Pe 3 mai, o balenă uriașă a întâmpinat un atac de phishing cu aceeași adresă și a fost phishing cu 1.155 WBTC, în valoare de aproximativ 70 de milioane de dolari.
fundal
Pe 3 mai, conform monitorizării de către platforma antifraudă Web3 Scam Sniffer, o balenă uriașă a întâmpinat un atac de phishing cu aceeași prima și ultima adresă și a fost phishing de 1.155 WBTC, în valoare de aproximativ 70 milioane USD. Deși această metodă de pescuit există de mult timp, amploarea pagubelor cauzate de acest incident este încă șocantă. Acest articol va analiza punctele cheie ale atacurilor de tip phishing asupra adreselor cu același primul și ultimul număr, unde se află fondurile, caracteristicile hackerilor și sugestii pentru prevenirea unor astfel de atacuri de phishing.
(https://twitter.com/realScamSniffer/status/1786374327740543464)
ataca punctele cheie
Adresa victimei:
0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5
Adresa de transfer țintă a victimei:
0xd9A1b0B1e1aE382DbDc898Ea68012FfcB2853a91
Adresa de pescuit:
0xd9A1C3788D81257612E2581A6ea0aDa244853a91
1. Ciocnirea adreselor de phishing: Hackerii vor genera în avans un număr mare de adrese de phishing în loturi După implementarea programului în loturi într-o manieră distribuită, ei vor lansa un atac de phishing cu aceeași adresă de prim și ultimul număr împotriva adresei de transfer țintă. bazată pe dinamica utilizatorului pe lanț. În acest incident, hackerul a folosit o adresă ale cărei primele 4 cifre și ultimele 6 cifre după eliminarea 0x erau în concordanță cu adresa de transfer țintă a victimei.
2. Tranzacție de urmărire: După ce utilizatorul transferă banii, hackerul utilizează imediat adresa de phishing ciocnită (aproximativ 3 minute mai târziu) pentru a urmări o tranzacție (adresa de phishing transferă 0 ETH la adresa utilizatorului), astfel încât adresa de phishing să apară în înregistrarea tranzacției utilizatorului în interior.
(https://etherscan.io/txs?a=0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5&p=2)
3. Cei care doresc să ia momeala: Deoarece utilizatorul este obișnuit să copieze informațiile recente de transfer din istoricul portofelului, după ce a văzut această tranzacție de phishing, nu a verificat cu atenție dacă adresa pe care a copiat-o era corectă și, ca urmare, 1155 WBTC a fost transferat la adresa de phishing din greșeală!
Analiza MistTrack
Analiza folosind instrumentul de urmărire în lanț MistTrack a constatat că hackerul a schimbat 1.155 WBTC cu 22.955 ETH și l-a transferat la următoarele 10 adrese.
Pe 7 mai, hackerii au început să transfere ETH pe aceste 10 adrese. Modul de transfer de fonduri a arătat practic caracteristicile de a nu lăsa mai mult de 100 de fonduri ETH în adresa actuală și apoi de a împărți în mod egal fondurile rămase înainte de a le transfera la nivelul următor. abordare. . În prezent, aceste fonduri nu au fost schimbate în alte valute sau transferate pe platformă. Imaginea de mai jos arată situația transferului de fonduri pe 0x32ea020a7bb80c5892df94c6e491e8914cce2641 Deschideți linkul în browser pentru a vizualiza imaginea de înaltă definiție:
(https://misttrack.io/s/1cJlL)
Apoi am folosit MistTrack pentru a interoga adresa inițială de phishing în acest incident, 0xd9A1C3788D81257612E2581A6ea0aDa244853a91, și am constatat că sursa taxei de gestionare pentru această adresă a fost 0xdcddc9287e59b15d1df18a8d171df8188bdc9287e59b171df808db0000000000000000000
(https://dashboard.misttrack.io/address/WBTC-ERC20/0xd9A1C3788D81257612E2581A6ea0aDa244853a91)
În urma adresei taxei, putem observa că în perioada 19 aprilie – 3 mai, această adresă a inițiat peste 20.000 de tranzacții mici, distribuind cantități mici de ETH la diferite adrese pentru pescuit.
(https://etherscan.io/address/0xdcddc9287e59b5df08d17148a078bd181313eacc)
Conform imaginii de mai sus, putem observa că hackerul a adoptat o abordare wide-net, deci trebuie să fie mai multe victime. Prin scanarea la scară largă, am găsit și alte incidente legate de phishing. Următoarele sunt câteva exemple:
Luăm ca exemplu adresa de phishing 0xbba8a3cc45c6b28d823ca6e6422fbae656d103a6 din cel de-al doilea incident din imaginea de mai sus. Continuăm să urmărim adresele de taxe în sus și constatăm că aceste adrese se suprapun cu adresele de trasabilitate a taxei ale 1155 WB. hacker.
Analizând situația hackerilor care transferă alte fonduri profitabile (de la sfârșitul lunii martie până în prezent), am ajuns și la concluzia că o altă caracteristică a spălării banilor hackerilor este aceea de a converti fondurile de pe lanțul ETH în Monero sau cross-chain la Tron și apoi transferul. Prin urmare, există posibilitatea ca hackerii să folosească ulterior aceeași metodă pentru a transfera fondurile câștigate din evenimentul de phishing 1155 WBTC.
Caracteristicile hackerului
Conform rețelei de informații despre amenințări a lui SlowMist, am descoperit IP-ul stației de bază mobilă din Hong Kong, folosită de suspectați hackeri (posibilitatea VPN nu este exclusă):
182.xxx.xxx.228
182.xxx.xx.18
182.xxx.xx.51
182.xxx.xxx.64
182.xxx.xx.154
182.xxx.xxx.199
182.xxx.xx.42
182.xxx.xx.68
182.xxx.xxx.66
182.xxx.xxx.207
Este demn de remarcat faptul că, chiar și după ce hackerul a furat 1.155 WBTC, părea că nu avea nicio intenție să se spele pe mâini.
Urmărind cele trei adrese părinte de adrese de phishing colectate anterior (folosite pentru a furniza taxe de gestionare la multe adrese de phishing), caracteristica lor comună este că valoarea ultimei tranzacții este semnificativ mai mare decât cea anterioară Adresă și a transferat fondurile În operațiunea de transfer la adresa părinte a noii adrese de phishing, cele trei adrese nou activate încă transferă fonduri cu o frecvență ridicată.
(https://etherscan.io/address/0xa84aa841e2a9bdc06c71438c46b941dc29517312)
În scanările ulterioare la scară largă, am descoperit încă două adrese părinte de phishing dezactivate. După trasabilitate, am constatat că acestea au fost asociate cu hackerul, așa că nu vom intra în detalii aici.
0xa5cef461646012abd0981a19d62661838e62cf27
0x2bb7848Cf4193a264EA134c66bEC99A157985Fb8
În acest moment, avem o altă întrebare despre de unde provin fondurile din lanțul ETH După urmărirea și analiza de către echipa de securitate SlowMist, am constatat că hackerul a efectuat inițial un atac de phishing pe Tron cu aceeași adresă de prim și ultimul număr. , și apoi a vizat Tron după ce au realizat profituri Utilizatorii care se află în lanțul ETH transferă fondurile de profit pe Tron și încep să pescuiască Următoarea imagine este un exemplu de phishing al hackerilor.
(https://tronscan.org/#/address/TY3QQP24RCHgm5Qohcfu1nHJknVA1XF2zY/transfers)
Pe 4 mai, victima i-a transmis următorul mesaj hackerului de pe lanț: Câștigi frate, poți păstra 10% și apoi returna 90% și ne putem preface că nu s-a întâmplat nimic. Știm cu toții că 7 milioane de dolari sunt suficiente pentru a trăi bine, dar 70 de milioane de dolari te vor face să dormi prost.
Pe 5 mai, victima a continuat să-i sune pe hackerii din lanț, dar nu a primit încă un răspuns.
(https://etherscan.io/idm?addresses=0x1e227979f0b5bc691a70deaed2e0f39a6f538fd5,0xd9a1c3788d81257612e2581a6ea0ada244853a91)&
Cum să te aperi
Mecanismul listei albe: este recomandat ca utilizatorii să salveze adresa țintă în agenda de adrese a portofelului. Adresa țintă poate fi găsită în agenda de adrese a portofelului la următoarea transfer.
Activați funcția de filtrare a cantităților mici a portofelului: este recomandat ca utilizatorii să activeze funcția de filtrare a cantităților mici a portofelului pentru a bloca astfel de transferuri zero și pentru a reduce riscul de a fi phishing. Echipa de securitate SlowMist a analizat acest tip de metodă de phishing în 2022. Cititorii interesați pot face clic pe link pentru ao vizualiza (SlowMist: Fiți atenți la escrocheria TransferFrom zero transfer, SlowMist: Fiți atenți la escrocheria Airdrop cu același număr de coadă).
Verificați cu atenție dacă adresa este corectă: atunci când confirmați adresa, este recomandat ca utilizatorul să verifice cel puțin dacă primele 6 cifre și ultimele 8 cifre, cu excepția primei 0x, este bine să verifice fiecare cifră.
Test de transfer pentru sume mici: dacă portofelul utilizat de utilizator afișează în mod implicit doar primele 4 cifre și ultima adresă de 4 cifre, iar utilizatorul încă insistă să folosească acest portofel, puteți lua în considerare mai întâi să testați transferul cu sume mici. Dacă ești prins, din păcate, va fi o rănire ușoară.
Rezuma
Acest articol prezintă în principal metoda de atac de tip phishing folosind aceleași adrese de prim și ultimul număr, analizează caracteristicile hackerilor și modelele de transfer de fonduri și, de asemenea, prezintă sugestii pentru a preveni astfel de atacuri de phishing, aș dori să reamintesc tuturor că, deoarece tehnologia blockchain este nu poate fi manipulat, iar operațiunile pe lanț sunt ireversibile. Prin urmare, înainte de a efectua orice operațiune, utilizatorii trebuie să verifice cu atenție adresa pentru a evita deteriorarea bunurilor.
