Зі швидким розвитком блокчейну кількість інцидентів безпеки, таких як крадіжка монет, фішинг і шахрайство, спрямованих на користувачів, зростає з кожним днем, а методи атак різноманітні. Щодня SlowMist отримує велику кількість запитів про допомогу, сподіваючись, що ми зможемо допомогти у відстеженні та порятунку коштів. Серед них багато великих жертв, які втратили десятки мільйонів доларів. На основі цього ця серія збирає статистичні дані та аналізує викрадені форми, отримані щоквартально, щоб проаналізувати звичайні або рідкісні злі методи з реальними випадками після десенсибілізації та допомогти користувачам навчитися краще захищати свої активи.

Відповідно до статистики, у другому кварталі 2024 року команда MistTrack отримала загалом 467 викрадених форм, у тому числі 146 закордонних форм і 321 національну форму із надісланих справ, за винятком справ, з якими зв’язалися електронною поштою чи іншими каналами)

Серед них команда MistTrack допомогла 18 викраденим клієнтам заморозити приблизно 20,6641 мільйона доларів США коштів на 13 платформах.

Топ-3 причини крадіжок

Найпоширеніші схеми форм Q2 у 2024 році такі:

Витік закритого ключа

Згідно зі статистичними даними з форми Q2, багато користувачів зберігають приватні ключі/мнемосхеми на хмарних дисках, таких як Google Docs, Tencent Docs, Baidu Cloud Disk, Graphite Docs тощо. Деякі користувачі використовують WeChat та інші інструменти для зберігання своїх приватних ключів/мнемонічних фраз . Більше того, ви можете скопіювати мнемонічні слова у форму WPS за допомогою функції графічної грамотності WeChat, потім зашифрувати форму та запустити хмарну службу, і в той же час зберегти її на локальному комп’ютері. диск комп'ютера. Така поведінка, яка, здається, покращує інформаційну безпеку, насправді значно підвищує ризик крадіжки інформації. Хакери часто використовують метод «наповнення обліковими даними», щоб спробувати ввійти на веб-сайти цих хмарних служб зберігання даних, збираючи оприлюднені бази даних облікових записів і паролів в Інтернеті. Хоча це випадковість, якщо вхід успішний, хакери можуть легко знайти та викрасти інформацію, пов’язану з криптовалютою. Такі ситуації можна розглядати як пасивний витік інформації. Також є деякі випадки активного витоку, наприклад, шахраї, які прикидаються службою обслуговування клієнтів, спонукають жертв заповнити мнемонічні фрази або обманюють жертв за допомогою фішингових посилань на платформах чату, таких як Discord, а потім вводять інформацію про закритий ключ. Тут команда MistTrack наполегливо нагадує всім, що закритий ключ/мнемонічна фраза не повинна розкриватися нікому ні за яких обставин.

Крім того, підроблені гаманці також є найбільш постраждалим місцем, яке призводить до витоку закритих ключів. Ця частина вже стала кліше, але все ще є велика кількість користувачів, які ненавмисно натискають рекламні посилання під час використання пошукових систем і завантажують підроблені програми-гаманці. Через мережеві причини багато користувачів вирішуватимуть отримувати відповідні програми зі сторонніх сайтів завантаження. Хоча ці сайти стверджують, що їхні програми завантажуються з дзеркал Google Play, їх фактична безпека викликає сумніви. Раніше команда безпеки SlowMist проаналізувала програму гаманця на сторонньому ринку програм apkcombo і виявила, що версія imToken 24.9.11, надана apkcombo, є версією, якої не існує, і наразі це версія з найбільшою кількістю підроблених гаманців imToken на ринку.

Ми також відстежили деякі серверні системи керування, пов’язані з командою підроблених гаманців, які включають складні функції контролю цифрової валюти, такі як керування користувачами, управління валютою та керування поповненням. Розширені можливості та професіоналізм цього виду риболовлі перевершили уяву багатьох людей.

Наприклад, у Q2 був відносно рідкісний випадок: користувач шукав у пошуковій системі «Twitter» і випадково завантажив підроблену версію програми Twitter. Коли користувач відкриває програму, з’являється підказка, яка стверджує, що через регіональні обмеження потрібна VPN, і пропонує користувачу завантажити підроблену VPN, яка постачається разом із програмою. У результаті приватний ключ/мнемонічна фраза користувача викрадається. Подібні випадки ще раз нагадують нам про те, що будь-які онлайн-додатки та сервіси мають бути ретельно перевірені та перевірені для забезпечення їх законності та безпеки.

риболовля

Згідно з аналізом, багато вкрадених запитів про допомогу у другому кварталі були спричинені фішингом: користувачі переходили по коментарях із фішинговими посиланнями, розміщених у Twitter відомих проектів. Раніше команда безпеки SlowMist провела цілеспрямований аналіз і статистику: після того, як приблизно 80% відомих учасників проекту опублікують твіти, перше повідомлення в області коментарів буде зайнято шахрайськими фішинговими акаунтами. Ми також виявили, що в Telegram існує велика кількість груп для продажу облікових записів у Twitter. Ці облікові записи мають різну кількість підписників і публікацій, а також різний час реєстрації, що дозволяє потенційним покупцям вибирати покупку відповідно до своїх потреб. Історія показує, що більшість проданих облікових записів пов’язані з індустрією криптовалют або інтернет-зірками.

Крім того, є деякі веб-сайти, які спеціалізуються на продажу облікових записів Twitter. Ці веб-сайти продають облікові записи Twitter різних років і навіть підтримують купівлю дуже схожих облікових записів. Наприклад, фейковий обліковий запис Optimlzm дуже схожий на справжній акаунт Optimism. Після придбання такого дуже схожого облікового запису фішингова група використовуватиме інструменти просування, щоб збільшити взаємодію та кількість шанувальників облікового запису, тим самим підвищуючи довіру до облікового запису. Ці рекламні інструменти не тільки приймають платежі в криптовалюті, але й продають різноманітні послуги соціальних платформ, включаючи лайки, ретвіти, підписників тощо. Використовуючи ці інструменти, фішингова група може отримати обліковий запис у Твіттері з великою кількістю підписників і публікацій, а також імітувати динаміку розповсюдження інформації сторони проекту. Через високу схожість з обліковим записом реальної сторони проекту багатьом користувачам важко відрізнити справжність від підробки, що ще більше підвищує рівень успіху фішингових груп. Потім фішингові групи здійснюють фішингові операції, наприклад, використовують автоматичних ботів для відстеження динаміки відомих проектів. Коли команда проекту публікує твіт, бот автоматично відповість, щоб захопити перший коментар, тим самим залучаючи більше переглядів. З огляду на те, що облікові записи, які маскують фішингові групи, дуже схожі на облікові записи команди проекту, якщо користувач проявив недбалість і натиснув фішингове посилання на підробленому обліковому записі, а потім авторизувався та підписав, це може призвести до втрати активів.

Загалом, дивлячись на фішингові атаки в індустрії блокчейнів, для окремих користувачів ризик полягає головним чином у двох основних моментах: «доменне ім’я та підпис». Щоб досягти всебічного захисту безпеки, ми завжди виступали за прийняття стратегії подвійного захисту, а саме захист обізнаності про безпеку персоналу + захист технічних засобів. Технічний захист передбачає використання різноманітних апаратних і програмних засобів, таких як плагін Scam Sniffer для блокування ризиків фішингу, для забезпечення безпеки активів і інформації. Коли користувач відкриває підозрілу фішингову сторінку, інструмент з’являється підказка про ризик часу, таким чином запобігаючи формуванню ризику за один крок. З точки зору захисту обізнаності про безпеку персоналу, ми настійно рекомендуємо всім уважно прочитати та поступово опанувати «Посібник із саморятування в темному лісі блокчейну» (https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob /main/ README_CN.md). Лише завдяки співпраці цих двох стратегій захисту ми можемо ефективно боротися з методами фішингових атак, які постійно змінюються та вдосконалюються, і захистити безпеку активів.

Шахрайство

Існує багато методів шахрайства. Q2 Найпоширенішим прийомом шахрайства є Pixiu Pan. У легендах Піксіу вважається магічною істотою. Кажуть, що він може проковтнути все, не виділяючи цього. Байка говорить, що коли такі скарби, як золото та коштовності, вони не можуть бути вилучені з його тіла. Тому диск Pixiu використовується як метафора для цифрових валют, які неможливо продати після покупки.

Жертва описала свій досвід: «Я задав питання в групі Telegram, і хтось з ентузіазмом відповів на багато моїх питань і багато чому навчив мене після того, як ми спілкувалися приватно протягом двох днів, я відчув, що це було досить добре Запропонував відвести мене на первинний ринок, щоб купити нові токени, і надав мені контрактну адресу на PancakeSwap. Він сказав мені, що це була прекрасна можливість він запропонував мені негайно збільшити інвестиції, тому я не прислухався до його поради, коли я зрозумів, що мене обдурили .Я допоміг із запитом і дізнався, що це дійсно Pixiu Coin, і я міг тільки купити його, але не продати, коли шахрай дізнався, що я більше не додавав позицій.

Досвід цієї жертви насправді відображає типову модель шахрайства Pixiu Pan:

1. Шахраї розгортають смарт-контракти, які встановлюють пастки та підкидають наживку, обіцяючи високі прибутки;

2. Жертви намагаються з усіх сил привабити токени, щоб вони купували токени. Тому жертви зазвичай вирішують почекати, доки токени не збільшаться, перш ніж спробувати їх викупити, але вони не можуть їх продати. придбані токени;

3. Нарешті шахрай забирає вкладені кошти жертви.

Варто зазначити, що всі монети Pixiu, згадані у формі Q2, відбувалися на BSC, як ви можете бачити на зображенні нижче, шахраї також відправляли токени, які вони зберігали, на гаманці та біржі багато транзакцій.

Через прихований характер ринку Pixiu навіть досвідченим інвесторам може бути важко чітко побачити правду. Зараз переважає тенденція мемів, і різні види «доджкойнов» мають певний вплив на ринок. Оскільки ціна на тарілку Pixiu швидко зростатиме, люди часто йдуть за тенденцією та купують імпульсивно. Багато учасників ринку, які не знають правди, переслідують цю хвилю «місцевої собачої лихоманки», але ненавмисно потрапляють у пастку тарілки Pixiu. Після покупки вони більше не можуть використовувати його для продажу.

Тому команда MistTrack рекомендує користувачам вжити таких заходів перед торгівлею, щоб уникнути фінансових втрат, спричинених участю в торгівлі Pixiu:

  • Використовуйте MistTrack, щоб перевірити статус ризику пов’язаних адрес, або використовуйте інструмент виявлення Token від GoPlus, щоб ідентифікувати монети Pixiu і приймати торгові рішення;

  • Перевірте, чи був код перевірений і перевірений на Etherscan, BscScan, або прочитайте відгуки, про що попереджають деякі жертви на вкладці огляду монет шахрайства;

  • Зрозумійте відповідну інформацію про віртуальну валюту, врахуйте історію учасників проекту та покращте обізнаність про самопрофілактику. Будьте обережні з віртуальними валютами, які пропонують надвисокі доходи, оскільки надвисокі прибутки зазвичай означають більший ризик.

напишіть в кінці

Якщо вашу криптовалюту, на жаль, викрадуть, ми надамо безкоштовні послуги спільноти для оцінки випадку. Вам потрібно лише подати форму відповідно до вказівок щодо класифікації (викрадені кошти/шахрайство/вимагання). У той же час надіслану вами адресу хакера також буде синхронізовано з мережею кооперації аналізу загроз SlowMist InMist Lab для контролю ризиків. (Примітка: надішліть форму китайською мовою за адресою https://aml.slowmist.com/cn/recovery-funds.html, а англійською – за адресою https://aml.slowmist.com/recovery-funds.html)

SlowMist активно працює у сфері боротьби з відмиванням грошей у криптовалюті протягом багатьох років і сформував повний та ефективний набір рішень, що охоплюють відповідність, розслідування та аудит. Він активно допомагає створити здорове екологічне середовище для криптовалюти, а також надає підтримку промисловість Web3, фінансові установи, регулюючі органи та відділи відповідності для надання професійних послуг. Серед них MistTrack — це платформа для дослідження відповідності, яка забезпечує аналіз адрес гаманця, моніторинг коштів і можливість відстеження. Вона накопичила понад 300 мільйонів міток адрес, понад 500 000 даних розвідки про загрози та понад 90 мільйонів адрес ризиків. вони забезпечують потужний захист для забезпечення безпеки цифрових активів і боротьби зі злочинами, пов’язаними з відмиванням грошей.