7. září 2023 utrpěla adresa (0x 13 e 382) phishingový útok, jehož výsledkem byla ztráta přes 24 milionů USD. Phishingoví hackeři využili krádeže fondů, výměnu fondů a decentralizovaný převod prostředků Z konečných ztracených prostředků bylo 3 800 ETH převedeno do Tornado. Hotovost v dávkách, 10 000 ETH bylo převedeno na přechodnou adresu (0x 702350) a 1078 087 DAI zůstává na. mezilehlá adresa (0x4F2F02).
Jedná se o typický phishingový útok Útočník krade uživatelský majetek podvodem s autorizací peněženky nebo soukromými klíči. V současné době využívá phishing stále více podvodných gangů metoda dělá zlo v oblasti Web3 a vyžaduje pozornost a ostražitost všech.
Podle sledovací analýzy platformy SharkTeam pro analýzu velkých dat ChainAegis (https://app.chainaegis.com/) provedeme relevantní analýzu procesu podvodu, situace převodu prostředků a chování podvodníků v řetězci typických phishingové útoky.
1. Proces phishingového podvodu
Adresa oběti (0x13e382) autorizovala rETH a stETH na adresu podvodníka 1 (0x4c10a4) prostřednictvím „Zvýšit povolenku“.
Adresa podvodníka 1 (0x4c10a4) převedla 9 579 stETH na účet adresy oběti (0x13e382) na adresu podvodníka 2 (0x693b72), což činí přibližně 15,32 milionu USD.
Adresa podvodníka 1 (0x4c10a4) převedla 4 850 rETH z účtu adresy oběti (0x13e382) na adresu podvodníka 2 (0x693b72), což činí přibližně 8,41 milionu USD.
2. Sledování převodu prostředků
2.1 Výměna fondů
Převeďte ukradené stETH a rETH na ETH. Od časného rána 2023-09-07 provedl podvodník na adrese 2 (0x693b72) několik výměnných transakcí na platformách Uniswap V2, Uniswap V3 a Curve, přičemž všech 9 579 stETH a 4 850 rETH převedl na ETH s celkovou výměnou 14 , 783,9413 ETH.
(1) výměna stETH:
(2) výměna rETH:
Část ETH se převede na DAI. Adresa podvodníka 2 (0x693b72) vyměnila 1 000 ETH za 1 635 047,761675421713685327 DAI prostřednictvím platformy Uniswap V3.
2.2 Převod prostředků
Podvodníci použili decentralizované metody převodu finančních prostředků k převodu odcizených finančních prostředků na více zprostředkujících adres peněženek, v celkové výši 1 635 139 DAI a 13 785 ETH. Mezi nimi bylo 1 785 ETH přeneseno na prostřední adresu (0x4F2F02), 2 000 ETH bylo přeneseno na prostřední adresu (0x2ABdC2) a 10 000 ETH bylo přeneseno na prostřední adresu (0x702350). Kromě toho prostřední adresa (0x4F2F02) obdržela následující den 1 635 139 DAI.
2.2.1 Převod prostředků zprostředkující adresa peněženky (0x4F2F02).
Tato adresa byla převedena přes vrstvu fondů a má 1 785 ETH a 1 635 139 DAI.
(1) Decentralizovaný převod finančních prostředků DAI a výměna malých částek do ETH
Za prvé, podvodník začal převádět 529 000 DAI prostřednictvím 10 transakcí brzy ráno 2023-09-07. Následně bylo prvních 7 transakcí v celkové výši 452 000 DAI převedeno z meziadresy na 0x4E5B2e (FixedFloat), 8. transakce byla převedena z mezilehlé adresy na 0x6cC5F6 (OKX) a poslední 2 transakce v celkové výši 77 000 DAI byly přeneseny z mezilehlé adresy. na 0xf1dA17 (OKX).
Za druhé, 10. září bylo 28 052 DAI převedeno na 17,3 ETH prostřednictvím Uniswap V2.
Po převodu na adrese nakonec zbylo 1078 087 DAI ukradených finančních prostředků, které nebyly převedeny.
(2) Převod prostředků ETH
Podvodníci provedli 18 transakcí od 8. září do 11. září, přičemž všech 1800 ETH převedli na Tornado.Cash.
2.2.2 Převod prostředků na mezilehlou adresu (0x2ABdC2).
Tato adresa má po vrstvě převodu prostředků 2 000 ETH. Nejprve tato adresa 11. září přenesla 2000 ETH na meziadresu (0x71C848).
Následně prostřední adresa (0x71C848) provedla dva převody prostředků 11. září a 1. října s celkovým počtem 20 transakcí, každý převod 100 ETH a celkový převod 2 000 ETH do Tornado.Cash.
2.2.3 Převod prostředků na mezilehlou adresu (0x702350).
Tato adresa má po vrstvě převodu prostředků 10 000 ETH. K 8. říjnu 2023 je 10 000 ETH stále na účtu na této adrese a nebylo převedeno.
3. Zdroj podvodných finančních prostředků
Po analýze historických transakcí adresy podvodníka 1 (0x4c10a4) a adresy podvodníka 2 (0x693b72) bylo zjištěno, že existovala adresa EOA (0x846317), která převáděla 1,353 ETH na adresu podvodníka 2 (0x693b72), a prostředky adresy EOA zdroj zahrnuje adresy hot peněženek s centralizovanými burzami KuCoin a Binance.
4. Shrnutí
Analýza dat on-chain platformy ChainAegis (https://app.chainaegis.com/) jednoduše a jasně prezentuje celý proces phishingových podvodů v řetězci a také aktuální zadržování podvodných finančních prostředků. Poté, co podvodníci ukradli finanční prostředky z adresy oběti, provedli řadu výměn finančních prostředků a převodů finančních prostředků, jak je znázorněno na obrázku níže. Během období byly zapojeny celkem dvě podvodné adresy: adresa podvodníka 1 (0x4c10a4) a adresa podvodníka 2 (0x693b72) a 4 přechodné adresy: mezilehlá adresa (0x4F2F02), přechodná adresa (0x2ABdC2), přechodná adresa (0x702350) a přechodná adresa adresa ( 0x71C848). Všechny jsou zahrnuty do databáze adres na černé listině od ChainAegis a mezilehlé adresy jsou monitorovány v reálném čase.
O nás
Vizí SharkTeamu je zabezpečit svět Web3. Tým se skládá ze zkušených bezpečnostních profesionálů a starších výzkumníků z celého světa, kteří jsou zběhlí v základní teorii blockchainu a chytrých kontraktů. Poskytuje služby včetně analýzy velkých dat v řetězci, varování před riziky v řetězci, auditu inteligentních smluv, obnovy kryptoměn a dalších služeb a vytvořila platformu ChainAegis pro analýzu velkých dat a varování před riziky hloubková grafová analýza a může účinně bojovat proti rizikům Advanced Persistent Theft (APT) ve světě Web3. Navázala dlouhodobé kooperativní vztahy s klíčovými hráči v různých oblastech ekosystému Web3, jako jsou Polkadot, Moonbeam, polygon, OKX, Huobi Global, imToken, ChainIDE atd.
Oficiální stránky: https://www.sharkteam.org