3 мая гигантский кит подвергся фишинговой атаке с тем же адресом и украл 1155 WBTC на сумму около 70 миллионов долларов США.
фон
3 мая, согласно мониторингу антифрод-платформы Web3 Scam Sniffer, гигантский кит столкнулся с фишинговой атакой с одним и тем же первым и последним адресом и украл 1155 WBTC на сумму около 70 миллионов долларов США. Хотя этот метод ловли существует уже давно, масштаб ущерба, нанесенного этим инцидентом, до сих пор шокирует. В этой статье будут проанализированы ключевые моменты фишинговых атак на адреса с одинаковыми первым и последним номером, местонахождение средств, хакерские характеристики и предложения по предотвращению таких фишинговых атак.
(https://twitter.com/realScamSniffer/status/1786374327740543464)
атаковать ключевые точки
Адрес жертвы:
0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5
Целевой адрес передачи жертвы:
0xd9A1b0B1e1aE382DbDc898Ea68012FfcB2853a91
Адрес рыбалки:
0xd9A1C3788D81257612E2581A6ea0aDa244853a91
1. Конфликт фишинговых адресов. Хакеры заранее сгенерируют большое количество фишинговых адресов в пакетном режиме. После развертывания пакетной программы в распределенном порядке они запускают фишинговую атаку с одинаковым адресом первого и последнего номера на целевой адрес передачи. на основе динамики пользователей в цепочке. В этом инциденте хакер использовал адрес, первые 4 цифры и последние 6 цифр которого после удаления 0x соответствовали целевому адресу передачи жертвы.
2. Трейлинг-транзакция: после того, как пользователь переводит деньги, хакер немедленно использует столкнувшийся фишинговый адрес (примерно через 3 минуты) для отслеживания транзакции (фишинговый адрес передает 0 ETH на адрес пользователя), так что фишинговый адрес появляется в запись транзакции пользователя внутри.
(https://etherscan.io/txs?a=0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5&p=2)
3. Желающие проглотить: Поскольку пользователь привык копировать информацию о недавних переводах из истории кошелька, увидев эту отслеживающую фишинговую транзакцию, он не проверил внимательно, верен ли скопированный им адрес. В результате — 1155. WBTC были ошибочно переведены на фишинговый адрес!
Анализ туманного трека
Анализ с использованием инструмента отслеживания цепочки MistTrack показал, что хакер обменял 1155 WBTC на 22 955 ETH и перевел их на следующие 10 адресов.
7 мая хакеры начали переводить ETH на эти 10 адресов. Режим перевода средств в основном демонстрировал характеристики, заключающиеся в том, что на текущем адресе остается не более 100 средств ETH, а затем примерно поровну распределяются оставшиеся средства перед переводом их на следующий уровень. адрес. . На данный момент эти средства не были обменены на другие валюты и не переведены на платформу. На рисунке ниже показана ситуация с переводом средств по адресу 0x32ea020a7bb80c5892df94c6e491e8914cce2641. Откройте ссылку в браузере, чтобы просмотреть изображение в высоком разрешении:
(https://misttrack.io/s/1cJlL)
Затем мы использовали MistTrack для запроса первоначального фишингового адреса в этом инциденте, 0xd9A1C3788D81257612E2581A6ea0aDa244853a91, и обнаружили, что источником платы за обработку этого адреса был 0xdcddc9287e59b5df08d17148a078bd181313eacc.
(https://dashboard.misttrack.io/address/WBTC-ERC20/0xd9A1C3788D81257612E2581A6ea0aDa244853a91)
Следуя адресу комиссии, мы видим, что в период с 19 апреля по 3 мая этот адрес инициировал более 20 000 небольших транзакций, распределяя небольшие количества ETH по разным адресам для ловли рыбы.
(https://etherscan.io/address/0xdcddc9287e59b5df08d17148a078bd181313eacc)
Судя по изображению выше, мы видим, что хакер использовал широкую сеть, поэтому жертв должно быть несколько. В ходе масштабного сканирования мы также обнаружили другие связанные с ним случаи фишинга. Ниже приведены некоторые примеры:
В качестве примера мы берем фишинговый адрес 0xbba8a3cc45c6b28d823ca6e6422fbae656d103a6 из второго инцидента на рисунке выше. Мы продолжаем отслеживать адреса комиссий вверх и обнаруживаем, что эти адреса перекрываются с адресами отслеживания комиссий фишингового инцидента 1155 WBTC, поэтому они должны быть одинаковыми. хакер.
Проанализировав ситуацию с переводом хакерами других прибыльных средств (с конца марта по настоящее время), мы также пришли к выводу, что еще одной характеристикой хакеров отмывания денег является конвертация средств по цепочке ETH в Monero или кроссчейн в Tron с последующим переводом. Таким образом, существует вероятность того, что хакеры позже будут использовать тот же метод для перевода средств, полученных в результате фишингового инцидента 1155 WBTC.
Характеристики хакера
По данным сети анализа угроз SlowMist, мы обнаружили IP-адрес мобильной базовой станции в Гонконге, используемый подозреваемыми хакерами (возможность использования VPN не исключена):
182.xxx.xxx.228
182.ххх.хх.18
182.ххх.хх.51
182.xxx.xxx.64
182.xxx.xx.154
182.xxx.xxx.199
182.ххх.хх.42
182.ххх.хх.68
182.xxx.xxx.66
182.xxx.xxx.207
Стоит отметить, что даже после того, как хакер украл 1155 WBTC, казалось, он не собирался мыть руки.
Следуя за тремя ранее собранными родительскими адресами фишинговых адресов (которые использовались для взимания платы за обработку со многих фишинговых адресов), их общей особенностью является то, что сумма последней транзакции значительно больше, чем предыдущая. Это связано с тем, что хакер деактивировал текущую. адрес и перевели средства. В ходе операции перевода на родительский адрес нового фишингового адреса три вновь активированных адреса по-прежнему переводят средства с высокой частотой.
(https://etherscan.io/address/0xa84aa841e2a9bdc06c71438c46b941dc29517312)
В ходе последующих крупномасштабных сканирований мы обнаружили еще два деактивированных родительских адреса фишинговых адресов. После отслеживания мы обнаружили, что они были связаны с хакером, поэтому мы не будем здесь вдаваться в подробности.
0xa5cef461646012abd0981a19d62661838e62cf27
0x2bb7848Cf4193a264EA134c66bEC99A157985Fb8
На этом этапе мы подняли вопрос о том, откуда берутся средства в цепочке ETH. После отслеживания и анализа, проведенного командой безопасности SlowMist, мы обнаружили, что хакер изначально осуществил фишинговую атаку на Tron с одним и тем же первым и последним адресом. , а затем нацелился на Tron после получения прибыли. Пользователи, находящиеся в цепочке ETH, переводят средства прибыли с Tron в цепочку ETH и начинают ловить рыбу. На следующем рисунке показан пример фишинга хакеров на Tron:
(https://tronscan.org/#/address/TY3QQP24RCHgm5Qohcfu1nHJknVA1XF2zY/transfers)
4 мая жертва передала хакеру в сети следующее сообщение: Ты выиграл, брат, можешь оставить себе 10%, а потом вернуть 90%, а мы можем сделать вид, что ничего не произошло. Мы все знаем, что 7 миллионов долларов достаточно, чтобы жить хорошо, но 70 миллионов долларов заставят вас плохо спать.
5 мая жертва продолжила звонить хакерам по сети, но ответа пока не получила.
(https://etherscan.io/idm?addresses=0x1e227979f0b5bc691a70deaed2e0f39a6f538fd5,0xd9a1c3788d81257612e2581a6ea0ada244853a91&type=1)
Как защитить
Механизм белого списка: пользователям рекомендуется сохранять целевой адрес в адресной книге кошелька. Целевой адрес можно будет найти в адресной книге кошелька при следующем переводе.
Включите функцию фильтрации небольших сумм кошелька. Пользователям рекомендуется включить функцию фильтрации небольших сумм кошелька, чтобы заблокировать такие нулевые переводы и снизить риск фишинга. Команда безопасности SlowMist проанализировала этот тип фишингового метода в 2022 году. Заинтересованные читатели могут щелкнуть ссылку, чтобы просмотреть его (SlowMist: будьте осторожны с мошенничеством с нулевым переводом TransferFrom, SlowMist: будьте осторожны с мошенничеством с воздушным сбросом с тем же хвостовым номером).
Тщательно проверьте правильность адреса: при подтверждении адреса пользователю рекомендуется проверить правильность хотя бы первых 6 цифр и последних 8 цифр, кроме начального 0x. Конечно, лучше всего проверять каждую цифру.
Тест перевода небольшой суммы: если кошелек, используемый пользователем, по умолчанию отображает только первые 4 цифры и последний 4-значный адрес, и пользователь по-прежнему настаивает на использовании этого кошелька, вы можете сначала рассмотреть возможность тестирования перевода небольшой суммы. Если, к сожалению, вас поймают, это будет легкая травма.
Подведем итог
В этой статье в основном описывается метод фишинговой атаки с использованием одних и тех же адресов первого и последнего номера, анализируются характеристики хакеров и схемы перевода средств, а также выдвигаются предложения по предотвращению таких фишинговых атак, я хотел бы напомнить всем, что, поскольку технология блокчейна — это все. не могут быть подделаны, а операции в цепочке необратимы, поэтому перед выполнением какой-либо операции пользователи должны тщательно проверить адрес, чтобы избежать повреждения активов.
