Bởi: Liz & Zero & Keywolf
lý lịch
Vào ngày 3 tháng 5, theo giám sát của nền tảng chống lừa đảo Web3 Scam Sniffer, một con cá voi khổng lồ đã phải chịu một cuộc tấn công lừa đảo có cùng địa chỉ đầu tiên và cuối cùng, và đã bị lừa đảo 1.155 WBTC, trị giá khoảng 70 triệu USD. Dù phương pháp đánh bắt này đã có từ lâu nhưng quy mô thiệt hại do vụ việc này gây ra vẫn còn rất chấn động. Bài viết này sẽ phân tích các điểm chính của các cuộc tấn công lừa đảo vào các địa chỉ có cùng số đầu và số cuối, nơi cất giữ tiền, đặc điểm của hacker và các đề xuất để ngăn chặn các cuộc tấn công lừa đảo như vậy.
https://twitter.com/realScamSniffer/status/1786374327740543464
tấn công các điểm then chốt
Địa chỉ của nạn nhân:
0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5
Địa chỉ chuyển mục tiêu của nạn nhân:
0xd9A1b0B1e1aE382DbDc898Ea68012FfcB2853a91
Địa chỉ câu cá:
0xd9A1C3788D81257612E2581A6ea0aDa244853a91
1. Xung đột các địa chỉ lừa đảo: Tin tặc sẽ tạo trước một số lượng lớn địa chỉ lừa đảo theo đợt. Sau khi triển khai chương trình hàng loạt theo cách phân tán, chúng sẽ khởi động một cuộc tấn công lừa đảo có cùng địa chỉ số đầu và số cuối đối với địa chỉ chuyển mục tiêu. dựa trên động lực của người dùng trên chuỗi. Trong vụ việc này, hacker đã sử dụng một địa chỉ có 4 chữ số đầu và 6 chữ số cuối sau khi xóa 0x khớp với địa chỉ chuyển mục tiêu của nạn nhân.
2. Giao dịch theo dõi: Sau khi người dùng chuyển tiền, hacker ngay lập tức sử dụng địa chỉ lừa đảo bị va chạm (khoảng 3 phút sau) để theo dõi một giao dịch (địa chỉ lừa đảo chuyển 0 ETH đến địa chỉ của người dùng), để địa chỉ lừa đảo xuất hiện trong hồ sơ giao dịch của người dùng bên trong.
https://etherscan.io/txs?a=0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5&p=2
3. Những người muốn cắn câu: Vì người dùng đã quen với việc sao chép thông tin chuyển tiền gần đây từ lịch sử ví nên sau khi nhìn thấy giao dịch lừa đảo kéo dài này, anh ta đã không kiểm tra cẩn thận xem địa chỉ mình sao chép có chính xác hay không. Kết quả là 1155. WBTC đã bị chuyển nhầm đến địa chỉ lừa đảo!
3. Những người muốn cắn câu: Vì người dùng đã quen với việc sao chép thông tin chuyển tiền gần đây từ lịch sử ví nên sau khi nhìn thấy giao dịch lừa đảo kéo dài này, anh ta đã không kiểm tra cẩn thận xem địa chỉ mình sao chép có chính xác hay không. Kết quả là 1155. WBTC đã bị chuyển nhầm đến địa chỉ lừa đảo!
Phân tích theo dõi sương mù
Phân tích bằng công cụ theo dõi trên chuỗi MistTrack cho thấy hacker đã đổi 1.155 WBTC lấy 22.955 ETH và chuyển nó đến 10 địa chỉ sau.
Vào ngày 7 tháng 5, tin tặc bắt đầu chuyển ETH trên 10 địa chỉ này về cơ bản cho thấy đặc điểm là không để lại quá 100 tiền ETH trong địa chỉ hiện tại, sau đó chia đều số tiền còn lại trước khi chuyển chúng sang cấp độ tiếp theo. Địa chỉ. . Hiện tại, số tiền này chưa được đổi sang loại tiền tệ khác hoặc chuyển sang nền tảng. Hình ảnh bên dưới thể hiện tình trạng chuyển tiền trên 0x32ea020a7bb80c5892df94c6e491e8914cce2641. Mở link trên trình duyệt để xem hình ảnh độ nét cao:
https://misttrack.io/s/1cJlL
Sau đó, chúng tôi đã sử dụng MistTrack để truy vấn địa chỉ lừa đảo ban đầu trong sự cố này, 0xd9A1C3788D81257612E2581A6ea0aDa244853a91 và nhận thấy rằng nguồn phí xử lý cho địa chỉ này là 0xdcddc9287e59b5df08d17148a078bd181313eacc.
https://dashboard.misttrack.io/address/WBTC-ERC20/0xd9A1C3788D81257612E2581A6ea0aDa244853a91
Theo dõi địa chỉ phí, chúng ta có thể thấy rằng từ ngày 19 tháng 4 đến ngày 3 tháng 5, địa chỉ này đã thực hiện hơn 20.000 giao dịch số lượng nhỏ, phân phối một lượng nhỏ ETH đến các địa chỉ khác nhau để câu cá.
Theo dõi địa chỉ phí, chúng ta có thể thấy rằng từ ngày 19 tháng 4 đến ngày 3 tháng 5, địa chỉ này đã thực hiện hơn 20.000 giao dịch số lượng nhỏ, phân phối một lượng nhỏ ETH đến các địa chỉ khác nhau để câu cá.
https://etherscan.io/address/0xdcddc9287e59b5df08d17148a078bd181313eacc
Theo hình trên, chúng ta có thể thấy rằng hacker đã áp dụng cách tiếp cận mạng rộng nên phải có nhiều hơn một nạn nhân. Thông qua quá trình quét quy mô lớn, chúng tôi cũng phát hiện ra các sự cố lừa đảo liên quan khác. Sau đây là một số ví dụ:
Hãy lấy địa chỉ lừa đảo 0xbba8a3cc45c6b28d823ca6e6422fbae656d103a6 từ sự cố thứ hai trong hình trên làm ví dụ. Chúng tôi tiếp tục truy tìm các địa chỉ tính phí trở lên và nhận thấy rằng các địa chỉ này trùng lặp với các địa chỉ truy xuất nguồn gốc phí của sự cố lừa đảo 1155 WBTC, vì vậy chúng phải giống nhau. Tin tặc.
Bằng cách phân tích tình hình tin tặc chuyển các khoản tiền có lợi nhuận khác (từ cuối tháng 3 đến nay), chúng tôi cũng kết luận rằng một đặc điểm rửa tiền khác của tin tặc là chuyển tiền trên chuỗi ETH thành Monero hoặc xuyên chuỗi sang Tron rồi chuyển chúng đến các địa chỉ OTC đáng ngờ. Do đó, có khả năng tin tặc sau này sẽ sử dụng phương pháp tương tự để chuyển số tiền thu được từ sự kiện lừa đảo 1155 WBTC.
Đặc điểm của hacker
Theo mạng tình báo mối đe dọa của SlowMist, chúng tôi đã phát hiện ra IP trạm gốc di động ở Hồng Kông được sử dụng bởi các tin tặc bị nghi ngờ (không loại trừ khả năng VPN):
- 182.xxx.xxx.228
- 182.xxx.xx.18
- 182.xxx.xx.51
- 182.xxx.xxx.64
- 182.xxx.xx.154
- 182.xxx.xxx.199
- 182.xxx.xx.42
- 182.xxx.xx.68
- 182.xxx.xxx.66
- 182.xxx.xxx.207
Điều đáng chú ý là ngay cả sau khi hacker đã đánh cắp 1.155 WBTC, dường như anh ta vẫn không hề có ý định rửa tay.
Theo dõi ba địa chỉ gốc của địa chỉ lừa đảo đã thu thập trước đó (được sử dụng để cung cấp phí xử lý cho nhiều địa chỉ lừa đảo), đặc điểm chung của chúng là số lượng giao dịch cuối cùng lớn hơn đáng kể so với giao dịch trước đó. Điều này là do hacker đã vô hiệu hóa giao dịch hiện tại. địa chỉ và chuyển tiền Trong hoạt động chuyển đến địa chỉ gốc của địa chỉ lừa đảo mới, ba địa chỉ mới được kích hoạt vẫn đang chuyển tiền với tần suất cao.
Theo dõi ba địa chỉ gốc của địa chỉ lừa đảo đã thu thập trước đó (được sử dụng để cung cấp phí xử lý cho nhiều địa chỉ lừa đảo), đặc điểm chung của chúng là số lượng giao dịch cuối cùng lớn hơn đáng kể so với giao dịch trước đó. Điều này là do hacker đã vô hiệu hóa giao dịch hiện tại. địa chỉ và chuyển tiền Trong hoạt động chuyển đến địa chỉ gốc của địa chỉ lừa đảo mới, ba địa chỉ mới được kích hoạt vẫn đang chuyển tiền với tần suất cao.
https://etherscan.io/address/0xa84aa841e2a9bdc06c71438c46b941dc29517312
Trong các lần quét quy mô lớn tiếp theo, chúng tôi đã phát hiện thêm hai địa chỉ gốc của địa chỉ lừa đảo đã bị vô hiệu hóa. Sau khi truy xuất nguồn gốc, chúng tôi phát hiện ra rằng chúng có liên quan đến tin tặc nên chúng tôi sẽ không đi sâu vào chi tiết ở đây.
- 0xa5cef461646012abd0981a19d62661838e62cf27
- 0x2bb7848Cf4193a264EA134c66bEC99A157985Fb8
Tại thời điểm này, chúng tôi đã đặt ra câu hỏi số tiền trên chuỗi ETH đến từ đâu. Sau khi nhóm bảo mật SlowMist theo dõi và phân tích, chúng tôi phát hiện ra rằng hacker ban đầu đã thực hiện một cuộc tấn công lừa đảo vào Tron với cùng địa chỉ đầu tiên và cuối cùng. , sau đó nhắm mục tiêu vào Tron sau khi kiếm được lợi nhuận. Người dùng tham gia chuỗi ETH đã chuyển số tiền lãi trên Tron sang chuỗi ETH và bắt đầu lừa đảo. Hình ảnh sau đây là một ví dụ về hành vi lừa đảo của tin tặc trên Tron:
https://tronscan.org/#/address/TY3QQP24RCHgm5Qohcfu1nHJknVA1XF2zY/transfers
Vào ngày 4 tháng 5, nạn nhân đã chuyển tin nhắn sau cho hacker trên chuỗi: Nếu thắng, anh bạn, anh có thể giữ 10% và trả lại 90%, còn chúng tôi có thể giả vờ như không có chuyện gì xảy ra. Chúng ta đều biết rằng 7 triệu USD là đủ để bạn sống tốt nhưng 70 triệu USD sẽ khiến bạn mất ngủ.
Đến ngày 5/5, nạn nhân tiếp tục gọi điện cho hacker trên dây chuyền nhưng vẫn chưa nhận được phản hồi.
https://etherscan.io/idm?addresses=0x1e227979f0b5bc691a70deaed2e0f39a6f538fd5,0xd9a1c3788d81257612e2581a6ea0ada244853a91&type=1
Làm thế nào để phòng thủ
- Cơ chế danh sách trắng: Người dùng nên lưu địa chỉ đích vào sổ địa chỉ của ví. Địa chỉ đích có thể được tìm thấy trong sổ địa chỉ của ví vào lần chuyển tiền tiếp theo.
- Bật chức năng lọc số tiền nhỏ của ví: Người dùng nên bật chức năng lọc số tiền nhỏ của ví để chặn các giao dịch chuyển tiền bằng 0 như vậy và giảm nguy cơ bị lừa đảo. Nhóm bảo mật SlowMist đã phân tích loại phương thức lừa đảo này vào năm 2022. Độc giả quan tâm có thể nhấp vào liên kết để xem ( SlowMist: Hãy cảnh giác với trò lừa đảo TransferFrom zero transfer , SlowMist: Hãy cảnh giác với trò lừa đảo airdrop cùng số kết thúc ).
- Kiểm tra cẩn thận xem địa chỉ có chính xác hay không: Khi xác nhận địa chỉ, người dùng ít nhất nên kiểm tra xem 6 chữ số đầu tiên và 8 chữ số cuối ngoại trừ số 0x đầu có chính xác hay không.
- Kiểm tra chuyển khoản số tiền nhỏ: Nếu ví mà người dùng sử dụng chỉ hiển thị 4 chữ số đầu tiên và địa chỉ 4 chữ số cuối theo mặc định và người dùng vẫn nhất quyết sử dụng ví này, bạn có thể xem xét thử nghiệm chuyển khoản số tiền nhỏ trước. Nếu không may bị bắt gặp sẽ chỉ bị thương nhẹ.
Tóm tắt
Bài viết này chủ yếu giới thiệu phương pháp tấn công lừa đảo sử dụng cùng một địa chỉ số đầu và số cuối, phân tích đặc điểm của tin tặc và các kiểu chuyển tiền, đồng thời đưa ra các đề xuất để ngăn chặn các cuộc tấn công lừa đảo như vậy. Nhóm bảo mật SlowMist muốn nhắc bạn rằng vì công nghệ blockchain không thể bị giả mạo và các hoạt động trên chuỗi là không thể đảo ngược nên người dùng phải kiểm tra cẩn thận địa chỉ trước khi thực hiện bất kỳ thao tác nào để tránh thiệt hại tài sản.
Tuyên bố miễn trừ trách nhiệm
Nội dung của bài viết này dựa trên sự hỗ trợ dữ liệu từ hệ thống theo dõi chống rửa tiền MistTrack. Nó nhằm mục đích phân tích các địa chỉ công khai trên Internet và tiết lộ kết quả phân tích. Tuy nhiên, do đặc điểm của blockchain nên chúng tôi không thể đảm bảo tính tuyệt đối. tính chính xác của tất cả dữ liệu ở đây và không chịu trách nhiệm về những sai sót, thiếu sót hoặc tổn thất do việc sử dụng nội dung của bài viết này gây ra. Đồng thời, bài viết này không phải là cơ sở cho bất kỳ quan điểm hoặc phân tích nào khác.
Tất cả bình luận