链上追踪1155枚比特币失而复得：受害者或为无聊猿大户，黑客身份被掌

PANews · 2024-05-13T07:53:03.000Z

作者：Frank，PANews 加密的黑暗森林里，黑客们盯着链上资产伺机而动，在众多被钓鱼的受害者中，被钓走1155枚比特币的巨鲸最终是个幸运儿。这一“钓鱼案”因金额巨大，其动向一直被社区关注，故事要从5月3日说起，一名巨鲸用户遭遇黑客相同首位号地址钓鱼损失1155枚WBTC，价值约7000万美元。随后，黑客将所有的WBTC兑换为22955枚ETH，转移至几十个账户。5月4日，受害者开始通过链上信息向黑客喊话，请求对方留下10%，将剩下的90%返还回来。此外，两者的ETH地址也成为集中交流的空间，不少地址参与到这场追币行动的拉扯中来。直至5月9日，黑客回复受害者，让他留下电报信息，表示会主动与其联系。 5月9日，黑客开始向受害者返还ETH，最终返还了全部ETH。究竟黑客是迫于压力作出这一举动还是良心发现做出这一举动？PANews根据链上的交流信息窥得一些缘由。赏金猎人威慑黑客自5月4日起，受害者就多次向黑客喊话，除了表示可以送给对方10%之外，还表示自己没有在推特上发布任何内容，并劝诫黑客：我们都知道700万肯定会让你的生活变得更好，但7000万不会让你睡得好。可惜在多次喊话后，一直未得到黑客的回复。似乎受害者的手中缺少确凿的证据能够证实黑客的真实身份，包括慢雾的威胁情报网络也只是定位到了一个位于香港的移动基站，且不包括VPN的可能性。因此，黑客也处于有恃无恐的状态。直到5月7日，一个0x882c927f0743c8aBC093F7088901457A4b520000的地址向受害者发送消息称：“你好，我是ChangeNow的程序员之一。我可以访问ChangeNow数据库。黑客已经多次使用这个平台。我可以泄露他的所有数据，但我要求奖励10万美元以换取诸如此类的数据作为 IP 地址和资金发送的交易所的地址，我只能提供此信息；其余的由警方联系交易所并收集他的个人数据，例如与地址相关的 KYC 和位置。如果您想追究此案，请发送确认信息。” 虽然受害者未曾回应这个地址的赏金需求，但正是在这条信息之后，黑客突然向受害者转回了51枚ETH，并附言要求添加受害者的TG账号。 PANews通过链上分析发现，黑客的多个关联账户确实与ChangeNow交易所发生过交互。而喊话的赏金猎人的地址中的资金也是由ChangeNow提币出来的。或许正是这条信息戳中黑客的软肋，让其开始忌惮这个未知的告密者。 ChangeNow是黑客们非常热衷的一个交易所，从常规来看，其以匿名和免除KYC等特点被作为混币工具使用。据PANews了解发现，黑客如果曾经在该平台使用过法币兑换功能，则确实也需要KYC。但从赏金猎人的链上信息和所留下的信息来看，对方的身份并不能证实是ChangeNow的工作人员。最终从链上信息来看，这个赏金猎人似乎还没有如愿获得10万美元赏金。真实受害者或为无聊猿大户 5月5日，PEPE 创始人身份曝料者、Pond Coin 创始人PAULY或许是为了通过这个事件蹭一波热度，在推特上冒充自己是丢失代币的受害者。但经过PANews的分析发现PAULY并非这次事件的受害者。据受害者在链上所留的TG信息，在推特上关联到一个@BuiDuPh 的用户。该用户的介绍为一个越南的软件工程师。并在事件后多次转发媒体关于该事件的报道进展。PANews尝试与该用户联系并未得到回应，到5月12日，该用户将推特账户注销，并删除了所有相关的内容。但浏览该用户此前的推特动态来看，该用户在事件发生后仅是转发了一些相关内容，每天还保持大量的浏览与其他内容互动，看起来并不像一个丢失7000万美元的人，该用户可能也只是帮助代币持有人处理该事件。而PANews根据链上信息追踪发现，此次丢失代币的真正失主很有可能是@nobody_vault这个用户，nobody_vault是著名的NFT玩家，一度是无聊猿NFT的最大持有者。截至目前他仍持有49个无聊猿NFT，此前还曾投资过一个Undeads 的链游项目。据链上信息显示，丢币地址与nobody_vault的地址有着大量的交易往来。黑客并未收手根据链上信息可以看出该黑客通过0x8C642c4bB50bCafa0c867e1a8dd7C89203699a52和0xDCddc9287e59B5DF08d17148a078bD181313EAcC两个地址近期共进行了约2.5万笔小额交易用于钓鱼。截至目前似乎黑客并未有停手的意思，就在还给1155WBTC受害者之后，黑客仍在继续使用这个方法钓鱼。除了这次钓鱼之外，根据慢雾分析，该黑客已经通过该手法近期获利超过127万美元。而另一个用户0x09564aC9288eD66bD32E793E76ce4336C1a9eD00在链上留言也表示该黑客已经通过这个方法钓鱼超过20个地址。但相较丢失1155个WBTC的受害者来说，其他的用户似乎就没有这么幸运了。由于金额较小，导致这些小额钓鱼受害者并不能引起公众的重视。而该黑客也在归还了这笔资金后似乎免除了所有的法律责任。不仅继续逍遥法外，还继续重操旧业。对于普通用户来说，这一事件也提醒着大家，转账之前仔细确认自己的地址。

Autor: Frank, PANews
În pădurea întunecată a criptării, hackerii urmăresc activele din lanț și așteaptă oportunități. Printre numeroasele victime ale phishingului, balena care a fost phishing cu 1.155 de bitcoini a fost norocoasă.
Acest „caz de phishing” a fost urmărit îndeaproape de comunitate din cauza sumei sale uriașe Povestea începe pe 3 mai, când un utilizator de balenă a suferit o pierdere de 1.155 de WBTC, în valoare de aproximativ 70 de milioane de dolari, după ce a fost phishing de către un hacker. aceeași adresă. Ulterior, hackerul a convertit toate WBTC în 22.955 ETH și l-a transferat în zeci de conturi. Pe 4 mai, victima a început să strige hackerului prin mesaje în lanț, cerând celeilalte părți să păstreze 10% și să returneze restul de 90%. În plus, adresele ETH ale celor doi au devenit, de asemenea, un spațiu de comunicare centralizat, iar multe adrese au participat la căutarea monedelor. Până pe 9 mai, hackerul i-a răspuns victimei, cerându-i să lase un mesaj de telegramă și spunând că va lua inițiativa de a-l contacta.
Pe 9 mai, hackerul a început să returneze ETH victimei, în cele din urmă returnând toate ETH. Hackerul a făcut asta sub presiune sau din conștiință? PANews a obținut câteva perspective asupra motivelor pe baza schimbului de informații pe lanț.
Vânătorii de recompense descurajează hackerii
Din 4 mai, victima i-a strigat hackerului de multe ori Pe lângă faptul că i-a spus că poate da 10% celuilalt, acesta a mai spus că nu a postat nimic pe Twitter și l-a sfătuit pe hacker: Știm cu toții că. 7 milioane cu siguranță îți vor face viața mai bună, dar 70 de milioane nu te vor lăsa să dormi bine.
Din păcate, după ce a sunat de mai multe ori, nu a primit niciun răspuns de la hacker. Se pare că există o lipsă de dovezi concludente în mâinile victimei care să confirme adevărata identitate a hackerului, inclusiv faptul că rețeaua de informații despre amenințări a SlowMist a localizat doar o stație de bază mobilă în Hong Kong și nu include posibilitatea ca VPN. Prin urmare, hackerii sunt și ei într-o stare de încredere.
Până pe 7 mai, o adresă 0x882c927f0743c8aBC093F7088901457A4b520000 i-a trimis victimei un mesaj în care spunea: „Bună ziua, sunt unul dintre programatorii ChangeNow. Am acces la baza de date ChangeNow. Hackerul a folosit această platformă de multe ori pot să-și scurgă datele. , dar cer o recompensă de 100.000 USD în schimbul unor date precum adresa IP și adresa schimbului la care au fost trimise fondurile, nu pot furniza decât aceste informații, restul este la latitudinea poliției să contacteze schimbul și colectați datele sale personale, de exemplu cu adresa KYC relevante și locația, vă rugăm să trimiteți confirmarea dacă doriți să urmăriți cazul."
Deși victima nu a răspuns niciodată la cererea de recompensă de la această adresă, imediat după acest mesaj, hackerul i-a transferat brusc 51 ETH înapoi victimei, cu o solicitare de a adăuga contul TG al victimei.
PANews a descoperit printr-o analiză în lanț că mai multe conturi asociate ale hackerului au interacționat cu schimbul ChangeNow. Fondurile de pe adresa vânătorului de recompense care a strigat au fost retrase și de ChangeNow. Poate că această informație a lovit punctul slab al hackerului și l-a făcut să fie precaut față de acest informator necunoscut.
ChangeNow este un schimb pe care hackerii sunt foarte pasionați. În general, este folosit ca instrument de amestecare a monedei datorită anonimatului și scutirii KYC. Potrivit PANews, dacă hackerul a folosit vreodată funcția de schimb valutar fiat de pe platformă, KYC este într-adevăr necesar.
Cu toate acestea, judecând după informațiile din lanț ale vânătorului de recompense și informațiile lăsate în urmă, identitatea celeilalte părți nu poate fi confirmată ca fiind membru al personalului ChangeNow. Până la urmă, judecând după informațiile de pe lanț, se pare că vânătorul de recompense nu a primit încă recompensa de 100.000 de dolari la care spera.
Adevărata victimă poate fi o maimuță plictisită
Pe 5 mai, PAULY, persoana care a dezvăluit identitatea fondatorului PEPE și a fondatorului Pond Coin, s-a prefăcut că este victima jetoanelor pierdute pe Twitter, poate pentru a câștiga popularitate prin acest incident. Cu toate acestea, analiza PANews a constatat că PAULY nu a fost victima acestui incident.
Potrivit informațiilor TG lăsate de victimă pe lanț, aceasta a fost legată de un utilizator @BuiDuPh pe Twitter. Utilizatorul este prezentat ca inginer software vietnamez. După incident, el a transmis de mai multe ori rapoartele presei despre incident. PANews a încercat să contacteze utilizatorul, dar nu a primit niciun răspuns. Până pe 12 mai, utilizatorul sa deconectat de la contul său de Twitter și a șters tot conținutul asociat. Cu toate acestea, uitându-ne la actualizările anterioare de Twitter ale utilizatorului, se poate observa că utilizatorul a retweetat doar un conținut relevant după incident și a menținut un număr mare de vizualizări și interacțiuni cu alt conținut în fiecare zi 70 de milioane de dolari SUA Este posibil ca utilizatorul să-i ajute și pe deținătorii de jetoane să facă față incidentului.
PANews a descoperit, pe baza urmăririi informațiilor în lanț, că adevăratul proprietar al jetonului pierdut este probabil utilizatorul @nobody_vault. În prezent, el deține încă 49 de NFT-uri Boring Ape și a investit anterior într-un proiect de joc în lanț Undeads. Conform informațiilor de pe lanț, adresa monedei pierdute are un număr mare de tranzacții cu adresa nobody_vault.
Hackerii nu s-au oprit încă
Conform informațiilor despre lanț, se poate observa că hackerul a efectuat recent aproximativ 25.000 de tranzacții mici pentru phishing prin cele două adrese 0x8c642c4bb5 Până acum, se pare că hackerul nu are nicio intenție să se oprească Chiar și după ce a returnat 1155WBTC victimei, hackerul continuă să folosească această metodă pentru a pescui. Pe lângă acest phishing, conform analizei SlowMist, hackerul a câștigat recent peste 1,27 milioane de dolari prin această metodă.
Un alt utilizator 0x09564aC9288eD66bD32E793E76ce4336C1a9eD00 a lăsat și el un mesaj pe lanț care indică faptul că hackerul a phishing peste 20 de adrese prin această metodă.
Dar în comparație cu victima care a pierdut 1.155 WBTC, alți utilizatori par să nu fie atât de norocoși. Din cauza cantității mici, aceste victime ale phishingului în cantitate mică nu atrag atenția publicului. De asemenea, hackerul părea să fie liber de orice răspundere legală după returnarea fondurilor. Nu numai că continuă să scape, dar continuă să se întoarcă la vechile lor moduri.
Pentru utilizatorii obișnuiți, acest incident reamintește tuturor să-și confirme cu atenție adresa înainte de a transfera bani.

Explorați mai multe de la acest creator

Ultimele știri