Por: Liz & Zero & Keywolf

fundo

No dia 3 de maio, segundo monitoramento da plataforma antifraude Web3 Scam Sniffer, uma baleia gigante sofreu um ataque de phishing com o mesmo primeiro e último endereço, e foi roubado 1.155 WBTC, no valor de aproximadamente US$ 70 milhões. Embora este método de pesca já exista há muito tempo, a escala dos danos causados por este incidente ainda é chocante. Este artigo analisará os principais pontos dos ataques de phishing em endereços com o mesmo primeiro e último números, a localização dos fundos, as características dos hackers e sugestões para prevenir tais ataques de phishing.

()

Ataque pontos-chave

Endereço da vítima:

0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5

Endereço de transferência alvo da vítima:

0xd9A1b0B1e1aE382DbDc898Ea68012FfcB2853a91

Endereço de pesca:

0xd9A1C3788D81257612E2581A6ea0aDa244853a91

1. Colisão de endereços de phishing: Os hackers gerarão um grande número de endereços de phishing em lotes com antecedência. Depois de implantar o programa em lote de maneira distribuída, eles lançarão um ataque de phishing com o mesmo primeiro e último número de endereço. o endereço de transferência de destino com base na dinâmica do usuário na cadeia. Neste incidente, o hacker usou um endereço cujos primeiros 4 dígitos e últimos 6 dígitos após a remoção de 0x eram consistentes com o endereço de transferência alvo da vítima.

**2. Transação de rastreamento: **Depois que o usuário transfere o dinheiro, o hacker usa imediatamente o endereço de phishing colidido (cerca de 3 minutos depois) para rastrear uma transação (o endereço de phishing transfere 0 ETH para o endereço do usuário), para que o o endereço de phishing aparece no registro de transação do usuário.

()

**3. Aqueles que desejam morder a isca: **Devido ao hábito do usuário de copiar informações de transferências recentes do histórico da carteira, depois de ver esta transação de phishing, ele não verificou cuidadosamente se o endereço que copiou estava correto e como resultado, 1155 WBTC foram transferidos por engano para Obteve o endereço de pesca!

Análise MistTrack

A análise usando a ferramenta de rastreamento on-chain MistTrack descobriu que o hacker trocou 1.155 WBTC por 22.955 ETH e os transferiu para os 10 endereços seguintes.

Em 7 de maio, os hackers começaram a transferir ETH nesses 10 endereços. O modo de transferência de fundos basicamente mostrava as características de não deixar mais de 100 fundos ETH no endereço atual e, em seguida, dividir aproximadamente os fundos restantes igualmente antes de transferi-los para o próximo nível. endereço. . Actualmente, estes fundos não foram trocados por outras moedas nem transferidos para a plataforma. A imagem abaixo mostra a situação da transferência de fundos em 0x32ea020a7bb80c5892df94c6e491e8914cce2641 Abra o link no navegador para visualizar a imagem em alta definição:

()

Em seguida, usamos o MistTrack para consultar o endereço de phishing inicial 0xd9A1C3788D81257612E2581A6ea0aDa244853a91 neste incidente e descobrimos que a origem da taxa de manuseio para esse endereço era 0xdcddc9287e59b5df08d17148a078bd181313eacc.

()

Seguindo o endereço da taxa, podemos perceber que entre 19 de abril e 3 de maio, este endereço iniciou mais de 20.000 transações de pequeno valor, distribuindo pequenas quantidades de ETH para diferentes endereços para pesca.

()

De acordo com a imagem acima, podemos perceber que o hacker adotou uma abordagem de rede ampla, portanto deve haver mais de uma vítima. Através de varredura em grande escala, também encontramos outros incidentes de phishing relacionados. A seguir estão alguns exemplos:

Vamos pegar o endereço de phishing 0xbba8a3cc45c6b28d823ca6e6422fbae656d103a6 do segundo incidente na imagem acima como exemplo. Continuamos rastreando os endereços de taxa para cima e descobrimos que esses endereços se sobrepõem aos endereços de rastreabilidade de taxa do incidente de phishing 1155 WBTC, portanto, eles devem ser os mesmos. hacker.

**Ao analisar a transferência de outros fundos lucrativos por hackers (do final de março até o presente), também concluímos que outra característica de lavagem de dinheiro dos hackers é converter fundos na cadeia ETH em Monero ou cross-chain em Tron e depois transferi-los para endereços OTC suspeitos, portanto, existe a possibilidade de que o hacker use posteriormente o mesmo método para transferir os fundos lucrados com o incidente de phishing 1155 WBTC. **

Características do hacker

De acordo com a rede de inteligência de ameaças do SlowMist, descobrimos o IP da estação base móvel em Hong Kong usado por supostos hackers (a possibilidade de VPN não está descartada):

• 182.xxx.xxx.228
• 182.xxx.xx.18
• 182.xxx.xx.51
• 182.xxx.xxx.64
• 182.xxx.xx.154
• 182.xxx.xxx.199
• 182.xxx.xx.42
• 182.xxx.xx.68
• 182.xxx.xxx.66
• 182.xxx.xxx.207

É importante notar que mesmo depois que o hacker roubou 1.155 WBTC, parecia que ele não tinha intenção de lavar as mãos.

Seguindo os três endereços pais de phishing coletados anteriormente (usados para fornecer taxas de manuseio para muitos endereços de phishing), sua característica comum é que o valor da última transação é significativamente maior que o anterior. endereço e transferiu os fundos Na operação de transferência para o endereço pai do novo endereço de phishing, os três endereços recém-ativados ainda estão transferindo fundos em alta frequência.

()

Nas verificações subsequentes em grande escala, descobrimos mais dois endereços pais de phishing desativados. Após a rastreabilidade, descobrimos que eles estavam associados ao hacker, portanto, não entraremos em detalhes aqui.

*0xa5cef461646012abd0981a19d62661838e62cf27 *0x2bb7848Cf4193a264EA134c66bEC99A157985Fb8

Neste ponto, levantamos a questão de onde vêm os fundos da cadeia ETH. Após rastreamento e análise pela equipe de segurança do SlowMist, descobrimos que o hacker inicialmente realizou um ataque de phishing em Tron com o mesmo primeiro e último endereço. e, em seguida, direcionou o Tron após obter lucros. Os usuários que entraram na cadeia ETH transferiram os fundos de lucro do Tron para a cadeia ETH e iniciaram o phishing.

()

No dia 4 de maio, a vítima transmitiu a seguinte mensagem ao hacker da rede: Se você ganhar, irmão, você pode ficar com 10% e devolver 90%, e podemos fingir que nada aconteceu. Todos nós sabemos que US$ 7 milhões são suficientes para você viver bem, mas US$ 70 milhões farão você dormir mal.

No dia 5 de maio, a vítima continuou ligando para os hackers da rede, mas ainda não recebeu resposta.

()

Como defender

• Mecanismo de lista de permissões: É recomendado que os usuários salvem o endereço de destino no catálogo de endereços da carteira. O endereço de destino pode ser encontrado no catálogo de endereços da carteira na próxima vez que a transferência for feita.
• Ative a função de filtragem de pequenas quantias da carteira: É recomendado que os usuários habilitem a função de filtragem de pequenas quantias da carteira para bloquear essas transferências zero e reduzir o risco de serem phishing. A equipe de segurança do SlowMist analisou esse tipo de método de phishing em 2022. Os leitores interessados podem clicar no link para visualizá-lo (SlowMist: tenha cuidado com o esquema de transferência zero TransferFrom, SlowMist: tenha cuidado com o esquema de lançamento aéreo com o mesmo número final).

• Verifique cuidadosamente se o endereço está correto: Recomenda-se que ao confirmar o endereço, o usuário verifique pelo menos se os primeiros 6 dígitos e os últimos 8 dígitos, exceto o início 0x, estão corretos. é melhor verificar cada dígito.
• Teste de transferência de pequenas quantias: Se a carteira usada pelo usuário exibir apenas os primeiros 4 dígitos e os últimos 4 dígitos do endereço por padrão, e o usuário ainda insistir em usar esta carteira, você pode considerar testar a pequena transferência de valor primeiro. Se, infelizmente, você for pego, também será um ferimento leve.

Resumir

Este artigo apresenta principalmente o método de ataque de phishing usando o mesmo endereço de primeiro e último número, analisa as características dos hackers e os padrões de transferência de fundos e também apresenta sugestões para evitar tais ataques de phishing. A equipe de segurança do SlowMist gostaria de lembrar que, como a tecnologia blockchain não pode ser adulterada e as operações na cadeia são irreversíveis, os usuários devem verificar cuidadosamente o endereço antes de realizar qualquer operação para evitar danos aos ativos.