Am 7. September 2023 kam es auf die Adresse (0x 13 e 382) zu einem Phishing-Angriff, der zu einem Verlust von über 24 Millionen US-Dollar führte. Phishing-Hacker nutzten Gelddiebstahl, Geldaustausch und dezentrale Geldtransfers, 3.800 ETH wurden stapelweise an Tornado.Cash transferiert, 10.000 ETH wurden an die Zwischenadresse (0x 702350) transferiert und 1078.087 DAI verbleibt bei die Zwischenadresse (0x4F2F02).
Dies ist ein typischer Phishing-Angriff. Der Angreifer stiehlt Benutzergelder, indem er die Wallet-Autorisierung oder private Schlüssel missbraucht. Es hat sich eine schwarze Industrie-Kette aus Phishing und Geldwäsche gebildet Die Methode schadet im Web3-Bereich und erfordert die Aufmerksamkeit und Wachsamkeit aller.
Gemäß der Tracking-Analyse der On-Chain-Big-Data-Analyseplattform ChainAegis (https://app.chainaegis.com/) von SharkTeam werden wir relevante Analysen zum Betrugsprozess, zur Geldtransfersituation und zum On-Chain-Verhalten typischer Betrüger durchführen Phishing-Angriffe.
1. Phishing-Betrugsprozess
Die Opferadresse (0x13e382) autorisierte rETH und stETH an die Betrügeradresse 1 (0x4c10a4) durch „Increase Allowance“.
Betrügeradresse 1 (0x4c10a4) überwies 9.579 stETH auf dem Konto der Opferadresse (0x13e382) an Betrügeradresse 2 (0x693b72), was etwa 15,32 Millionen US-Dollar entspricht.
Betrügeradresse 1 (0x4c10a4) überwies 4.850 rETH vom Konto der Opferadresse (0x13e382) an Betrügeradresse 2 (0x693b72), was etwa 8,41 Millionen US-Dollar entspricht.
2. Verfolgung von Geldtransfers
2.1 Fondsaustausch
Wandeln Sie gestohlenes stETH und rETH in ETH um. Seit dem frühen Morgen des 07.09.2023 hat die Betrügeradresse 2 (0x693b72) mehrere Austauschtransaktionen auf den Plattformen Uniswap V2, Uniswap V3 und Curve durchgeführt und dabei alle 9.579 stETH und 4.850 rETH in ETH umgewandelt, mit einem Gesamtaustausch von 14 , 783.9413 ETH.
(1) stETH-Austausch:
(2) rETH-Austausch:
Ein Teil der ETH wird in DAI umgewandelt. Betrügeradresse 2 (0x693b72) tauschte 1.000 ETH über die Uniswap V3-Plattform in 1.635.047.761675421713685327 DAI.
2.2 Geldtransfer
Die Betrüger nutzten dezentrale Geldtransfermethoden, um die gestohlenen Gelder an mehrere Zwischen-Wallet-Adressen zu überweisen, insgesamt 1.635.139 DAI und 13.785 ETH. Davon wurden 1.785 ETH an die Zwischenadresse (0x4F2F02), 2.000 ETH an die Zwischenadresse (0x2ABdC2) und 10.000 ETH an die Zwischenadresse (0x702350) übertragen. Darüber hinaus erhielt die Zwischenadresse (0x4F2F02) am nächsten Tag 1.635.139 DAI.
2.2.1 Zwischen-Wallet-Adresse (0x4F2F02) für den Geldtransfer
Diese Adresse wurde über eine Fondsschicht übertragen und verfügt über 1.785 ETH und 1.635.139 DAI.
(1) Dezentraler Geldtransfer DAI und Umtausch kleiner Beträge in die ETH
Zunächst begann der Betrüger am frühen Morgen des 07.09.2023, 529.000 DAI über 10 Transaktionen zu übertragen. Anschließend wurden die ersten 7 Transaktionen mit insgesamt 452.000 DAI von der Zwischenadresse an 0x4E5B2e (FixedFloat) übertragen, die 8. Transaktion wurde von der Zwischenadresse an 0x6cC5F6 (OKX) übertragen und die letzten 2 Transaktionen mit insgesamt 77.000 DAI wurden von der Zwischenadresse übertragen zu 0xf1dA17 (OKX eXch).
Zweitens wurden am 10. September 28.052 DAI durch Uniswap V2 in 17,3 ETH umgewandelt.
Nach der Überweisung befanden sich an der Adresse schließlich noch 1078.087 DAI an gestohlenen Geldern, die nicht überwiesen worden waren.
(2) ETH-Geldtransfer
Die Betrüger führten vom 8. bis 11. September 18 Transaktionen durch und transferierten alle 1.800 ETH an Tornado.Cash.
2.2.2 Geldtransfer über Zwischenadresse (0x2ABdC2).
Diese Adresse verfügt nach einer Geldtransferebene über 2.000 ETH. Zunächst übertrug diese Adresse am 11. September 2000 ETH an die Zwischenadresse (0x71C848).
Anschließend führte die Zwischenadresse (0x71C848) am 11. September bzw. 1. Oktober zwei Geldtransfers mit insgesamt 20 Transaktionen durch, von denen jeder 100 ETH transferierte und insgesamt 2000 ETH an Tornado.Cash transferierten.
2.2.3 Zwischenadresse (0x702350) Geldtransfer
Diese Adresse verfügt nach einer Geldtransferebene über 10.000 ETH. Zum 8. Oktober 2023 befinden sich noch 10.000 ETH auf dem Konto dieser Adresse und wurden nicht überwiesen.
3. Quelle betrügerischer Gelder
Nach der Analyse der historischen Transaktionen der Betrügeradresse 1 (0x4c10a4) und der Betrügeradresse 2 (0x693b72) wurde festgestellt, dass es eine EOA-Adresse (0x846317) gab, die 1,353 ETH an die Betrügeradresse 2 (0x693b72) übertrug, und die EOA-Adresse finanziert die Bei der Quelle handelt es sich um Hot-Wallet-Adressen mit zentralisierten Börsen KuCoin und Binance.
4. Zusammenfassung
Die On-Chain-Datenanalyse der ChainAegis-Plattform (https://app.chainaegis.com/) stellt einfach und übersichtlich den gesamten Prozess des Phishing-Betrugs in der Kette sowie die aktuelle Einbehaltung betrügerischer Gelder dar. Nachdem die Betrüger die Gelder von der Adresse des Opfers gestohlen hatten, führten sie eine Reihe von Geldumtauschen und Geldtransfers durch, wie in der Abbildung unten dargestellt. Im Berichtszeitraum waren insgesamt zwei Betrugsadressen beteiligt: Betrügeradresse 1 (0x4c10a4) und Betrügeradresse 2 (0x693b72) sowie 4 Zwischenadressen: Zwischenadresse (0x4F2F02), Zwischenadresse (0x2ABdC2), Zwischenadresse (0x702350) und Zwischenadresse Adresse ( 0x71C848). Alle werden von ChainAegis in die Blacklist-Adressdatenbank aufgenommen und die Zwischenadressen werden in Echtzeit überwacht.
Über uns
Die Vision von SharkTeam ist es, die Web3-Welt zu sichern. Das Team besteht aus erfahrenen Sicherheitsexperten und leitenden Forschern aus der ganzen Welt, die sich mit der zugrunde liegenden Theorie von Blockchain und Smart Contracts auskennen. Es bietet Dienste wie On-Chain-Big-Data-Analyse, On-Chain-Risikowarnung, Smart Contract Audit, Krypto-Asset-Recovery und andere Dienste und hat eine On-Chain-Big-Data-Analyse- und Risikowarnplattform ChainAegis geschaffen detaillierte Diagrammanalyse und kann die Risiken des Advanced Persistent Theft (APT) in der Web3-Welt effektiv bekämpfen. Es hat langfristige Kooperationsbeziehungen mit wichtigen Akteuren in verschiedenen Bereichen des Web3-Ökosystems aufgebaut, wie Polkadot, Moonbeam, Polygon, OKX, Huobi Global, imToken, ChainIDE usw.
Offizielle Website: https://www.sharkteam.org