Fonte: SlowMist - "Gastar pouco dinheiro para pescar peixes grandes | Revelando o incidente de pesca do 1155 WBTC"
Autor: Liz & Zero & Keywolf
fundo
No dia 3 de maio, de acordo com monitoramento da plataforma antifraude Web3 Scam Sniffer, uma baleia gigante encontrou um ataque de phishing com o mesmo primeiro e último endereço e foi roubada 1.155 WBTC, no valor de aproximadamente US$ 70 milhões. Embora este método de pesca já exista há muito tempo, a escala dos danos causados por este incidente ainda é chocante. Este artigo analisará os principais pontos dos ataques de phishing em endereços com o mesmo primeiro e último números, a localização dos fundos, as características dos hackers e sugestões para prevenir tais ataques de phishing.
(https://twitter.com/realScamSniffer/status/1786374327740543464) Ataque pontos-chave
Endereço da vítima: 0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5
Endereço de transferência alvo da vítima: 0xd9A1b0B1e1aE382DbDc898Ea68012FfcB2853a91
Endereço de phishing: 0xd9A1C3788D81257612E2581A6ea0aDa244853a91
1. Colisão de endereços de phishing: Os hackers gerarão um grande número de endereços de phishing antecipadamente em lotes. Depois de implantar o programa em lote de maneira distribuída, eles lançarão um ataque de phishing com o mesmo primeiro e último número de endereço no endereço de transferência de destino. com base na dinâmica do usuário na cadeia. Neste incidente, o hacker usou um endereço cujos primeiros 4 dígitos e últimos 6 dígitos após a remoção de 0x eram consistentes com o endereço de transferência alvo da vítima.
2. Transação de rastreamento: depois que o usuário transfere o dinheiro, o hacker usa imediatamente o endereço de phishing colidido (cerca de 3 minutos depois) para rastrear uma transação (o endereço de phishing transfere 0 ETH para o endereço do usuário), para que o endereço de phishing apareça em o registro de transação do usuário dentro.
( https://etherscan.io/txs?a=0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5&p=2)
3. Aqueles que desejam morder a isca: Como o usuário está acostumado a copiar informações de transferências recentes do histórico da carteira, depois de ver essa transação de phishing, ele não verificou cuidadosamente se o endereço que copiou estava correto. Como resultado, 1155. WBTC foram transferidos para o endereço de phishing por engano!
Análise MistTrack
A análise usando a ferramenta de rastreamento on-chain MistTrack descobriu que o hacker trocou 1.155 WBTC por 22.955 ETH e os transferiu para os 10 endereços seguintes.
Em 7 de maio, os hackers começaram a transferir ETH nesses 10 endereços. O modo de transferência de fundos basicamente mostrava as características de não deixar mais de 100 fundos ETH no endereço atual e, em seguida, dividir aproximadamente os fundos restantes igualmente antes de transferi-los para o próximo nível. endereço. . Actualmente, estes fundos não foram trocados por outras moedas nem transferidos para a plataforma. A imagem abaixo mostra a situação da transferência de fundos em 0x32ea020a7bb80c5892df94c6e491e8914cce2641 Abra o link no navegador para visualizar a imagem em alta definição:
(https://misttrack.io/s/1cJlL)
Em seguida, usamos o MistTrack para consultar o endereço de phishing inicial neste incidente, 0xd9A1C3788D81257612E2581A6ea0aDa244853a91, e descobrimos que a origem da taxa de manuseio para esse endereço era 0xdcddc9287e59b5df08d17148a078bd181313eacc.
(https://dashboard.misttrack.io/address/WBTC-ERC20/0xd9A1C3788D81257612E2581A6ea0aDa244853a91)
Seguindo o endereço da taxa, podemos perceber que entre 19 de abril e 3 de maio, este endereço iniciou mais de 20.000 pequenas transações, distribuindo pequenas quantidades de ETH para diferentes endereços para pesca.
(https://etherscan.io/address/0xdcddc9287e59b5df08d17148a078bd181313eacc)
Pela imagem acima, podemos ver que o hacker adotou uma abordagem de rede ampla, portanto deve haver mais de uma vítima. Através de varredura em grande escala, também encontramos outros incidentes de phishing relacionados. A seguir estão alguns exemplos:
Tomamos o endereço de phishing 0xbba8a3cc45c6b28d823ca6e6422fbae656d103a6 do segundo incidente na imagem acima como exemplo. Continuamos rastreando os endereços de taxas para cima e descobrimos que esses endereços se sobrepõem aos endereços de rastreabilidade de taxas do incidente de phishing 1155 WBTC, portanto, eles devem ser os mesmos. hacker.
Ao analisar a situação dos hackers que transferem outros fundos lucrativos (do final de março até o presente), concluímos também que outra característica da lavagem de dinheiro dos hackers é converter fundos da cadeia ETH em Monero ou cross-chain para Tron e depois transferir para endereços OTC suspeitos. Portanto, existe a possibilidade de que os hackers usem posteriormente o mesmo método para transferir os fundos obtidos no evento de phishing 1155 WBTC.
Características dos hackers
De acordo com a rede de inteligência de ameaças do SlowMist, descobrimos o IP da estação base móvel em Hong Kong usado por supostos hackers (a possibilidade de VPN não está descartada):
182.xxx.xxx.228
182.xxx.xx.18
182.xxx.xx.51
182.xxx.xxx.64
182.xxx.xx.154
182.xxx.xxx.199
182.xxx.xx.42
182.xxx.xx.68
182.xxx.xxx.66
182.xxx.xxx.207
É importante notar que mesmo depois de o hacker ter roubado 1.155 WBTC, ele não parecia estar planejando lavar as mãos.
Seguindo os três endereços pais de phishing coletados anteriormente (usados para fornecer taxas de manuseio para muitos endereços de phishing), sua característica comum é que o valor da última transação é significativamente maior que o anterior. endereço e transferiu os fundos Na operação de transferência para o endereço pai do novo endereço de phishing, os três endereços recém-ativados ainda estão transferindo fundos em alta frequência.
(https://etherscan.io/address/0xa84aa841e2a9bdc06c71438c46b941dc29517312)
Nas verificações subsequentes em grande escala, descobrimos mais dois endereços pais de phishing desativados. Depois de rastrear a fonte, descobrimos que eles estavam associados ao hacker, portanto, não entraremos em detalhes aqui.
0xa5cef461646012abd0981a19d62661838e62cf27
0x2bb7848Cf4193a264EA134c66bEC99A157985Fb8
Neste ponto, levantamos a questão de onde vêm os fundos da cadeia ETH. Após rastreamento e análise pela equipe de segurança do SlowMist, descobrimos que o hacker inicialmente realizou um ataque de phishing em Tron com o mesmo primeiro e último endereço. e, em seguida, direcionou o Tron após obter lucros. Os usuários que entraram na cadeia ETH transferiram os fundos de lucro do Tron para a cadeia ETH e iniciaram o phishing.
(https://tronscan.org/#/address/TY3QQP24RCHgm5Qohcfu1nHJknVA1XF2zY/transfers)
No dia 4 de maio, a vítima transmitiu a seguinte mensagem ao hacker da rede: Você ganha irmão, pode ficar com 10% e depois devolver 90%, e podemos fingir que nada aconteceu. Todos nós sabemos que US$ 7 milhões são suficientes para viver bem, mas US$ 70 milhões farão você dormir mal.
No dia 5 de maio, a vítima continuou ligando para os hackers da rede, mas ainda não recebeu resposta.
Como defender
Mecanismo de lista de permissões: Recomenda-se que os usuários salvem o endereço de destino no catálogo de endereços da carteira. O endereço de destino pode ser encontrado no catálogo de endereços da carteira na próxima vez que uma transferência for feita.
Ative a função de filtragem de pequenas quantias da carteira: Recomenda-se que os usuários ativem a função de filtragem de pequenas quantias da carteira para bloquear essas transferências zero e reduzir o risco de serem phishing. A equipe de segurança do SlowMist analisou esse tipo de método de phishing em 2022. Os leitores interessados podem clicar no link para visualizá-lo (SlowMist: Tenha cuidado com o esquema de transferência zero TransferFrom, SlowMist: Tenha cuidado com o esquema de lançamento aéreo com o mesmo número de cauda).
Verifique cuidadosamente se o endereço está correto: Ao confirmar o endereço, é recomendado que o usuário verifique pelo menos se os primeiros 6 dígitos e os últimos 8 dígitos, exceto o 0x inicial, estão corretos.
Teste de transferência de pequena quantia: Se a carteira usada pelo usuário exibir apenas os primeiros 4 dígitos e o último endereço de 4 dígitos por padrão, e o usuário ainda insistir em usar esta carteira, você pode considerar testar a transferência de pequena quantia primeiro. Se você tiver a infelicidade de ser pego, será um ferimento leve.
Resumir
Este artigo apresenta principalmente o método de ataque de phishing usando o mesmo endereço de primeiro e último número, analisa as características dos hackers e os padrões de transferência de fundos e também apresenta sugestões para evitar tais ataques de phishing. A equipe de segurança do SlowMist gostaria de lembrar que, como a tecnologia blockchain não pode ser adulterada e as operações na cadeia são irreversíveis, os usuários devem verificar cuidadosamente o endereço antes de realizar qualquer operação para evitar danos aos ativos.
Isenção de responsabilidade
O conteúdo deste artigo é baseado em dados do sistema de rastreamento antilavagem de dinheiro MistTrack. Tem como objetivo analisar endereços públicos na Internet e divulgar os resultados da análise. Porém, devido às características do blockchain, não podemos garantir o absoluto. precisão de todos os dados aqui e não pode ser responsabilizada por erros, omissões ou perdas causadas pelo uso do conteúdo deste artigo. Ao mesmo tempo, este artigo não constitui base para qualquer posição ou outra análise.
Revisão de edições anteriores
Atualizações mensais | As perdas totais com incidentes de segurança da Web3 são de aproximadamente US$ 90,81 milhões
Declaração solene do SlowMist
Lobo Branco com Luvas Vazias —— Análise Hackeada YIEDL
Revelando um novo tipo de golpe: modificação maliciosa de links de nós RPC para fraudar ativos
Os resultados do rastreamento profissional do SlowMist foram citados pelo Conselho de Segurança das Nações Unidas
Este artigo foi reimpresso com permissão do SlowMist
Este artigo Gastando pouco dinheiro para pegar peixes grandes, névoa lenta revela o incidente de pesca de 1155 WBTC apareceu pela primeira vez em Zombit.
