โดย: ลิซ & ซีโร่ และคีย์วูล์ฟ
พื้นหลัง
เมื่อวันที่ 3 พฤษภาคม ตามการติดตามโดย Scam Sniffer แพลตฟอร์มต่อต้านการฉ้อโกง Web3 พบว่าวาฬยักษ์ได้รับการโจมตีแบบฟิชชิ่งโดยมีที่อยู่แรกและที่อยู่สุดท้ายเหมือนกัน และถูกฟิชชิ่งไป 1,155 WBTC มูลค่าประมาณ 70 ล้านเหรียญสหรัฐ แม้ว่าวิธีการตกปลาแบบนี้จะมีมานานแล้ว แต่ขนาดของความเสียหายที่เกิดจากเหตุการณ์นี้ยังคงน่าตกใจ บทความนี้จะวิเคราะห์ประเด็นสำคัญของการโจมตีแบบฟิชชิ่งต่อที่อยู่ที่มีหมายเลขแรกและหมายเลขสุดท้ายเหมือนกัน ตำแหน่งของเงินทุน ลักษณะของแฮ็กเกอร์ และคำแนะนำในการป้องกันการโจมตีแบบฟิชชิ่งดังกล่าว
https://twitter.com/realScamSniffer/status/1786374327740543464
โจมตีจุดสำคัญ
ที่อยู่ของเหยื่อ:
0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5
ที่อยู่การโอนเป้าหมายของเหยื่อ:
0xd9A1b0B1e1aE382DbDc898Ea68012FfcB2853a91
ที่อยู่ตกปลา:
0xd9A1C3788D81257612E2581A6ea0aDa244853a91
1. การชนกันของที่อยู่ฟิชชิ่ง: แฮกเกอร์จะสร้างที่อยู่ฟิชชิ่งจำนวนมากล่วงหน้าเป็นชุด หลังจากปรับใช้โปรแกรมแบตช์ในลักษณะกระจาย แฮกเกอร์จะเริ่มการโจมตีแบบฟิชชิ่งด้วยที่อยู่หมายเลขแรกและหมายเลขสุดท้ายเดียวกันกับที่อยู่การโอนเป้าหมาย ขึ้นอยู่กับไดนามิกของผู้ใช้บนเชน ในเหตุการณ์นี้ แฮกเกอร์ใช้ที่อยู่ซึ่งมีตัวเลข 4 หลักแรกและ 6 หลักสุดท้ายหลังจากลบ 0x ซึ่งสอดคล้องกับที่อยู่การโอนเป้าหมายของเหยื่อ
2. ธุรกรรมต่อท้าย: หลังจากที่ผู้ใช้โอนเงิน แฮกเกอร์จะใช้ที่อยู่ฟิชชิ่งที่ชนกันทันที (ประมาณ 3 นาทีต่อมา) เพื่อติดตามธุรกรรม (ที่อยู่ฟิชชิ่งจะโอน 0 ETH ไปยังที่อยู่ของผู้ใช้) เพื่อให้ที่อยู่ฟิชชิ่งปรากฏใน บันทึกการทำธุรกรรมของผู้ใช้ภายใน
https://etherscan.io/txs?a=0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5&p=2
3. ผู้ที่ต้องการล่อลวง: เนื่องจากผู้ใช้คุ้นเคยกับการคัดลอกข้อมูลการโอนล่าสุดจากประวัติกระเป๋าเงิน หลังจากเห็นธุรกรรมฟิชชิ่งที่ตามมานี้ เขาจึงไม่ได้ตรวจสอบอย่างรอบคอบว่าที่อยู่ที่เขาคัดลอกมานั้นถูกต้องหรือไม่ ด้วยเหตุนี้ 1155 WBTC ถูกโอนไปยังที่อยู่ฟิชชิ่งอย่างผิดพลาด!
3. ผู้ที่ต้องการล่อลวง: เนื่องจากผู้ใช้คุ้นเคยกับการคัดลอกข้อมูลการโอนล่าสุดจากประวัติกระเป๋าเงิน หลังจากเห็นธุรกรรมฟิชชิ่งที่ตามมานี้ เขาจึงไม่ได้ตรวจสอบอย่างรอบคอบว่าที่อยู่ที่เขาคัดลอกมานั้นถูกต้องหรือไม่ ด้วยเหตุนี้ 1155 WBTC ถูกโอนไปยังที่อยู่ฟิชชิ่งอย่างผิดพลาด!
การวิเคราะห์ MistTrack
การวิเคราะห์โดยใช้เครื่องมือติดตามออนไลน์ MistTrack พบว่าแฮกเกอร์ได้แลกเปลี่ยน 1,155 WBTC เป็น 22,955 ETH และโอนไปยังที่อยู่ 10 แห่งต่อไปนี้
เมื่อวันที่ 7 พฤษภาคม แฮกเกอร์เริ่มโอน ETH ไปยังที่อยู่ทั้ง 10 แห่งนี้ โดยพื้นฐานแล้วโหมดการโอนเงินแสดงให้เห็นลักษณะของการเหลือกองทุน ETH ไว้ไม่เกิน 100 กองทุนในที่อยู่ปัจจุบัน จากนั้นจึงแบ่งเงินทุนที่เหลือเท่าๆ กันก่อนที่จะโอนไปยังระดับถัดไป ที่อยู่. . ในปัจจุบัน เงินเหล่านี้ยังไม่ได้ถูกแลกเปลี่ยนเป็นสกุลเงินอื่นหรือโอนไปยังแพลตฟอร์ม ภาพด้านล่างแสดงสถานการณ์การโอนเงินใน 0x32ea020a7bb80c5892df94c6e491e8914cce2641 เปิดลิงก์ในเบราว์เซอร์เพื่อดูภาพความละเอียดสูง:
https://misttrack.io/s/1cJlL
จากนั้นเราใช้ MistTrack เพื่อค้นหาที่อยู่ฟิชชิ่งเริ่มต้นในเหตุการณ์นี้ 0xd9A1C3788D81257612E2581A6ea0aDa244853a91 และพบว่าแหล่งที่มาของค่าธรรมเนียมการจัดการสำหรับที่อยู่นี้คือ 0xdcddc9287e59b5df08d17148a078bd181313eacc
https://dashboard.misttrack.io/address/WBTC-ERC20/0xd9A1C3788D81257612E2581A6ea0aDa244853a91
ตามที่อยู่ค่าธรรมเนียม เราจะเห็นได้ว่าระหว่างวันที่ 19 เมษายนถึง 3 พฤษภาคม ที่อยู่นี้เริ่มต้นธุรกรรมจำนวนเล็กน้อยมากกว่า 20,000 รายการ โดยกระจาย ETH จำนวนเล็กน้อยไปยังที่อยู่ต่าง ๆ สำหรับการตกปลา
ตามที่อยู่ค่าธรรมเนียม เราจะเห็นได้ว่าระหว่างวันที่ 19 เมษายนถึง 3 พฤษภาคม ที่อยู่นี้เริ่มต้นธุรกรรมจำนวนเล็กน้อยมากกว่า 20,000 รายการ โดยกระจาย ETH จำนวนเล็กน้อยไปยังที่อยู่ต่าง ๆ สำหรับการตกปลา
https://etherscan.io/address/0xdcddc9287e59b5df08d17148a078bd181313eacc
จากภาพด้านบน เราจะเห็นได้ว่าแฮกเกอร์ใช้แนวทางแบบไวด์เน็ต ดังนั้นจึงต้องมีเหยื่อมากกว่าหนึ่งราย จากการสแกนขนาดใหญ่ เรายังพบเหตุการณ์ฟิชชิ่งอื่นๆ ที่เกี่ยวข้องอีกด้วย ต่อไปนี้คือตัวอย่างบางส่วน:
ลองใช้ที่อยู่ฟิชชิ่ง 0xbba8a3cc45c6b28d823ca6e6422fbae656d103a6 จากเหตุการณ์ที่สองในภาพด้านบนเป็นตัวอย่าง เรายังคงติดตามที่อยู่ค่าธรรมเนียมขึ้นไป และพบว่าที่อยู่เหล่านี้ทับซ้อนกับที่อยู่ตรวจสอบย้อนกลับค่าธรรมเนียมของเหตุการณ์ฟิชชิ่ง 1155 WBTC ดังนั้นจึงควรเหมือนกัน แฮ็กเกอร์
จากการวิเคราะห์สถานการณ์ของแฮกเกอร์ที่โอนเงินที่ทำกำไรอื่นๆ (ตั้งแต่ปลายเดือนมีนาคมถึงปัจจุบัน) เรายังสรุปได้ว่าลักษณะการฟอกเงินอีกประการหนึ่งของแฮกเกอร์คือการแปลงเงินในห่วงโซ่ ETH เป็น Monero หรือข้ามห่วงโซ่เป็นตรอนแล้วจึงโอน พวกเขาสงสัยที่อยู่ OTC ดังนั้นจึงมีความเป็นไปได้ที่แฮกเกอร์จะใช้วิธีเดียวกันนี้ในการโอนเงินที่ได้รับจากเหตุการณ์ฟิชชิ่ง 1155 WBTC
ลักษณะของแฮ็กเกอร์
ตามเครือข่ายข่าวกรองภัยคุกคามของ SlowMist เราค้นพบ IP สถานีฐานมือถือในฮ่องกงที่แฮ็กเกอร์ต้องสงสัยใช้ (ความเป็นไปได้ของ VPN ไม่ได้ถูกตัดออก):
- 182.xxx.xxx.228
- 182.xxx.xx.18
- 182.xxx.xx.51
- 182.xxx.xxx.64
- 182.xxx.xx.154
- 182.xxx.xxx.199
- 182.xxx.xx.42
- 182.xxx.xx.68
- 182.xxx.xxx.66
- 182.xxx.xxx.207
เป็นที่น่าสังเกตว่าแม้หลังจากที่แฮ็กเกอร์ขโมย WBTC ไป 1,155 เหรียญ ดูเหมือนว่าเขาไม่มีความตั้งใจที่จะล้างมือเลย
การติดตามที่อยู่หลักที่อยู่ฟิชชิ่งที่รวบรวมไว้ก่อนหน้านี้ 3 รายการ (ใช้เพื่อจัดเตรียมค่าธรรมเนียมการจัดการให้กับที่อยู่ฟิชชิ่งหลายแห่ง) คุณลักษณะทั่วไปของพวกเขาคือจำนวนธุรกรรมครั้งล่าสุดมีขนาดใหญ่กว่ารายการก่อนหน้าอย่างมาก เนื่องจากแฮ็กเกอร์ปิดการใช้งานปัจจุบัน ที่อยู่และโอนเงิน ในการดำเนินการโอนไปยังที่อยู่หลักของฟิชชิ่งใหม่ ที่อยู่ใหม่ทั้งสามที่เปิดใช้งานยังคงโอนเงินด้วยความถี่สูง
การติดตามที่อยู่หลักที่อยู่ฟิชชิ่งที่รวบรวมไว้ก่อนหน้านี้ 3 รายการ (ใช้เพื่อจัดเตรียมค่าธรรมเนียมการจัดการให้กับที่อยู่ฟิชชิ่งหลายแห่ง) คุณลักษณะทั่วไปของพวกเขาคือจำนวนธุรกรรมครั้งล่าสุดมีขนาดใหญ่กว่ารายการก่อนหน้าอย่างมาก เนื่องจากแฮ็กเกอร์ปิดการใช้งานปัจจุบัน ที่อยู่และโอนเงิน ในการดำเนินการโอนไปยังที่อยู่หลักของฟิชชิ่งใหม่ ที่อยู่ใหม่ทั้งสามที่เปิดใช้งานยังคงโอนเงินด้วยความถี่สูง
https://etherscan.io/address/0xa84aa841e2a9bdc06c71438c46b941dc29517312
ในการสแกนขนาดใหญ่ครั้งต่อๆ มา เราค้นพบที่อยู่หลักของที่อยู่ฟิชชิ่งที่ถูกปิดใช้งานอีกสองรายการ หลังจากตรวจสอบย้อนกลับได้ เราพบว่าที่อยู่เหล่านั้นมีความเกี่ยวข้องกับแฮ็กเกอร์ ดังนั้น เราจะไม่ลงรายละเอียดที่นี่
- 0xa5cef461646012abd0981a19d62661838e62cf27
- 0x2bb7848Cf4193a264EA134c66bEC99A157985Fb8
ณ จุดนี้ เราได้ตั้งคำถามว่าเงินในห่วงโซ่ ETH มาจากไหน หลังจากการติดตามและวิเคราะห์โดยทีมรักษาความปลอดภัยของ SlowMist เราพบว่าในตอนแรกแฮ็กเกอร์ทำการโจมตีแบบฟิชชิ่งกับตรอนโดยใช้ที่อยู่แรกและที่อยู่สุดท้ายเดียวกัน จากนั้นกำหนดเป้าหมายไปที่ตรอนหลังจากทำกำไรแล้ว ผู้ใช้ที่ได้รับในห่วงโซ่ ETH ได้โอนเงินกำไรจากตรอนไปยังห่วงโซ่ ETH และเริ่มฟิชชิ่ง รูปภาพต่อไปนี้เป็นตัวอย่างของฟิชชิ่งของแฮ็กเกอร์ในตรอน:
https://tronscan.org/#/address/TY3QQP24RCHgm5Qohcfu1nHJknVA1XF2zY/transfers
เมื่อวันที่ 4 พฤษภาคม เหยื่อได้ส่งข้อความต่อไปนี้ไปยังแฮกเกอร์ในเครือข่าย: ถ้าคุณชนะ น้องชาย คุณสามารถเก็บ 10% และคืน 90% และเราสามารถแกล้งทำเป็นว่าไม่มีอะไรเกิดขึ้น เราทุกคนรู้ดีว่าเงิน 7 ล้านเหรียญสหรัฐนั้นเพียงพอสำหรับคุณที่จะมีชีวิตที่ดี แต่ 70 ล้านเหรียญสหรัฐจะทำให้คุณนอนหลับไม่ดี
เมื่อวันที่ 5 พฤษภาคม เหยื่อยังคงโทรหาแฮกเกอร์บนเครือข่าย แต่ยังไม่ได้รับการตอบกลับ
https://etherscan.io/idm?addresses=0x1e227979f0b5bc691a70deaed2e0f39a6f538fd5,0xd9a1c3788d81257612e2581a6ea0ada244853a91&type=1
วิธีการป้องกัน
- กลไกไวท์ลิสต์: ขอแนะนำให้ผู้ใช้บันทึกที่อยู่เป้าหมายไว้ในสมุดที่อยู่ของกระเป๋าเงิน คุณสามารถดูที่อยู่เป้าหมายได้ในสมุดที่อยู่ของกระเป๋าเงินในครั้งถัดไปที่ทำการโอนเงิน
- เปิดฟังก์ชันการกรองจำนวนเล็กน้อยของกระเป๋าสตางค์: ขอแนะนำให้ผู้ใช้เปิดฟังก์ชันการกรองจำนวนเล็กน้อยของกระเป๋าสตางค์เพื่อป้องกันการโอนย้ายเป็นศูนย์และลดความเสี่ยงที่จะถูกฟิชชิ่ง ทีมรักษาความปลอดภัย SlowMist ได้วิเคราะห์วิธีการฟิชชิ่งประเภทนี้ในปี 2565 ผู้อ่านที่สนใจสามารถคลิกลิงก์เพื่อดูได้ ( SlowMist: ระวังการหลอกลวง TransferFrom Zero Transfer , SlowMist: ระวังกลโกง Airdrop ที่มีหมายเลขลงท้ายเหมือนกัน )
- ตรวจสอบอย่างรอบคอบว่าที่อยู่ถูกต้องหรือไม่: เมื่อยืนยันที่อยู่ขอแนะนำให้ผู้ใช้ตรวจสอบอย่างน้อยว่าตัวเลข 6 หลักแรกและ 8 หลักสุดท้ายยกเว้น 0x เริ่มต้นนั้นถูกต้องหรือไม่ แน่นอนว่าควรตรวจสอบทุกหลัก
- การทดสอบการโอนเงินจำนวนเล็กน้อย: หากกระเป๋าเงินที่ผู้ใช้ใช้แสดงเฉพาะตัวเลข 4 หลักแรกและที่อยู่ 4 หลักสุดท้ายโดยค่าเริ่มต้น และผู้ใช้ยังคงยืนยันที่จะใช้กระเป๋าเงินนี้ คุณสามารถลองทดสอบการโอนเงินจำนวนเล็กน้อยก่อน หากโชคร้ายถูกจับได้ก็จะมีอาการบาดเจ็บเล็กน้อย
สรุป
บทความนี้จะแนะนำวิธีการโจมตีแบบฟิชชิ่งเป็นหลักโดยใช้ที่อยู่หมายเลขแรกและหมายเลขสุดท้ายเดียวกัน วิเคราะห์ลักษณะของแฮกเกอร์และรูปแบบการโอนเงิน และยังเสนอคำแนะนำเพื่อป้องกันการโจมตีแบบฟิชชิ่งดังกล่าวอีกด้วย ทีมรักษาความปลอดภัย SlowMist ต้องการเตือนคุณว่าเนื่องจากเทคโนโลยีบล็อคเชนไม่สามารถเปลี่ยนแปลงได้และการดำเนินการบนเชนนั้นไม่สามารถย้อนกลับได้ ผู้ใช้จึงต้องตรวจสอบที่อยู่อย่างรอบคอบก่อนดำเนินการใดๆ เพื่อหลีกเลี่ยงความเสียหายต่อทรัพย์สิน
ข้อสงวนสิทธิ์
เนื้อหาของบทความนี้อิงจากการสนับสนุนข้อมูลจากระบบติดตามการต่อต้านการฟอกเงิน MistTrack มีจุดมุ่งหมายเพื่อวิเคราะห์ที่อยู่สาธารณะบนอินเทอร์เน็ตและเปิดเผยผลการวิเคราะห์ อย่างไรก็ตาม เนื่องจากลักษณะของบล็อกเชน เราไม่สามารถรับประกันได้อย่างสมบูรณ์ ความถูกต้องของข้อมูลทั้งหมดที่นี่ และไม่สามารถรับผิดชอบต่อข้อผิดพลาด การละเว้น หรือการสูญเสียที่เกิดจากการใช้เนื้อหาของบทความนี้ ในขณะเดียวกัน บทความนี้ไม่ได้ถือเป็นพื้นฐานสำหรับตำแหน่งใดๆ หรือการวิเคราะห์อื่นๆ
ความคิดเห็นทั้งหมด