Автор: Лиз, Зеро и Кейвольф

фон

3 мая, согласно мониторингу антифрод-платформы Web3 Scam Sniffer, гигантский кит подвергся фишинговой атаке с одним и тем же первым и последним адресом и украл 1155 WBTC на сумму около 70 миллионов долларов США. Хотя этот метод ловли существует уже давно, масштаб ущерба, нанесенного этим инцидентом, до сих пор шокирует. В этой статье будут проанализированы ключевые моменты фишинговых атак на адреса с одинаковыми первым и последним номером, местонахождение средств, хакерские характеристики и предложения по предотвращению таких фишинговых атак.

()

Атакуйте ключевые точки

Адрес жертвы:

0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5

Целевой адрес передачи жертвы:

0xd9A1b0B1e1aE382DbDc898Ea68012FfcB2853a91

Адрес рыбалки:

0xd9A1C3788D81257612E2581A6ea0aDa244853a91

1. Конфликт фишинговых адресов. Хакеры заранее сгенерируют большое количество фишинговых адресов в пакетах. После распределенного развертывания пакетной программы они начнут фишинговую атаку с одинаковым адресом первого и последнего номера. целевой адрес передачи на основе динамики пользователей в цепочке. В этом инциденте хакер использовал адрес, первые 4 цифры и последние 6 цифр которого после удаления 0x соответствовали целевому адресу передачи жертвы.

**2. Трейлинг-транзакция: **После того, как пользователь перевел деньги, хакер немедленно использует столкнувшийся фишинговый адрес (примерно через 3 минуты) для отслеживания транзакции (фишинговый адрес передает 0 ETH на адрес пользователя), так что фишинговый адрес появляется в записи транзакции пользователя.

()

**3. Желающие проглотить: **Из-за привычки пользователя копировать информацию о недавних переводах из истории кошелька, увидев эту отслеживающую фишинговую транзакцию, он не проверил тщательно, правильный ли скопированный им адрес, и в результате 1155 WBTC были по ошибке переведены на адрес рыбалки!

Анализ MistTrack

Анализ с использованием инструмента отслеживания цепочки MistTrack показал, что хакер обменял 1155 WBTC на 22 955 ETH и перевел их на следующие 10 адресов.

7 мая хакеры начали переводить ETH на эти 10 адресов. Режим перевода средств в основном демонстрировал характеристики, заключающиеся в том, что на текущем адресе остается не более 100 средств ETH, а затем примерно поровну распределяются оставшиеся средства перед переводом их на следующий уровень. адрес. . На данный момент эти средства не были обменены на другие валюты и не переведены на платформу. На рисунке ниже показана ситуация с переводом средств по адресу 0x32ea020a7bb80c5892df94c6e491e8914cce2641. Откройте ссылку в браузере, чтобы просмотреть изображение в высоком разрешении:

()

Затем мы использовали MistTrack для запроса исходного фишингового адреса 0xd9A1C3788D81257612E2581A6ea0aDa244853a91 в этом инциденте и обнаружили, что источником платы за обработку этого адреса был 0xdcddc9287e59b5df08d17148a078bd181313eacc.

()

Следуя адресу комиссии, мы видим, что в период с 19 апреля по 3 мая этот адрес инициировал более 20 000 транзакций на небольшие суммы, распределяя небольшие суммы ETH по разным адресам для ловли рыбы.

()

Судя по изображению выше, мы видим, что хакер использовал широкую сеть, поэтому жертв должно быть несколько. В ходе масштабного сканирования мы также обнаружили другие связанные с ним случаи фишинга. Ниже приведены некоторые примеры:

Давайте в качестве примера возьмем фишинговый адрес 0xbba8a3cc45c6b28d823ca6e6422fbae656d103a6 из второго инцидента на рисунке выше. Мы продолжаем отслеживать адреса комиссий вверх и обнаруживаем, что эти адреса перекрываются с адресами отслеживания комиссий фишингового инцидента 1155 WBTC, поэтому они должны быть одинаковыми. хакер.

**Анализируя переводы хакерами других прибыльных средств (с конца марта по настоящее время), мы также пришли к выводу, что еще одной характеристикой хакеров отмывания денег является конвертация средств в цепочке ETH в Monero или кросс-чейн в Tron, а затем переведите их на подозрительные внебиржевые адреса, поэтому существует вероятность того, что хакер позже использует тот же метод для перевода средств, полученных от фишингового события 1155 WBTC. **

Характеристики хакера

По данным сети анализа угроз SlowMist, мы обнаружили IP-адрес мобильной базовой станции в Гонконге, используемый подозреваемыми хакерами (возможность использования VPN не исключена):

• 182.xxx.xxx.228
• 182.xxx.xx.18
• 182.ххх.хх.51
• 182.xxx.xxx.64
• 182.ххх.хх.154
• 182.xxx.xxx.199
• 182.ххх.хх.42
• 182.ххх.хх.68
• 182.xxx.xxx.66
• 182.xxx.xxx.207

Стоит отметить, что даже после того, как хакер украл 1155 WBTC, казалось, он не собирался мыть руки.

Следуя за тремя ранее собранными родительскими адресами фишинговых адресов (которые использовались для взимания платы за обработку со многих фишинговых адресов), их общей особенностью является то, что сумма последней транзакции значительно больше, чем предыдущая. Это связано с тем, что хакер деактивировал текущую. адрес и перевели средства. В ходе операции перевода на родительский адрес нового фишингового адреса три вновь активированных адреса по-прежнему переводят средства с высокой частотой.

()

В ходе последующих крупномасштабных сканирований мы обнаружили еще два деактивированных родительских адреса фишинговых адресов. После отслеживания мы обнаружили, что они были связаны с хакером, поэтому мы не будем здесь вдаваться в подробности.

• 0xa5cef461646012abd0981a19d62661838e62cf27
• 0x2bb7848Cf4193a264EA134c66bEC99A157985Fb8

На этом этапе мы подняли вопрос о том, откуда берутся средства в цепочке ETH. После отслеживания и анализа, проведенного командой безопасности SlowMist, мы обнаружили, что хакер изначально осуществил фишинговую атаку на Tron с одним и тем же первым и последним адресом. , а затем нацелился на Tron после получения прибыли. Пользователи, попавшие в цепочку ETH, перевели средства с прибыли с Tron в цепочку ETH и начали фишинг. На следующем рисунке показан пример фишинга со стороны хакеров на Tron:

()

4 мая жертва передала хакеру в сети следующее сообщение: Если ты выиграешь, брат, ты можешь оставить себе 10% и вернуть 90%, а мы можем сделать вид, что ничего не произошло. Мы все знаем, что 7 миллионов долларов достаточно, чтобы жить хорошо, но 70 миллионов заставят вас плохо спать.

5 мая жертва продолжила звонить хакерам по сети, но ответа пока не получила.

()

Как защититься

• Механизм белого списка: Пользователям рекомендуется сохранять целевой адрес в адресной книге кошелька. Целевой адрес можно будет найти в адресной книге кошелька при следующем осуществлении перевода.
• Включите функцию фильтрации небольших сумм кошелька: Пользователям рекомендуется включить функцию фильтрации небольших сумм кошелька, чтобы заблокировать такие нулевые переводы и снизить риск фишинга. Команда безопасности SlowMist проанализировала этот тип метода фишинга в 2022 году. Заинтересованные читатели могут щелкнуть ссылку, чтобы просмотреть его (SlowMist: будьте осторожны с мошенничеством с нулевым переводом TransferFrom, SlowMist: будьте осторожны с мошенничеством с раздачей с одинаковым конечным номером).

• Внимательно проверьте правильность адреса: При подтверждении адреса пользователю рекомендуется как минимум проверить правильность первых 6 цифр и последних 8 цифр, кроме начала 0x. Конечно, это так. лучше всего проверить каждую цифру.
• Тест перевода небольшой суммы: Если кошелек, используемый пользователем, по умолчанию отображает только первые 4 цифры и последние 4 цифры адреса, а пользователь по-прежнему настаивает на использовании этого кошелька, вы можете рассмотреть возможность тестирования небольшого Сумма перевода в первую очередь. Если, к сожалению, вас поймают, это тоже небольшая травма.

Подведем итог

В этой статье в основном описывается метод фишинговой атаки с использованием одного и того же первого и последнего номера адреса, анализируются характеристики хакеров и схемы перевода средств, а также предлагаются предложения по предотвращению таких фишинговых атак. Команда безопасности SlowMist хотела бы напомнить вам, что, поскольку технология блокчейна не может быть подделана, а операции в цепочке необратимы, пользователи должны тщательно проверять адрес перед выполнением какой-либо операции, чтобы избежать повреждения активов.