Web3安全警示丨揭秘1155个WBTC钓鱼事件

摘要: ...

By: Liz & Zero & Keywolf

背景

5 月 3 日,据 Web3 反诈骗平台 Scam Sniffer 的监测,一名巨鲸遭遇了相同首尾号地址钓鱼攻击,被钓走 1155 枚 WBTC,价值约 7000 万美元。虽然这种钓鱼方式已经出现了很久,但此次事件造成的损失之大还是让人震惊。本文将分析相同首尾号地址钓鱼攻击的关键点、资金去向、黑客特征以及提出防范此类钓鱼攻击的建议。

Web3安全警示丨揭秘1155个WBTC钓鱼事件

(https://twitter.com/realScamSniffer/status/1786374327740543464)

攻击关键点

受害者的地址:

0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5

受害者的目标转账地址:

0xd9A1b0B1e1aE382DbDc898Ea68012FfcB2853a91

钓鱼地址:

0xd9A1C3788D81257612E2581A6ea0aDa244853a91

1. 碰撞出钓鱼地址:黑客会提前批量生成大量钓鱼地址,分布式部署批量程序后,根据链上用户动态,向目标转账地址发起相同首尾号地址钓鱼攻击。在本次事件中,黑客使用了去除 0x 后的首 4 位及尾 6 位和受害者目标转账地址一致的地址。

2. 尾随交易:用户转账后,黑客立即使用碰撞出来的钓鱼地址(大概 3 分钟后)尾随一笔交易(钓鱼地址往用户地址转了 0 ETH),这样钓鱼地址就出现在了用户的交易记录里。

Web3安全警示丨揭秘1155个WBTC钓鱼事件

(https://etherscan.io/txs?a=0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5&p=2)

3. 愿者上钩:由于用户习惯从钱包历史记录里复制***近转账信息,看到了这笔尾随的钓鱼交易后没有仔细检查自己复制的地址是否正确,结果将 1155 枚 WBTC 误转给了钓鱼地址!

MistTrack 分析

使用链上追踪工具 MistTrack 分析发现,黑客已将 1155 枚 WBTC兑换为 22955 枚 ETH,并转移到以下 10 个地址。

Web3安全警示丨揭秘1155个WBTC钓鱼事件

5 月 7 日,黑客开始转移这 10 个地址上的 ETH,资金转移模式基本呈现留有不超过 100 ETH 的资金在当前地址,然后粗略平均拆分剩余资金后再转移***下一层地址的特征。目前这些资金还未被换为其他币种或转入平台。下图为 0x32ea020a7bb80c5892df94c6e491e8914cce2641 上的资金转移情况,在浏览器中打开链接可查看高清图:

Web3安全警示丨揭秘1155个WBTC钓鱼事件

(https://misttrack.io/s/1cJlL)

我们接着使用 MistTrack 查询本事件中的初始钓鱼地址0xd9A1C3788D81257612E2581A6ea0aDa244853a91,发现该地址的手续费来源是 0xdcddc9287e59b5df08d17148a078bd181313eacc。

Web3安全警示丨揭秘1155个WBTC钓鱼事件

(https://dashboard.misttrack.io/address/WBTC-ERC20/0xd9A1C3788D81257612E2581A6ea0aDa244853a91)

跟进该手续费地址,可以看到在 4 月 19 日*** 5 月 3 日期间,这个地址发起了两万多笔小额交易,将小额的 ETH 分发到不同的地址用来钓鱼。

Web3安全警示丨揭秘1155个WBTC钓鱼事件

(https://etherscan.io/address/0xdcddc9287e59b5df08d17148a078bd181313eacc)

根据上图可以看出该黑客采取的是广撒网模式,所以肯定不止一个受害者。通过大规模扫描,我们还找到了其他相关钓鱼事件,以下为部分举例:

Web3安全警示丨揭秘1155个WBTC钓鱼事件

我们以上图第二起事件的钓鱼地址 0xbba8a3cc45c6b28d823ca6e6422fbae656d103a6 为例,不断向上溯源手续费地址,发现这些地址与 1155 WBTC 钓鱼事件的手续费溯源地址发生了重叠,因此应为同一黑客。

Web3安全警示丨揭秘1155个WBTC钓鱼事件

通过分析黑客转移其他获利资金的情况(三月底***今),我们还总结出黑客另一洗钱特征是将 ETH 链上的资金换成门罗币或者跨链到 Tron 然后转入疑似 OTC 地址,因此存在黑客后续会使用同样的方式转移 1155 WBTC 钓鱼事件获利资金的可能。

黑客特征

根据慢雾的威胁情报网络,我们发现了疑似黑客使用的位于香港的移动基站 IP(不排除 VPN 的可能):

  • 182.xxx.xxx.228
  • 182.xxx.xx.18
  • 182.xxx.xx.51
  • 182.xxx.xxx.64
  • 182.xxx.xx.154
  • 182.xxx.xxx.199
  • 182.xxx.xx.42
  • 182.xxx.xx.68
  • 182.xxx.xxx.66
  • 182.xxx.xxx.207

值得注意的是,哪怕黑客在盗走 1155 枚 WBTC 后,好像也并没有打算金盆洗手。

跟进先前收集到的三个钓鱼地址母地址(用于给众多钓鱼地址提供手续费),它们的共同特征是***后一笔交易的金额明显大于之前的,这是黑客停用当前地址并将资金转给新钓鱼地址母地址的操作,目前三个新启用的地址还在高频转账。

Web3安全警示丨揭秘1155个WBTC钓鱼事件

(https://etherscan.io/address/0xa84aa841e2a9bdc06c71438c46b941dc29517312)

Web3安全警示丨揭秘1155个WBTC钓鱼事件

在后续大规模扫描中,我们又发现了两个已停用的钓鱼地址母地址,溯源后发现关联了该黑客,此处不再赘述。

  • 0xa5cef461646012abd0981a19d62661838e62cf27
  • 0x2bb7848Cf4193a264EA134c66bEC99A157985Fb8

行文***此,我们又产生了黑客 ETH 链上的资金源是哪里来的疑问,经过慢雾安全团队的追踪分析,我们发现黑客***初是在 Tron 上实施相同首尾号地址钓鱼攻击,获利后又盯上了 ETH 链上的用户,将Tron上的获利资金转去了 ETH 链开始钓鱼,下图为黑客在 Tron 上的钓鱼示例:

(WEEX交易所官网:www.weex.com)

Web3安全警示丨揭秘1155个WBTC钓鱼事件

(https://tronscan.org/#/address/TY3QQP24RCHgm5Qohcfu1nHJknVA1XF2zY/transfers)

5 月 4 日,受害者在链上给黑客传达了以下信息:你赢了兄弟,你可以留下 10%,然后把 90% 还回来,我们可以当啥事没发生过。我们都清楚 7 百万刀够你活得很好了,但是 7 千万刀会让你睡不好的。

5 月 5 日,受害者持续链上喊话黑客,但暂未得到回复。

Web3安全警示丨揭秘1155个WBTC钓鱼事件

(https://etherscan.io/idm?addresses=0x1e227979f0b5bc691a70deaed2e0f39a6f538fd5,0xd9a1c3788d81257612e2581a6ea0ada244853a91&type=1)

如何防御

  • 白名单机制:建议用户将目标的地址保存到钱包的地址簿当中,下次转账可以从钱包的地址簿中找到目标地址。
  • 开启钱包小额过滤功能:建议用户开启钱包的小额过滤功能,屏蔽此类零转账,减少被钓鱼风险。慢雾安全团队在 2022 年就对这类钓鱼方式做过分析,感兴趣的读者可以点击链接查看(慢雾:警惕 TransferFrom 零转账骗局,慢雾:警惕相同尾号空投骗局)。

Web3安全警示丨揭秘1155个WBTC钓鱼事件

  • 仔细核对地址是否正确:建议用户在确认地址时,***少要检查除了开头的 0x 外的首 6 位和尾 8 位是否正确,当然***好是把每一位都检查一遍。
  • 小额转账测试:如果用户使用的钱包默认只显示首 4 位和尾 4 位地址,并且用户还要坚持用这个钱包的话,可以考虑先小额转账测试,倘若不幸中招,也是小伤。

总结

本文主要介绍了利用相同首尾号地址进行钓鱼的攻击方式,并对黑客的特征和资金转移模式做了分析,还提出了防范此类钓鱼攻击的建议。慢雾安全团队在此提醒,由于区块链技术是不可篡改的,链上操作是不可逆的,所以在进行任何操作前,请广大用户务必仔细核对地址,避免资产受损。

WEEX唯客交易所是全球交易深度***好的合约交易所之一,位居CMC交易所流动性排名前五,订单厚度、价差领先同行,微秒级撮合,零滑点、零插针,***大程度降低交易成本及流动性风险,让用户面对极端行情也能丝滑成交。

WEEX交易所宣布将于今夏上线其全球生态激励通证WEEX Token(WXT)。WXT被设计为WEEX交易所生态系统的基石,作为动态激励机制,主要用于激励WEEX交易平台社区的合作伙伴、贡献者、先驱和活跃成员。

WXT总供应量100亿枚,初始流通量39亿枚,WEEX交易平台投资者保护基金、WXT生态基金各持有15%,15%用于持币激励,5%面向代理、渠道等合作伙伴私募,其余50%将全部用于WEEX交易所生态激励,包括:团队激励(20%)、活动拉新(15%)、品牌建设/KOL合作(15%)。WEEX Token是一种实用型代币,规划了丰富的使用场景和赋能机制,包括:Launchpad、近10项持有者专属权益,以及回购销毁通缩机制等。

据悉,WXT仅开放代理、渠道等合作伙伴折扣认购,未来零售投资者可通过新用户注册、交易挖矿、参与平台活动等方式获得WXT奖励。

WEEX官网:weex.com

WXT专区:weex.com/wxt

你也可以在 CMCCoingecko非小号X (Twitter)中文 X (Twitter)YoutubeFacebookLinkedin微博 上关注我们,***时间获取更多投资资讯和空投福利。

在线咨询

WEEX华语社群:https://t.me/weex_group

WEEX英文社群:https://t.me/Weex_Global

文章版权及转载声明:

作者:0431网址导航本文地址:https://www.0431jz.cn/info/25930.html发布于 2024-05-09
文章转载或复制请以超链接形式并注明出处0431JZ.CN - 0431网址导航

赞(0