Par : Liz, Zero et Keywolf

arrière-plan

Le 3 mai, selon la surveillance de la plateforme anti-fraude Web3 Scam Sniffer, une baleine géante a subi une attaque de phishing avec la même première et dernière adresse, et s'est vu voler 1 155 WBTC, d'une valeur d'environ 70 millions de dollars. Même si cette méthode de pêche existe depuis longtemps, l’ampleur des dégâts causés par cet incident reste choquante. Cet article analysera les points clés des attaques de phishing sur des adresses comportant le même premier et dernier numéro, la localisation des fonds, les caractéristiques des pirates informatiques et des suggestions pour empêcher de telles attaques de phishing.

()

Points clés de l'attaque

Adresse de la victime :

0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5

Adresse de transfert cible de la victime :

0xd9A1b0B1e1aE382DbDc898Ea68012FfcB2853a91

Adresse de pêche :

0xd9A1C3788D81257612E2581A6ea0aDa244853a91

1. Collision d'adresses de phishing : Les pirates généreront à l'avance un grand nombre d'adresses de phishing par lots. Après avoir déployé le programme par lots de manière distribuée, ils lanceront une attaque de phishing avec le même premier et dernier numéro d'adresse. l'adresse de transfert cible en fonction de la dynamique des utilisateurs sur la chaîne. Dans cet incident, le pirate informatique a utilisé une adresse dont les 4 premiers chiffres et les 6 derniers chiffres après suppression de 0x correspondaient à l'adresse de transfert cible de la victime.

**2. Transaction de suivi : **Une fois que l'utilisateur a transféré l'argent, le pirate informatique utilise immédiatement l'adresse de phishing entrée en collision (environ 3 minutes plus tard) pour suivre une transaction (l'adresse de phishing transfère 0 ETH à l'adresse de l'utilisateur), de sorte que le l’adresse de phishing apparaît dans l’enregistrement de transaction de l’utilisateur.

()

**3. Ceux qui souhaitent mordre à l'hameçon : **En raison de l'habitude de l'utilisateur de copier les informations de transfert récentes de l'historique du portefeuille, après avoir vu cette transaction de phishing, il n'a pas soigneusement vérifié si l'adresse qu'il avait copiée était correcte, et en conséquence, 1155 WBTC ont été transférés par erreur à Got the Fishing Address !

Analyse MistTrack

L'analyse à l'aide de l'outil de suivi en chaîne MistTrack a révélé que le pirate informatique avait échangé 1 155 WBTC contre 22 955 ETH et l'avait transféré aux 10 adresses suivantes.

Le 7 mai, les pirates ont commencé à transférer des ETH sur ces 10 adresses. Le mode de transfert de fonds présentait essentiellement les caractéristiques de ne pas laisser plus de 100 fonds ETH à l'adresse actuelle, puis de diviser grossièrement les fonds restants de manière égale avant de les transférer au niveau suivant. adresse. . À l’heure actuelle, ces fonds n’ont pas été échangés contre d’autres devises ni transférés sur la plateforme. L'image ci-dessous montre la situation du transfert de fonds sur 0x32ea020a7bb80c5892df94c6e491e8914cce2641. Ouvrez le lien dans le navigateur pour voir l'image haute définition :

()

Nous avons ensuite utilisé MistTrack pour interroger l'adresse de phishing initiale 0xd9A1C3788D81257612E2581A6ea0aDa244853a91 dans cet incident, et avons constaté que la source des frais de traitement pour cette adresse était 0xdcddc9287e59b5df08d17148a078bd181313eacc.

()

Suite à l'adresse des frais, nous pouvons voir qu'entre le 19 avril et le 3 mai, cette adresse a initié plus de 20 000 transactions de petits montants, distribuant de petites quantités d'ETH à différentes adresses pour la pêche.

()

D’après l’image ci-dessus, nous pouvons voir que le pirate informatique a adopté une approche à large réseau, il doit donc y avoir plus d’une victime. Grâce à une analyse à grande échelle, nous avons également détecté d’autres incidents de phishing associés. Voici quelques exemples :

Prenons comme exemple l'adresse de phishing 0xbba8a3cc45c6b28d823ca6e6422fbae656d103a6 du deuxième incident de l'image ci-dessus. Nous continuons à suivre les adresses de frais vers le haut et constatons que ces adresses chevauchent les adresses de traçabilité des frais de l'incident de phishing 1155 WBTC, elles devraient donc être les mêmes. pirate.

**En analysant le transfert par les pirates d'autres fonds rentables (de fin mars à aujourd'hui), nous avons également conclu qu'une autre caractéristique de blanchiment d'argent des pirates est de convertir les fonds de la chaîne ETH en Monero ou de la chaîne croisée en Tron, puis transférez-les vers des adresses OTC suspectées, il est donc possible que le pirate informatique utilise ultérieurement la même méthode pour transférer les fonds tirés de l'événement de phishing 1155 WBTC. **

Caractéristiques des pirates informatiques

Selon le réseau de renseignement sur les menaces de SlowMist, nous avons découvert l’adresse IP de la station de base mobile à Hong Kong utilisée par des pirates présumés (la possibilité d’un VPN n’est pas exclue) :

• 182.xxx.xxx.228
• 182.xxx.xx.18
• 182.xxx.xx.51
• 182.xxx.xxx.64
• 182.xxx.xx.154
• 182.xxx.xxx.199
• 182.xxx.xx.42
• 182.xxx.xx.68
• 182.xxx.xxx.66
• 182.xxx.xxx.207

Il convient de noter que même après que le pirate informatique ait volé 1 155 WBTC, il semblait qu’il n’avait pas l’intention de se laver les mains.

Faisant suite aux trois adresses mères d'adresses de phishing précédemment collectées (utilisées pour fournir des frais de traitement à de nombreuses adresses de phishing), leur caractéristique commune est que le montant de la dernière transaction est nettement supérieur à celui de la précédente. Cela est dû au fait que le pirate informatique a désactivé la transaction actuelle. et transféré les fonds. Lors de l'opération de transfert vers l'adresse mère de la nouvelle adresse de phishing, les trois adresses nouvellement activées transfèrent toujours des fonds à une fréquence élevée.

()

Lors d’analyses ultérieures à grande échelle, nous avons découvert deux autres adresses parent d’adresses de phishing désactivées. Après traçabilité, nous avons constaté qu’elles étaient associées au pirate informatique, nous n’entrerons donc pas dans les détails ici.

*0xa5cef461646012abd0981a19d62661838e62cf27

• 0x2bb7848Cf4193a264EA134c66bEC99A157985Fb8

À ce stade, nous avons soulevé la question de savoir d'où proviennent les fonds de la chaîne ETH. Après suivi et analyse par l'équipe de sécurité de SlowMist, nous avons constaté que le pirate informatique avait initialement mené une attaque de phishing sur Tron avec la même première et dernière adresse. , puis a ciblé Tron après avoir réalisé des bénéfices. Les utilisateurs qui ont accédé à la chaîne ETH ont transféré les fonds générés par Tron vers la chaîne ETH et ont commencé le phishing. L'image suivante est un exemple de phishing par des pirates sur Tron :

()

Le 4 mai, la victime a transmis le message suivant au hacker de la chaîne : Si tu gagnes, mon frère, tu peux garder 10 % et rendre 90 %, et nous pouvons faire comme si de rien n'était. Nous savons tous que 7 millions de dollars suffisent pour bien vivre, mais 70 millions de dollars vous feront mal dormir.

Le 5 mai, la victime a continué à appeler les hackers de la chaîne, mais n'a pas encore reçu de réponse.

()

Comment se défendre

• Mécanisme de liste blanche : Il est recommandé aux utilisateurs d'enregistrer l'adresse cible dans le carnet d'adresses du portefeuille. L'adresse cible pourra être trouvée dans le carnet d'adresses du portefeuille la prochaine fois que le transfert sera effectué.
• Activer la fonction de filtrage des petits montants du portefeuille : Il est recommandé aux utilisateurs d'activer la fonction de filtrage des petits montants du portefeuille pour bloquer ces transferts nuls et réduire le risque d'hameçonnage. L'équipe de sécurité de SlowMist a analysé ce type de méthode de phishing en 2022. Les lecteurs intéressés peuvent cliquer sur le lien pour le visualiser (SlowMist : méfiez-vous de l'arnaque à transfert zéro TransferFrom, SlowMist : méfiez-vous de l'arnaque au largage aérien du même numéro de fin).

• Vérifiez soigneusement si l'adresse est correcte : Il est recommandé que lors de la confirmation de l'adresse, l'utilisateur vérifie au moins si les 6 premiers chiffres et les 8 derniers chiffres, à l'exception du début 0x, sont corrects. il est préférable de vérifier chaque chiffre.
• Test de transfert de petit montant : Si le portefeuille utilisé par l'utilisateur n'affiche par défaut que les 4 premiers chiffres et les 4 derniers chiffres de l'adresse, et que l'utilisateur insiste toujours pour utiliser ce portefeuille, vous pouvez envisager de tester le petit transfert de montant en premier. Si malheureusement, vous êtes pris, c'est aussi une blessure mineure.

Résumer

Cet article présente principalement la méthode d'attaque de phishing utilisant la même première et dernière adresse numérique, analyse les caractéristiques des pirates informatiques et les modèles de transfert de fonds, et propose également des suggestions pour empêcher de telles attaques de phishing. L'équipe de sécurité de SlowMist tient à vous rappeler que, comme la technologie blockchain ne peut être falsifiée et que les opérations sur la chaîne sont irréversibles, les utilisateurs doivent vérifier soigneusement l'adresse avant d'effectuer toute opération afin d'éviter d'endommager les actifs.