作者: リズ&ゼロ&キーウルフ
背景
Web3 詐欺対策プラットフォーム Scam Sniffer による監視によると、5 月 3 日、巨大なクジラが最初と最後のアドレスでフィッシング攻撃を受け、1,155 WBTC (約 7,000 万ドル相当) がフィッシング被害に遭いました。この漁法は古くから存在していましたが、今回の被害の大きさは未だに衝撃的です。この記事では、最初と最後の番号が同じアドレスに対するフィッシング攻撃の要点、資金の所在、ハッカーの特徴、およびフィッシング攻撃を防ぐための提案を分析します。
https://twitter.com/realScamSniffer/status/1786374327740543464
要所を攻撃する
被害者の住所:
0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5
被害者の転送先アドレス:
0xd9A1b0B1e1aE382DbDc898Ea68012FfcB2853a91
釣り場住所:
0xd9A1C3788D81257612E2581A6ea0aDa244853a91
1. フィッシング アドレスの衝突: ハッカーは、事前に大量のフィッシング アドレスをバッチで生成し、分散方法でバッチ プログラムを展開した後、ターゲットの転送アドレスに対して同じ最初と最後の番号のアドレスを使用してフィッシング攻撃を開始します。チェーン上のユーザーのダイナミクスに基づいています。この事件では、ハッカーは最初の 4 桁と 0x を除いた最後の 6 桁が被害者のターゲット転送アドレスと一致するアドレスを使用しました。
2. 追跡トランザクション: ユーザーが送金した後、ハッカーは衝突したフィッシング アドレスをすぐに (約 3 分後) 使用してトランザクションを追跡します (フィッシング アドレスはユーザーのアドレスに 0 ETH を転送します)。ユーザーの取引記録が内部に保存されます。
https://etherscan.io/txs?a=0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5&p=2
3. おとりを狙う人: ユーザーはウォレット履歴から最近の送金情報をコピーすることに慣れていたため、この後続のフィッシング取引を見た後、コピーしたアドレスが正しいかどうかを注意深く確認しませんでした。その結果、1155 が返されました。 WBTC が誤ってフィッシング アドレスに転送されてしまった!
3. おとりを狙う人: ユーザーはウォレット履歴から最近の送金情報をコピーすることに慣れていたため、この後続のフィッシング取引を見た後、コピーしたアドレスが正しいかどうかを注意深く確認しませんでした。その結果、1155 が返されました。 WBTC が誤ってフィッシング アドレスに転送されてしまった!
ミストトラック分析
オンチェーン追跡ツールMistTrackを使用した分析により、ハッカーが1,155 WBTCを22,955 ETHと交換し、それを以下の10のアドレスに転送したことが判明しました。
5月7日、ハッカーはこれら10のアドレスでETHの送金を開始しました。この資金送金モードは基本的に、現在のアドレスに最大100のETH資金を残し、次のレベルに送金する前に残りの資金を大まかに均等にするという特徴を示しました。住所。 。現時点では、これらの資金は他の通貨に交換されたり、プラットフォームに送金されたりしていません。下の図は、0x32ea020a7bb80c5892df94c6e491e8914cce2641 の資金移動状況を示しています。ブラウザでリンクを開いて高解像度の画像を表示します。
https://misttrack.io/s/1cJlL
次に、MistTrack を使用して、このインシデントの最初のフィッシング アドレス 0xd9A1C3788D81257612E2581A6ea0aDa244853a91 をクエリしたところ、このアドレスの手数料の発生源が 0xdcddc9287e59b5df08d17148a078bd181313eacc であることがわかりました。
https://dashboard.misttrack.io/address/WBTC-ERC20/0xd9A1C3788D81257612E2581A6ea0aDa244853a91
手数料アドレスに続いて、4 月 19 日から 5 月 3 日までの間に、このアドレスが 20,000 件を超える少額取引を開始し、釣りのために少量の ETH をさまざまなアドレスに配布したことがわかります。
手数料アドレスに続いて、4 月 19 日から 5 月 3 日までの間に、このアドレスが 20,000 件を超える少額取引を開始し、釣りのために少量の ETH をさまざまなアドレスに配布したことがわかります。
https://etherscan.io/address/0xdcddc9287e59b5df08d17148a078bd181313eacc
上の図によると、ハッカーが広範囲にわたるアプローチを採用したことがわかります。したがって、被害者は複数いるはずです。大規模なスキャンを通じて、他の関連するフィッシング事件も発見しました。例をいくつか示します。
例として、上の図の 2 番目のインシデントのフィッシング アドレス 0xbba8a3cc45c6b28d823ca6e6422fbae656d103a6 を取り上げます。引き続き手数料アドレスを上方に追跡すると、これらのアドレスが 1155 WBTC フィッシング インシデントの手数料追跡可能アドレスと重複していることがわかり、それらは同じであるはずです。ハッカー。
また、ハッカーによる他の収益性資金の送金状況(3月末から現在まで)を分析したところ、ハッカーのもう一つのマネーロンダリングの特徴は、ETHチェーン上の資金をMoneroに、あるいはクロスチェーン上の資金をTronに変換してから送金することであると結論付けました。したがって、ハッカーが後で同じ方法を使用して、1155 WBTC フィッシング イベントで得た資金を送金する可能性があります。
ハッカーの特徴
SlowMist の脅威インテリジェンス ネットワークによると、香港でハッカー容疑者が使用していたモバイル基地局の IP を発見しました (VPN の可能性は排除されません)。
- 182.xxx.xxx.228
- 182.xxx.xx.18
- 182.xxx.xx.51
- 182.xxx.xxx.64
- 182.xxx.xx.154
- 182.xxx.xxx.199
- 182.xxx.xx.42
- 182.xxx.xx.68
- 182.xxx.xxx.66
- 182.xxx.xxx.207
ハッカーが1,155 WBTCを盗んだ後でも、手を洗うつもりがないようだったことは注目に値します。
以前に収集された 3 つのフィッシング アドレスの親アドレス (多くのフィッシング アドレスに手数料を提供するために使用) を追跡すると、それらの共通の特徴は、最後のトランザクションの金額が以前のトランザクションよりも大幅に大きいということです。これは、ハッカーが現在のトランザクションを無効化したためです。新しいフィッシング アドレスの親アドレスに資金を転送する操作では、新たに有効化された 3 つのアドレスが依然として高頻度で資金を転送しています。
以前に収集された 3 つのフィッシング アドレスの親アドレス (多くのフィッシング アドレスに手数料を提供するために使用) を追跡すると、それらの共通の特徴は、最後のトランザクションの金額が以前のトランザクションよりも大幅に大きいということです。これは、ハッカーが現在のトランザクションを無効化したためです。新しいフィッシング アドレスの親アドレスに資金を転送する操作では、新たに有効化された 3 つのアドレスが依然として高頻度で資金を転送しています。
https://etherscan.io/address/0xa84aa841e2a9bdc06c71438c46b941dc29517312
その後の大規模スキャンで、さらに 2 つの非アクティブ化されたフィッシング アドレスの親アドレスが発見されました。追跡調査の結果、それらがハッカーに関連付けられていることが判明したため、ここでは詳細を説明しません。
- 0xa5cef461646012abd0981a19d62661838e62cf27
- 0x2bb7848Cf4193a264EA134c66bEC99A157985Fb8
この時点で、ETH チェーン上の資金がどこから来たのかという疑問が生じました。SlowMist セキュリティ チームによる追跡と分析の結果、ハッカーが最初と最後のアドレスを使用して Tron に対してフィッシング攻撃を実行したことが判明しました。 、利益を得た後、Tron をターゲットにしたユーザーは、Tron 上の利益資金を ETH チェーンに転送し、フィッシングを開始しました。次の図は、Tron に対するハッカーのフィッシングの一例です。
https://tronscan.org/#/address/TY3QQP24RCHgm5Qohcfu1nHJknVA1XF2zY/transfers
5 月 4 日、被害者はチェーン上のハッカーに次のメッセージを伝えました。「勝ったら、兄弟、10% を保持して 90% を返してください。そうすれば、何も起こらなかったふりをすることができます。」よく暮らすには700万ドルあれば十分だということは誰もが知っていますが、7,000万ドルでは睡眠が浅くなります。
5月5日、被害者はチェーン上のハッカーに電話をかけ続けたが、まだ返答は得られていない。
https://etherscan.io/idm?addresses=0x1e227979f0b5bc691a70deaed2e0f39a6f538fd5,0xd9a1c3788d81257612e2581a6ea0ada244853a91&type=1
守り方
- ホワイトリストメカニズム: ユーザーがターゲットアドレスをウォレットのアドレス帳に保存することをお勧めします。ターゲットアドレスは、次回送金が行われるときにウォレットのアドレス帳で見つけることができます。
- ウォレットの少額フィルタリング機能をオンにする: このようなゼロ送金をブロックし、フィッシングのリスクを軽減するために、ユーザーはウォレットの少額フィルタリング機能をオンにすることをお勧めします。 SlowMist セキュリティ チームは、2022 年にこのタイプのフィッシング手法を分析しました。興味のある読者はリンクをクリックして表示できます ( SlowMist: TransferFrom ゼロ転送詐欺に注意してください、 SlowMist: 同じ終了番号のエアドロップ詐欺に注意してください)。
- アドレスが正しいかどうかを注意深く確認してください。アドレスを確認するときは、少なくとも最初の 6 桁と先頭の 0x を除く最後の 8 桁が正しいかどうかを確認することをお勧めします。もちろん、すべての桁を確認するのが最善です。
- 少額送金テスト: ユーザーが使用するウォレットにデフォルトで最初の 4 桁と最後の 4 桁のアドレスしか表示されず、ユーザーが依然としてこのウォレットの使用を主張する場合は、最初に少額送金をテストすることを検討できます。運悪く巻き込まれても軽傷で済みます。
要約する
この記事では、主に最初と最後の番号が同じアドレスを使用するフィッシング攻撃手法を紹介し、ハッカーの特徴と資金移動パターンを分析し、このようなフィッシング攻撃を防ぐための提案も提示します。 SlowMist セキュリティ チームは、ブロックチェーン テクノロジーは改ざんできず、チェーン上の操作は元に戻せないため、資産の損傷を避けるために、ユーザーは操作を実行する前にアドレスを注意深く確認する必要があることを注意してください。
免責事項
本記事の内容は、マネーロンダリング対策追跡システムMistTrackのデータ支援に基づいており、インターネット上のパブリックアドレスを解析し、その解析結果を公開することを目的としていますが、ブロックチェーンの特性上、絶対的なものを保証するものではありません。ここにあるすべてのデータの正確性については保証されず、この記事のコンテンツの使用によって生じた誤り、欠落、損失については責任を負いません。同時に、この記事はいかなる立場やその他の分析の基礎を構成するものではありません。
全てのコメント