3 Mayıs'ta dev bir balina aynı adrese yönelik bir kimlik avı saldırısıyla karşılaştı ve yaklaşık 70 milyon ABD doları değerindeki 1.155 WBTC'yi ele geçirdi.
arka plan
Web3 dolandırıcılıkla mücadele platformu Scam Sniffer'ın gözlemlerine göre, 3 Mayıs'ta dev bir balina aynı ilk ve son adrese sahip bir kimlik avı saldırısıyla karşılaştı ve yaklaşık 70 milyon ABD doları değerindeki 1.155 WBTC'yi ele geçirdi. Bu balık tutma yöntemi uzun süredir mevcut olmasına rağmen, bu olayın neden olduğu hasarın boyutu hala şok edici. Bu makalede, adı ve soyadı aynı olan adreslere yönelik phishing saldırılarının püf noktaları, paranın bulunduğu yer, hacker özellikleri ve bu tür phishing saldırılarını önlemeye yönelik öneriler incelenecektir.
(https://twitter.com/realScamSniffer/status/1786374327740543464)
kilit noktalara saldırın
Kurbanın adresi:
0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5
Kurbanın hedef transfer adresi:
0xd9A1b0B1e1aE382DbDc898Ea68012FfcB2853a91
Balık tutma adresi:
0xd9A1C3788D81257612E2581A6ea0aDa244853a91
1. Kimlik avı adreslerinin çarpışması: Bilgisayar korsanları, önceden toplu olarak çok sayıda kimlik avı adresi oluşturacaktır. Toplu programı dağıtılmış bir şekilde dağıttıktan sonra, hedef aktarım adresine karşı aynı ilk ve son numara adresiyle bir kimlik avı saldırısı başlatacaklar. zincirdeki kullanıcı dinamiklerine dayanmaktadır. Bu olayda hacker, 0x'i kaldırdıktan sonraki ilk 4 hanesi ve son 6 hanesi kurbanın hedef aktarım adresiyle tutarlı olan bir adres kullandı.
2. Takip eden işlem: Kullanıcı parayı transfer ettikten sonra, bilgisayar korsanı bir işlemi takip etmek için hemen çarpışan kimlik avı adresini kullanır (yaklaşık 3 dakika sonra) (kimlik avı adresi kullanıcının adresine 0 ETH aktarır), böylece kimlik avı adresi ekranda görünür. kullanıcının işlem kaydı içeride.
(https://etherscan.io/txs?a=0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5&p=2)
3. Yemi yutmak isteyenler: Kullanıcı, son transfer bilgilerini cüzdan geçmişinden kopyalamaya alışkın olduğundan, bu takip eden phishing işlemini gördükten sonra kopyaladığı adresin doğru olup olmadığını dikkatli bir şekilde kontrol etmedi. Sonuç olarak 1155. WBTC yanlışlıkla kimlik avı adresine aktarıldı!
MistTrack Analizi
Zincir üstü izleme aracı MistTrack kullanılarak yapılan analiz, bilgisayar korsanının 1.155 WBTC'yi 22.955 ETH ile değiştirdiğini ve bunu aşağıdaki 10 adrese aktardığını buldu.
7 Mayıs'ta hackerlar bu 10 adres üzerinden ETH aktarmaya başladı. Fon transfer modu temel olarak mevcut adreste 100'den fazla ETH fonu bırakmama ve ardından kalan fonları bir sonraki seviyeye aktarmadan önce kabaca eşit olarak bölme özelliğini gösteriyordu. adres. . Şu anda bu fonlar başka para birimleriyle değiştirilmedi veya platforma aktarılmadı. Aşağıdaki resim 0x32ea020a7bb80c5892df94c6e491e8914cce2641'deki fon transferi durumunu göstermektedir. Yüksek çözünürlüklü resmi görüntülemek için tarayıcıdaki bağlantıyı açın:
(https://misttrack.io/s/1cJlL)
Daha sonra bu olaydaki ilk kimlik avı adresini (0xd9A1C3788D81257612E2581A6ea0aDa244853a91) sorgulamak için MistTrack'i kullandık ve bu adrese ilişkin işlem ücretinin kaynağının 0xdcddc9287e59b5df08d17148a078bd181313eacc olduğunu tespit ettik.
(https://dashboard.misttrack.io/address/WBTC-ERC20/0xd9A1C3788D81257612E2581A6ea0aDa244853a91)
Ücret adresini takip ettiğimizde, 19 Nisan ile 3 Mayıs tarihleri arasında bu adresin 20.000'den fazla küçük işlem başlattığını ve küçük miktarlarda ETH'nin balıkçılık için farklı adreslere dağıtıldığını görebiliyoruz.
(https://etherscan.io/address/0xdcddc9287e59b5df08d17148a078bd181313eacc)
Yukarıdaki resme göre hackerın geniş ağ yaklaşımını benimsediğini görebiliyoruz, yani birden fazla kurban olmalı. Büyük ölçekli tarama sayesinde, bununla ilgili başka kimlik avı olaylarını da bulduk. Aşağıda bazı örnekler verilmiştir:
Örnek olarak yukarıdaki resimdeki ikinci olaydaki 0xbba8a3cc45c6b28d823ca6e6422fbae656d103a6 kimlik avı adresini alıyoruz. Ücret adreslerini yukarı doğru izlemeye devam ediyoruz ve bu adreslerin 1155 WBTC kimlik avı olayının ücret izlenebilirlik adresleriyle örtüştüğünü görüyoruz, dolayısıyla aynı olmaları gerekiyor. bilgisayar korsanı.
Bilgisayar korsanlarının diğer kârlı fonları transfer etme durumunu analiz ederek (Mart ayının sonundan bugüne), bilgisayar korsanlarının bir diğer kara para aklama özelliğinin ETH zincirindeki fonları Monero'ya veya çapraz zincirden Tron'a dönüştürmek ve ardından aktarmak olduğu sonucuna vardık. Bu nedenle, bilgisayar korsanlarının 1155 WBTC kimlik avı olayından elde edilen fonları daha sonra aynı yöntemi kullanarak aktarma ihtimali var.
Hacker özellikleri
SlowMist'in tehdit istihbarat ağına göre, Hong Kong'da şüpheli bilgisayar korsanları tarafından kullanılan mobil baz istasyonu IP'sini keşfettik (VPN olasılığı göz ardı edilmedi):
182.xxx.xxx.228
182.xxx.xx.18
182.xxx.xx.51
182.xxx.xxx.64
182.xxx.xx.154
182.xxx.xxx.199
182.xxx.xx.42
182.xxx.xx.68
182.xxx.xxx.66
182.xxx.xxx.207
Bilgisayar korsanının 1.155 WBTC'yi çalmasından sonra bile ellerini yıkamaya niyeti yokmuş gibi göründüğünü belirtmekte fayda var.
Daha önce toplanan üç kimlik avı adresi ana adresinin (birçok kimlik avı adresine işlem ücreti sağlamak için kullanılır) takip edilmesinin ortak özelliği, son işlemin tutarının öncekinden önemli ölçüde daha fazla olmasıdır. Bunun nedeni, bilgisayar korsanının mevcut işlemi devre dışı bırakmasıdır. Yeni kimlik avı adresinin ana adresine aktarım işleminde, yeni etkinleştirilen üç adres hâlâ yüksek sıklıkta para aktarmaya devam ediyor.
(https://etherscan.io/address/0xa84aa841e2a9bdc06c71438c46b941dc29517312)
Sonraki geniş ölçekli taramalarda, devre dışı bırakılmış iki kimlik avı adresi ana adresi daha keşfettik. İzlenebilirlik sonrasında bunların bilgisayar korsanıyla ilişkili olduğunu tespit ettik, bu nedenle burada ayrıntılara girmeyeceğiz.
0xa5cef461646012abd0981a19d62661838e62cf27
0x2bb7848Cf4193a264EA134c66bEC99A157985Fb8
Bu noktada ETH zincirindeki fonların nereden geldiği sorusunu gündeme getirdik. SlowMist güvenlik ekibinin yaptığı takip ve analizler sonrasında hackerın ilk etapta aynı ilk ve son adresle Tron'a phishing saldırısı gerçekleştirdiğini tespit ettik. ve ardından kâr elde ettikten sonra Tron'u hedef aldı. ETH zincirinde yer alan kullanıcılar, Tron'daki kâr fonlarını ETH zincirine aktararak balık avlamaya başlıyor. Aşağıdaki resim, hackerların Tron'a yönelik kimlik avına bir örnektir:
(https://tronscan.org/#/address/TY3QQP24RCHgm5Qohcfu1nHJknVA1XF2zY/transfers)
Kurban, 4 Mayıs'ta zincirdeki hacker'a şu mesajı iletti: Sen kazandın kardeşim, %10'unu alıp sonra %90'ını geri verebilirsin ve hiçbir şey olmamış gibi davranabiliriz. Hepimiz 7 milyon doların iyi yaşamak için yeterli olduğunu, ancak 70 milyon doların kötü uyumanıza neden olacağını biliyoruz.
Kurban, 5 Mayıs'ta zincirdeki hackerları aramaya devam etti ancak henüz bir yanıt alamadı.
(https://etherscan.io/idm?addresses=0x1e227979f0b5bc691a70deaed2e0f39a6f538fd5,0xd9a1c3788d81257612e2581a6ea0ada244853a91&type=1)
Nasıl savunulur
Beyaz liste mekanizması: Kullanıcıların hedef adresi cüzdanın adres defterine kaydetmesi önerilir. Hedef adres, bir dahaki sefere transfer yapıldığında cüzdanın adres defterinde bulunabilir.
Cüzdanın küçük miktar filtreleme fonksiyonunu açın: Bu tür sıfır aktarımları engellemek ve kimlik avı riskini azaltmak için kullanıcıların cüzdanın küçük miktar filtreleme fonksiyonunu açması önerilir. SlowMist güvenlik ekibi 2022'de bu tür kimlik avı yöntemini analiz etti. İlgilenen okuyucular görüntülemek için bağlantıya tıklayabilir (SlowMist: TransferFrom sıfır transfer dolandırıcılığına karşı dikkatli olun, SlowMist: Aynı kuyruk numarası airdrop dolandırıcılığına karşı dikkatli olun).
Adresin doğru olup olmadığını dikkatlice kontrol edin: Adresi onaylarken kullanıcının en azından ilk 6 rakamın ve baştaki 0x hariç son 8 rakamın doğru olup olmadığını kontrol etmesi önerilir. Elbette en iyisi her rakamı kontrol etmektir.
Küçük miktarlı transfer testi: Kullanıcının kullandığı cüzdan varsayılan olarak yalnızca ilk 4 haneli ve son 4 haneli adresi gösteriyorsa ve kullanıcı hala bu cüzdanı kullanmakta ısrar ediyorsa, öncelikle küçük miktarlı transferi test etmeyi düşünebilirsiniz. Ne yazık ki yakalanırsanız küçük bir yaralanma olacaktır.
Özetle
Bu makale esas olarak aynı ilk ve son numara adreslerini kullanan phishing saldırısı yöntemini tanıtmakta, bilgisayar korsanlarının özelliklerini ve fon transfer şekillerini analiz etmekte ve ayrıca bu tür phishing saldırılarını önlemek için öneriler ortaya koymaktadır. kurcalanamaz ve zincirdeki işlemler geri alınamaz; bu nedenle, herhangi bir işlem yapmadan önce kullanıcıların varlıkların zarar görmesini önlemek için adresi dikkatlice kontrol etmeleri gerekir.
