Bắt đầu từ tháng 6 năm 2024, nhóm bảo mật của CertiK đã giám sát một số lượng lớn các giao dịch lừa đảo/rút tiền tương tự. Chỉ riêng trong tháng 6, số tiền liên quan đã vượt quá 55 triệu USD. Sau khi bước sang tháng 8 và tháng 9, hoạt động của các địa chỉ lừa đảo liên quan trở nên thường xuyên hơn và lừa đảo. các cuộc tấn công Có một tình hình ngày càng bạo lực. Trong suốt quý 3 năm 2024, các cuộc tấn công lừa đảo đã trở thành phương thức tấn công gây ra nhiều tổn thất tài chính nhất, với những kẻ tấn công lừa đảo thu về hơn 243 triệu USD trong 65 hoạt động tấn công. Theo phân tích của nhóm bảo mật CertiK, các cuộc tấn công lừa đảo thường xuyên gần đây rất có thể liên quan đến Inferno Drainer, một nhóm công cụ lừa đảo khét tiếng. Đội đã tuyên bố “nghỉ hưu” một cách rầm rộ vào cuối năm 2023, nhưng bây giờ nó dường như đã hoạt động trở lại và đã quay trở lại, tạo ra hàng loạt cuộc tấn công quy mô lớn.

Dựa trên nền tảng này, bài viết này sẽ phân tích phương thức hoạt động điển hình của các nhóm tấn công lừa đảo như Inferno Drainer và Nova Drainer, đồng thời liệt kê chi tiết các đặc điểm hành vi của chúng. Chúng tôi hy vọng rằng thông qua những phân tích này, chúng tôi có thể giúp người dùng cải thiện khả năng xác định và ngăn chặn các hành vi lừa đảo trực tuyến.

Lừa đảo dưới dạng dịch vụ là gì

Nhiều người có thể quen thuộc với khái niệm Phần mềm dưới dạng dịch vụ (SaaS). Trong thế giới mã hóa, SaaS có một ý nghĩa khác. Nhóm lừa đảo đã phát minh ra một mô hình độc hại mới có tên là Scam-as-a-Service. Mô hình này đóng gói các công cụ và dịch vụ lừa đảo và cung cấp chúng cho các tội phạm khác theo cách thương mại hóa. Inferno Drainer khét tiếng là đại diện tiêu biểu cho lĩnh vực này. Họ công bố lần đầu tiên từ tháng 11 năm 2022 đến tháng 11 năm 2023. Trong thời gian dịch vụ này ngừng hoạt động. , số tiền lừa đảo vượt quá 80 triệu USD. Inferno Drainer giúp người mua nhanh chóng thực hiện các cuộc tấn công bằng cách cung cấp cơ sở hạ tầng và công cụ lừa đảo có sẵn, bao gồm giao diện người dùng của trang web lừa đảo, hợp đồng thông minh và tài khoản mạng xã hội. Những kẻ lừa đảo mua dịch vụ SaaS sẽ giữ lại phần lớn số tiền bị đánh cắp, trong khi Inferno Drainer tính phí 10%. -20% hoa hồng. Mô hình này hạ thấp đáng kể ngưỡng kỹ thuật cho gian lận. Điều này đã khiến tội phạm mạng trở nên hiệu quả và quy mô lớn hơn, dẫn đến sự gia tăng các cuộc tấn công lừa đảo trong ngành mã hóa, đặc biệt là những người dùng thiếu nhận thức về bảo mật và có nhiều khả năng trở thành mục tiêu.

Lừa đảo dưới dạng dịch vụ hoạt động như thế nào?

Trước khi giới thiệu SaaS, trước tiên chúng ta có thể hiểu quy trình làm việc của một ứng dụng phi tập trung (DApp) điển hình. Như được hiển thị trong hình bên dưới, một DApp điển hình thường bao gồm giao diện mặt trước (chẳng hạn như trang web hoặc ứng dụng di động) và hợp đồng thông minh trên blockchain. Người dùng kết nối với giao diện mặt trước của DApp thông qua ví blockchain và trang giao diện người dùng sẽ tạo giao dịch blockchain tương ứng và gửi nó đến ví của người dùng. Sau đó, người dùng sử dụng ví blockchain để ký và phê duyệt giao dịch. Sau khi chữ ký hoàn tất, giao dịch sẽ được gửi đến mạng blockchain và hợp đồng thông minh tương ứng sẽ được gọi để thực hiện các chức năng được yêu cầu.

Vậy, những kẻ tấn công lừa đảo lừa đảo tiền của người dùng như thế nào? Câu trả lời nằm ở chỗ họ khéo léo xúi giục người dùng thực hiện các hoạt động không an toàn bằng cách thiết kế giao diện người dùng độc hại và hợp đồng thông minh. Những kẻ tấn công thường dẫn người dùng nhấp vào các liên kết hoặc nút độc hại, từ đó lừa họ phê duyệt một số giao dịch độc hại ẩn hoặc thậm chí, trong một số trường hợp, trực tiếp lừa người dùng tiết lộ khóa riêng của họ. Khi người dùng ký các giao dịch độc hại này hoặc để lộ khóa riêng của họ, kẻ tấn công có thể dễ dàng chuyển tài sản của người dùng sang tài khoản của chính chúng.

Dưới đây là một số phương tiện phổ biến nhất:

1. Giả mạo giao diện người dùng của các dự án nổi tiếng: Kẻ tấn công tạo giao diện giao diện người dùng trông hợp pháp bằng cách bắt chước cẩn thận các trang web chính thức của các dự án nổi tiếng, khiến người dùng lầm tưởng rằng họ đang tương tác với các dự án đáng tin cậy, từ đó cho phép người dùng thư giãn. cảnh giác, kết nối với ví và thực hiện các hoạt động thực thi không an toàn. Như được hiển thị trong Hình 1, nhóm lừa đảo đã giả mạo trang của chính mình vào trang giao diện người dùng của bagerDAO Sau khi người dùng chấp thuận giao dịch trên trang, mã thông báo của họ sẽ được ủy quyền theo địa chỉ của kẻ tấn công.

2. Lừa đảo airdrop token: Họ quảng bá các trang web lừa đảo trên Twitter, Discord, Telegram và các phương tiện truyền thông xã hội khác, tuyên bố có những cơ hội hấp dẫn như “airdrop miễn phí”, “bán trước sớm” và “đúc NFT miễn phí”. nạn nhân nhấp vào liên kết. Sau khi bị thu hút bởi một trang web lừa đảo, nạn nhân thường vô tình kết nối với ví của mình và phê duyệt các giao dịch độc hại. Như được hiển thị trong Hình 2, kẻ tấn công đã phát tán một mã thông báo có tên "ZEPE" cho người dùng, lừa người dùng truy cập trang lừa đảo của nó để đổi lấy nó. Sau khi người dùng nhấp vào nó, tất cả ETH trong tài khoản của anh ta sẽ được gửi đến. địa chỉ của kẻ lừa đảo.

3. Sự cố hack giả và lừa đảo khen thưởng: Tội phạm mạng cho rằng một dự án nổi tiếng hiện đang đưa ra khoản bồi thường hoặc phần thưởng cho người dùng do các cuộc tấn công của hacker hoặc đóng băng tài sản. Chúng sử dụng những trường hợp khẩn cấp giả này để dụ người dùng đến các trang web lừa đảo, lừa họ kết nối với ví của họ và cuối cùng là đánh cắp tiền của người dùng.

Có thể nói, lừa đảo trực tuyến không phải là phương thức mới và đã rất phổ biến trước năm 2020. Tuy nhiên, mô hình SaaS phần lớn là động lực lớn nhất dẫn đến sự gia tăng của các hoạt động lừa đảo lừa đảo trong hai năm qua. Trước khi SaaS xuất hiện, những kẻ tấn công lừa đảo cần chuẩn bị quỹ khởi nghiệp trên chuỗi, tạo các trang web giao diện người dùng và hợp đồng thông minh mỗi khi chúng tiến hành một cuộc tấn công. Mặc dù hầu hết các trang web lừa đảo này đều được tạo sơ sài nhưng chúng có thể được tạo lại bằng cách sử dụng một bộ. của các mẫu và thực hiện các sửa đổi đơn giản Đây là một dự án lừa đảo mới, nhưng việc vận hành và bảo trì trang web và thiết kế trang vẫn yêu cầu một ngưỡng kỹ thuật nhất định. Các nhà cung cấp công cụ SaaS như Inferno Drainer đã loại bỏ hoàn toàn các rào cản kỹ thuật đối với các hành vi lừa đảo, cung cấp cho những người mua thiếu công nghệ phù hợp các dịch vụ để tạo và lưu trữ các trang web lừa đảo, đồng thời thu lợi nhuận từ số tiền thu được từ hoạt động lừa đảo.

Inferno Drainer chia chiến lợi phẩm với người mua SaaS như thế nào?

Vào ngày 21 tháng 5 năm 2024, Inferno Drainer đã xuất bản một thông báo xác minh chữ ký trên etherscan, thông báo sự trở lại của anh ấy và tạo một kênh Discord mới.

Inferno Drainer chia chiến lợi phẩm với người mua SaaS như thế nào?

Vào ngày 21 tháng 5 năm 2024, Inferno Drainer đã xuất bản một thông báo xác minh chữ ký trên etherscan, thông báo sự trở lại của anh ấy và tạo một kênh Discord mới.

0x0000db5c8b030ae20308ac975898e09741e70000 là một trong những địa chỉ lừa đảo có hành vi bất thường mà CertiK đã theo dõi gần đây. Chúng tôi phát hiện ra rằng địa chỉ này đã thực hiện một số lượng lớn giao dịch có mô hình tương tự. Sau khi phân tích và điều tra các giao dịch, chúng tôi tin rằng những giao dịch này là những giao dịch trong đó Inferno Drainer chuyển tiền và phân phối hàng hóa bị đánh cắp sau khi phát hiện nạn nhân đã bị chúng tôi lừa. sử dụng địa chỉ này để làm ví dụ về một trong các giao dịch được thực hiện:

https://etherscan.io/tx/0x5cd1eeee1b091888e7b19bc25c99a44a08e80112fdc7a60a88b11ed592483a5f

Kẻ tấn công chuyển mã thông báo của nạn nhân thông qua Permit2

1. Inferno Drainer tạo hợp đồng thông qua CREATE2. CREATE2 là một hướng dẫn trong Máy ảo Ethereum, được sử dụng để tạo hợp đồng thông minh. So với hướng dẫn CREATE truyền thống, hướng dẫn CREATE2 cho phép tính toán trước địa chỉ của hợp đồng dựa trên mã byte hợp đồng thông minh và muối cố định Inferno Drainer. Ưu điểm của CREATE2 Bản chất của hướng dẫn là tính toán trước địa chỉ hợp đồng chia chiến lợi phẩm cho người mua dịch vụ lừa đảo, đợi cho đến khi nạn nhân cắn câu rồi tạo hợp đồng chia chiến lợi phẩm để hoàn thành việc hoạt động chuyển mã thông báo và chia sẻ chiến lợi phẩm.

2. Gọi hợp đồng đã tạo để phê duyệt DAI của nạn nhân đến địa chỉ lừa đảo (người mua dịch vụ Inferno Drainer) và địa chỉ hàng hóa bị đánh cắp. Những kẻ tấn công sử dụng nhiều phương pháp lừa đảo khác nhau được đề cập ở trên để hướng dẫn nạn nhân vô tình ký vào các tin nhắn Permit2 độc hại. Permit2 cho phép người dùng ủy quyền chuyển mã thông báo thông qua chữ ký mà không cần phải tương tác trực tiếp với ví. Kết quả là, nạn nhân nhầm tưởng rằng họ chỉ tham gia vào các giao dịch thông thường hoặc ủy quyền cho một số hoạt động vô hại nhất định, nhưng trên thực tế, họ đang vô tình ủy quyền mã thông báo DAI của mình cho các địa chỉ do kẻ tấn công kiểm soát.

3. Chuyển 3.654 và 7.005 DAI đến hai địa chỉ chia chiến lợi phẩm và chuyển 50.255 DAI cho người mua để hoàn tất việc chia chiến lợi phẩm.

Điều đáng nói là hiện tại có nhiều ví blockchain đã triển khai chức năng chống lừa đảo hoặc tương tự. Tuy nhiên, chức năng chống lừa đảo của nhiều ví được thực hiện thông qua danh sách đen tên miền hoặc địa chỉ blockchain. Inferno Drainer tạo ra các chức năng mới trước khi chia chiến lợi phẩm. Phương thức hợp đồng có thể bỏ qua các chức năng chống lừa đảo này ở một mức độ nhất định và làm giảm thêm sự cảnh giác của nạn nhân. Bởi vì hợp đồng thậm chí còn không được tạo khi nạn nhân chấp thuận giao dịch độc hại nên việc phân tích và điều tra địa chỉ là không thể. Trong thỏa thuận, người mua dịch vụ câu cá đã lấy 82,5% số tiền bị đánh cắp, trong khi Inferno Drainer giữ 17,5%.

Tiết lộ: Tạo một trang web lừa đảo cần bao nhiêu bước?

Sau khi xem cách Inferno Drainer chia chiến lợi phẩm, chúng ta hãy xem những kẻ tấn công tạo một trang web lừa đảo dễ dàng như thế nào với sự trợ giúp của SaaS.

Ở bước đầu tiên, sau khi vào kênh TG do Drainer cung cấp, một tên miền miễn phí và địa chỉ IP tương ứng sẽ được tạo chỉ bằng một lệnh đơn giản.

Ở bước thứ hai, chọn bất kỳ mẫu nào trong số hàng trăm mẫu do rô-bốt cung cấp, sau đó thực hiện quá trình cài đặt trong vài phút, một trang web lừa đảo có giao diện đẹp mắt sẽ được tạo.

Bước thứ ba là tìm kiếm nạn nhân. Khi nạn nhân vào trang web, tin vào thông tin lừa đảo trên trang và kết nối với ví để phê duyệt giao dịch độc hại, tài sản của nạn nhân sẽ được chuyển đi. Với sự trợ giúp của SaaS, kẻ tấn công có thể tạo một trang web lừa đảo như vậy chỉ trong ba bước và chỉ trong vài phút.

Tóm tắt và cảm hứng

Là một trong những "Drainer" đe dọa nhất trong thế giới tiền điện tử, sự trở lại của Inferno Drainer chắc chắn mang lại rủi ro bảo mật rất lớn cho người dùng trong ngành, Inferno Drainer dựa vào các chức năng mạnh mẽ, phương pháp tấn công bí mật và chi phí tội phạm cực thấp. các công cụ ưa thích của tội phạm mạng để thực hiện các cuộc tấn công lừa đảo và trộm tiền.

Người dùng cần luôn cảnh giác khi tham gia giao dịch tiền điện tử và ghi nhớ những điểm sau: