作者:慢霧 AML 團隊

隨着區塊鏈的快速發展,針對用戶的盜幣、釣魚、欺詐等安全事件日益增多,且攻擊手法多樣。慢霧 SlowMist 每天都會收到大量受害者的求助信息,希望我們提供資金追蹤和挽救的幫助,其中不乏丟失上千萬美金的大額受害者。基於此,本系列通過對每個季度收到的被盜表單進行統計和分析,旨在以脫敏後的真實案例剖析常見或罕見的作惡手法,幫助用戶學習如何更好地保護好自己的資產。

據統計,MistTrack Team 於 2024 年 Q2 季度共收到 467 份被盜表單,包括 146 份海外表單和 321 份國內表單,我們爲這些表單做了免費的評估社區服務(Ps. 本文內容僅針對來自表單提交的 Case,不包括通過郵箱或其他渠道聯繫的 Case)

其中,MistTrack Team 協助 18 位被盜客戶在 13 個平臺凍結約 2066.41 萬美元的資金。

被盜原因 Top 3

2024 年 Q2 表單最常見的作惡手法如下:

私鑰泄露

據 Q2 表單的統計,不少用戶會將私鑰 / 助記詞存儲在 Google 文檔、騰訊文檔、百度雲盤、石墨文檔等雲盤之中,有的用戶會通過微信等工具將私鑰 / 助記詞發送給自己信任的朋友,更有甚者通過微信的圖片識字功能,將助記詞複製到 WPS 表格中,然後加密這個表格並開啓雲服務,同時又存在電腦的本地硬盤中。這些看似提高了信息安全的行爲實際上都極大地增加了信息被竊取的風險。黑客們常利用“撞庫”這種方法,通過收集網絡上公開泄露的賬號密碼數據庫,嘗試登錄這些雲存儲服務網站。雖然這是碰概率的行爲,但只要登錄成功,黑客就能輕易地找到並盜取與加密貨幣相關的信息,這些情況可以被看作是信息被動泄露。另外還存在一些主動泄露的案例,例如受害者被冒充客服的騙子誘導填寫助記詞,或者在 Discord 等聊天平臺上被釣魚鏈接欺騙,然後輸入私鑰信息等。在此,MistTrack Team 強烈提醒大家,任何情況下都不應該把私鑰 / 助記詞透露給任何人。

除此之外,假錢包也是導致私鑰泄露的重災區。這部分已經是老生常談,但依然有大量用戶在使用搜索引擎時,無意間點擊廣告鏈接,從而下載了假冒的錢包應用。由於網絡原因,很多用戶會選擇從第三方下載站獲取相關應用。儘管這些站點聲稱其應用均源自 Google Play 的鏡像下載,但是其真實安全性存疑。此前慢霧安全團隊就分析過第三方應用市場 apkcombo 上的錢包應用,結果發現 apkcombo 提供的 imToken 24.9.11 版本,是一個並不存在的版本,且是目前市面上假 imToken 錢包最多的一個版本。

我們還追蹤到了一些與假錢包團隊有關的後臺管理系統,其中包含用戶管理、幣種管理以及充值管理等複雜數字貨幣控制功能。這類釣魚行爲具備的高級特性與專業程度都已超出了許多人的想象。

例如,Q2 有一個較爲罕見的案例:某用戶在搜索引擎中搜索“Twitter”,不慎下載了一個假冒版的 Twitter 應用。當用戶打開這個應用時,系統彈出了一個提示,聲稱由於地區限制,需要使用 VPN,並引導用戶下載該應用自帶的虛假 VPN,結果導致該用戶的私鑰 / 助記詞被竊取。這樣的案例再次警示我們,對於任何在線應用和服務,都應進行仔細審查和驗證,確保其合法性與安全性。

釣魚

根據分析,Q2 多起被盜求助事件的被釣魚原因都是:用戶點擊了發佈在知名項目推特下的釣魚鏈接評論。此前慢霧安全團隊做了針對性的分析統計:約有 80% 的知名項目方在發佈推特後,評論區的第一條留言會被詐騙釣魚賬號佔據。我們還發現 Telegram 上有大量售賣 Twitter 賬號的羣組,這些賬號的粉絲數量和發帖數量不一,註冊時間也各不相同,這讓潛在的買家可以根據他們的需求選擇購買。歷史記錄顯示,大多數出售的賬號都與加密貨幣行業或網絡紅人有所關聯。

除此之外,還存在一些專門售賣 Twitter 賬號的網站,這些網站銷售各年份的 Twitter 賬號,甚至支持購買高度相似的賬號。例如,假冒賬號 Optimlzm 和真實賬號 Optimism 外觀相似程度極高。購買了這種高度相似的賬號後,釣魚團伙就會採用推廣工具提升賬號的互動和粉絲量,以此提高賬號的可信度。這些推廣工具不僅接受加密貨幣支付,還銷售包括點贊、轉發、增粉等在內的多種社交平臺服務。利用這些工具,釣魚團伙可以得到一個具有大量粉絲和帖子的 Twitter 賬號,並模仿項目方的信息發佈動態。由於與真實項目方的賬號具有高度的相似性,使得許多用戶難以分辨真假,從而進一步增加了釣魚團伙的成功率。隨後,釣魚團伙實施釣魚行動,比如使用自動化機器人來關注知名項目的動態。當項目方發佈推文後,機器人會自動回覆以搶佔第一條評論,從而吸引更多瀏覽量。鑑於釣魚團伙僞裝過的賬號與項目方賬號極其相似,一旦用戶疏忽,點擊假賬號上的釣魚鏈接,然後進行授權、簽名,便可能導致資產損失。

總的來說,縱觀區塊鏈行業的釣魚攻擊,對個人用戶來說,風險主要在“域名、簽名”兩個核心點。爲了實現全面的安全防護,我們一直主張採取雙重防護策略,即人員安全意識防禦 + 技術手段防禦。技術手段防禦是指藉助各種硬軟件工具,如釣魚風險阻斷插件 Scam Sniffer 來確保資產和信息安全,用戶在打開可疑的釣魚頁面時,工具會及時彈出風險提示,從而在風險形成的第一步就將其阻斷。在人員安全意識防禦方面,我們強烈建議大家深度閱讀並逐步掌握《區塊鏈黑暗森林自救手冊》(https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md)。只有通過這兩種防護策略的相互配合,纔能有效對抗不斷變化、升級的釣魚攻擊手段,守護資產安全。

詐騙

詐騙手法有很多,Q2 最爲常見的詐騙手法是貔貅盤。在傳說中,貔貅被視爲一種神奇的生物,據說它可以吞噬所有事物而不排泄出來,寓言所說的黃金和珠寶等財寶一經吞入,便無法從其體內取出。因此,貔貅盤被用來比喻一旦購買就無法再賣出的數字貨幣。

某位受害者描述了自己的經歷:“我當時在 Telegram 羣組提了一個問題,有個人熱心回答了我很多問題,也教了我很多東西,在我們私聊了兩天之後,我覺得他人挺不錯的。於是他提議帶我去一級市場購買新代幣,並在 PancakeSwap 上給我提供了一個幣種的合約地址。我購買之後,這個幣一直在猛漲,他告訴我這是半年一遇的黃金機會,建議我立即加大投資。我感覺事情沒這麼簡單就沒采納他的建議,他就一直催我,一催我意識到可能被欺騙了,我便請羣裏的其他人幫忙查詢,結果發現這確實是貔貅幣,我也試過了只能買不能賣。當騙子發現我不再加倉時,他也將我拉黑。”

這位受害者的經歷實際上反映了貔貅盤詐騙的典型模式:

1. 詐騙者部署設置了陷阱的智能合約,並拋出承諾高利潤的誘餌;

2. 詐騙者極力吸引目標購入代幣,受害者購買後常會看到該代幣快速升值,於是,受害者通常會決定等到代幣的漲幅足夠大了再嘗試兌換,結果發現無法賣出已購的代幣;

3. 最後,詐騙者提取受害者投資的資金。

值得一提的是,Q2 表單所提到的貔貅幣都發生在 BSC 上,下圖中可以看到貔貅幣有很多交易,騙子還把持有的代幣發送給錢包和交易所,造成有很多人蔘與的假象。

由於貔貅盤的本質具有一定隱蔽性,即便經驗豐富的投資者也可能很難看清真相。如今 Meme 風盛行,各類型的“土狗幣”對市場造成一定的影響。由於貔貅盤的價格會迅速上漲,人們常常衝動地跟風購買,許多未明真相的市場參與者苦苦追逐這波“土狗熱”,卻無意中步入貔貅盤的陷阱,購買後再也無法將其出售。

因此,MistTrack Team 建議廣大用戶進行交易前,採取以下措施來避免因參與貔貅盤導致資金受損:

  • 使用 MistTrack 查看相關地址的風險情況,或通過 GoPlus 的 Token 安全檢測工具識別貔貅幣並進行交易決策;

  • 在 Etherscan、BscScan 上檢查代碼是否經過了審計和驗證,或閱讀相關評論,因爲有些受害者會在詐騙代幣評論選項卡上發出警告;

  • 瞭解相關的虛擬貨幣信息並考量項目方背景,提高自我防範意識。警惕提供超高回報的虛擬貨幣,超高的回報通常意味着更大的風險。