários armazenam chaves/mnemônicos privados em discos de nuvem, como Google Docs, Tencent Docs, Baidu Cloud Disk, Graphite Docs, etc. Alguns usuários usam WeChat e outras ferramentas para armazenar chaves/mnemônicos privados. as palavras mnemônicas para seus amigos de confiança. Além disso, você pode copiar as palavras mnemônicas para a tabela WPS por meio da função de alfabetização de imagens do WeChat, criptografar a tabela e iniciar o serviço de nuvem e, ao mesmo tempo, armazená-la no disco rígido local do. o computador. Esses comportamentos que parecem melhorar a segurança da informação, na verdade, aumentam muito o risco de roubo de informações. Os hackers costumam usar o método de “recheio de credenciais” para tentar fazer login nesses sites de serviços de armazenamento em nuvem, coletando bancos de dados de contas e senhas vazados publicamente na Internet. Embora este seja um ato do acaso, desde que o login seja bem-sucedido, os hackers podem facilmente encontrar e roubar informações relacionadas à criptomoeda. Essas situações podem ser consideradas como vazamento passivo de informações. Há também alguns casos de vazamento ativo, como vítimas sendo induzidas por golpistas que fingem ser o serviço de atendimento ao cliente para preencher frases mnemônicas, ou sendo enganadas por links de phishing em plataformas de chat como o Discord, e depois inserindo informações de chave privada. Aqui, a equipe MistTrack lembra fortemente a todos que a chave privada/frase mnemônica não deve ser divulgada a ninguém em nenhuma circunstância.

Além disso, carteiras falsas também são a área mais atingida que leva ao vazamento de chaves privadas. Essa parte já é um clichê, mas ainda há um grande número de usuários que inadvertidamente clicam em links publicitários ao usar mecanismos de busca e baixam aplicativos de carteiras falsas. Devido a motivos de rede, muitos usuários optarão por obter aplicativos relacionados em sites de download de terceiros. Embora esses sites afirmem que seus aplicativos são baixados de espelhos do Google Play, sua segurança real é questionável. Anteriormente, a equipe de segurança do SlowMist analisou o aplicativo de carteira no mercado de aplicativos de terceiros apkcombo e descobriu que a versão imToken 24.9.11 fornecida pelo apkcombo é uma versão que não existe e é atualmente a versão com mais carteiras imToken falsas no mercado.

Também rastreamos alguns sistemas de gerenciamento de back-end relacionados à equipe de carteiras falsas, que incluem funções complexas de controle de moeda digital, como gerenciamento de usuários, gerenciamento de moeda e gerenciamento de recarga. As características avançadas e o profissionalismo deste tipo de pesca ultrapassaram a imaginação de muitas pessoas.

Por exemplo, o segundo trimestre teve um caso relativamente raro: um usuário pesquisou “Twitter” em um mecanismo de busca e baixou acidentalmente uma versão falsa do aplicativo do Twitter. Quando o usuário abre o aplicativo, um prompt aparece alegando que uma VPN é necessária devido a restrições regionais e orienta o usuário a baixar a VPN falsa que vem com o aplicativo. Como resultado, a chave privada/frase mnemônica do usuário é roubada. Casos como este lembram-nos mais uma vez que quaisquer aplicações e serviços online devem ser cuidadosamente revistos e verificados para garantir a sua legalidade e segurança.

pescaria

De acordo com a análise, muitos dos pedidos de ajuda roubados no segundo trimestre foram causados ​​por phishing: os usuários clicaram em comentários de links de phishing postados no Twitter de projetos conhecidos. Anteriormente, a equipe de segurança do SlowMist fazia análises e estatísticas direcionadas: depois que cerca de 80% das partes conhecidas do projeto publicam tweets, a primeira mensagem na área de comentários será ocupada por contas de phishing fraudulentas. Descobrimos também que existe um grande número de grupos no Telegram para venda de contas do Twitter. Essas contas possuem diferentes números de seguidores e postagens, e diferentes tempos de registro, o que permite que potenciais compradores escolham a compra de acordo com suas necessidades. A história mostra que a maioria das contas vendidas está associada à indústria de criptomoedas ou a celebridades da Internet.

Além disso, existem também alguns sites especializados na venda de contas do Twitter. Esses sites vendem contas do Twitter de vários anos e até oferecem suporte à compra de contas muito semelhantes. Por exemplo, a conta falsa Optimism é muito semelhante à conta real Optimism. Após adquirir uma conta tão semelhante, a gangue de phishing utilizará ferramentas de promoção para aumentar a interação e o número de fãs da conta, aumentando assim a credibilidade da conta. Essas ferramentas promocionais não apenas aceitam pagamentos em criptomoedas, mas também vendem uma variedade de serviços de plataformas sociais, incluindo curtidas, retuítes, seguidores, etc. Usando essas ferramentas, o grupo de phishing pode obter uma conta no Twitter com um grande número de seguidores e postagens, e imitar a dinâmica de divulgação de informações da parte do projeto. Devido à alta semelhança com a conta do projeto real, é difícil para muitos usuários distinguir a autenticidade da falsa, aumentando ainda mais a taxa de sucesso dos grupos de phishing. As gangues de phishing então realizam operações de phishing, como o uso de bots automatizados para acompanhar a dinâmica de projetos conhecidos. Quando a equipe do projeto publica um tweet, o bot responderá automaticamente para obter o primeiro comentário, atraindo assim mais visualizações. Como as contas disfarçadas pelas gangues de phishing são muito semelhantes às contas da equipe do projeto, uma vez que o usuário seja negligente e clique no link de phishing da conta falsa, e depois autorize e assine, isso pode levar à perda de ativos.

De modo geral, olhando para os ataques de phishing na indústria de blockchain, para usuários individuais, os riscos residem principalmente nos dois pontos principais de "nome de domínio e assinatura". Para alcançar uma protecção de segurança abrangente, sempre defendemos a adopção de uma estratégia de dupla protecção, nomeadamente defesa da sensibilização para a segurança do pessoal + defesa dos meios técnicos. A defesa técnica refere-se ao uso de várias ferramentas de hardware e software, como o plug-in Scam Sniffer de bloqueio de risco de phishing, para garantir a segurança de ativos e informações. Quando o usuário abre uma página de phishing suspeita, a ferramenta exibirá um aviso de risco. tempo, evitando assim a formação do risco. Bloqueie-o em uma única etapa. Em termos de defesa da conscientização de segurança pessoal, recomendamos fortemente que todos leiam em profundidade e dominem gradualmente o "Manual de auto-resgate da floresta escura Blockchain" (https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/ blob/main/README_CN.md). Somente através da cooperação destas duas estratégias de proteção poderemos combater eficazmente os métodos de ataque de phishing em constante mudança e atualização e proteger a segurança dos ativos.

Fraude

Existem muitas técnicas de fraude Q2 A técnica de fraude mais comum é o Pixiu Pan. Nas lendas, Pixiu é considerado uma criatura mágica. Diz-se que pode engolir tudo sem excretar. A fábula diz que uma vez engolidos tesouros como ouro e joias, eles não podem ser retirados de seu corpo. Portanto, o disco Pixiu é usado como metáfora para moedas digitais que não podem ser vendidas depois de compradas.

Uma vítima descreveu sua experiência: “Fiz uma pergunta no grupo do Telegram e alguém respondeu com entusiasmo a muitas das minhas perguntas e me ensinou muito. Depois de conversarmos em particular por dois dias, senti que os outros eram muito bons. propôs me levar ao mercado primário para comprar novos tokens e me forneceu um endereço de contrato para a moeda no PancakeSwap. Depois que eu comprei, a moeda continuou subindo. junto, ele sugeriu que eu aumentasse o investimento imediatamente. Senti que as coisas não eram tão simples, então não segui seu conselho. Quando percebi que poderia ter sido enganado, perguntei a outras pessoas do grupo. . Ajudei na investigação e descobri que era mesmo Pixiu Coin. Também experimentei e só consegui comprar, mas não consegui vender. Quando o golpista descobriu que eu não iria mais aumentar minha posição, ele também me bloqueou.

A experiência desta vítima reflete, na verdade, o padrão típico da fraude Pixiu Pan:

1. Os golpistas implantam contratos inteligentes que armam armadilhas e lançam iscas prometendo altos lucros;

2. Os golpistas fazem o possível para atrair alvos para comprar tokens. As vítimas geralmente veem os tokens se valorizarem rapidamente após a compra. Portanto, as vítimas geralmente decidem esperar até que os tokens aumentem o suficiente antes de tentar resgatá-los, apenas para descobrir que não podem vendê-los. tokens adquiridos;

3. Finalmente, o golpista retira os fundos investidos da vítima.

Vale ressaltar que todas as moedas Pixiu mencionadas no formulário Q2 ocorreram no BSC. Como você pode ver na imagem abaixo, há muitas transações de moedas Pixiu. Os golpistas também enviaram os tokens que possuíam para carteiras e exchanges. muitas transações. A ilusão da participação humana.

Devido à natureza oculta do mercado Pixiu, pode ser difícil, mesmo para investidores experientes, ver a verdade com clareza. Hoje em dia, a tendência dos memes é predominante e vários tipos de “Dogecoins” têm certo impacto no mercado. Como o preço da placa Pixiu aumentará rapidamente, as pessoas muitas vezes seguem a tendência e compram impulsivamente. Muitos participantes do mercado que não sabem a verdade estão perseguindo essa onda de "febre canina local", mas inadvertidamente caem na armadilha da placa Pixiu. Após a compra, eles não poderão mais utilizá-lo para venda.

Portanto, a equipe MistTrack recomenda que os usuários tomem as seguintes medidas antes de negociar para evitar perdas financeiras causadas pela participação na negociação Pixiu:

  • Use o MistTrack para verificar o status de risco de endereços relacionados ou use a ferramenta de detecção de segurança Token da GoPlus para identificar moedas Pixiu e tomar decisões comerciais;

  • Verifique se o código foi auditado e verificado no Etherscan, BscScan ou leia as análises, pois algumas vítimas alertam na guia de análises de moedas fraudulentas;

  • Compreenda as informações relevantes sobre moeda virtual, considere o histórico da parte do projeto e melhore a conscientização sobre autoprevenção. Tenha cuidado com moedas virtuais que oferecem retornos ultraelevados geralmente significam riscos maiores.