El 7 de septiembre de 2023, la dirección (0x 13 e 382) sufrió un ataque de phishing, lo que provocó una pérdida de más de 24 millones de dólares. Los piratas informáticos de phishing utilizaron el robo de fondos, el intercambio de fondos y la transferencia descentralizada de fondos. De los fondos perdidos finales, 3.800 ETH se transfirieron a Tornado.Cash en lotes, 10.000 ETH se transfirieron a la dirección intermedia (0x 702350) y 1078.087 DAI permanecen en. la dirección intermedia (0x4F2F02).
Este es un ataque de phishing típico. El atacante roba los activos del usuario defraudando la autorización de la billetera o las claves privadas. En la actualidad, cada vez más bandas de fraude e incluso piratas informáticos nacionales están utilizando el phishing. El método está haciendo mal en el campo Web3 y requiere la atención y vigilancia de todos.
Con base en el seguimiento y análisis de la plataforma de análisis de big data en cadena de SharkTeam, ChainAegis (https://app.chainaegis.com/), realizaremos un análisis relevante sobre el proceso de estafa, la transferencia de fondos y el comportamiento en cadena de los ataques de phishing típicos.
1. Proceso de estafa de phishing
La dirección de la víctima (0x13e382) autorizó rETH y stETH a la dirección del estafador 1 (0x4c10a4) a través de "Aumentar asignación".
La dirección del estafador 1 (0x4c10a4) transfirió 9,579 stETH desde la dirección de la víctima (0x13e382) a la dirección del estafador 2 (0x693b72), con un monto de aproximadamente 15,32 millones de dólares estadounidenses.
La dirección del estafador 1 (0x4c10a4) transfirió 4.850 rETH desde la dirección de la víctima (0x13e382) a la dirección del estafador 2 (0x693b72), con un monto total de aproximadamente US$8,41 millones.
2. Seguimiento de transferencias de fondos
2.1 Intercambio de fondos
Intercambie los stETH y rETH robados por ETH. Desde la madrugada del 7 de septiembre de 2023, la dirección del estafador 2 (0x693b72) ha realizado múltiples transacciones de intercambio en las plataformas Uniswap V2, Uniswap V3 y Curve, intercambiando los 9.579 stETH y los 4.850 rETH por ETH, con un intercambio total de 14.783,9413 ETH.
(1) Intercambio de stETH:
(2) Intercambio de rETH:
Parte de ETH se convierte en DAI. La dirección del estafador 2 (0x693b72) intercambió 1,000 ETH por 1,635,047.761675421713685327 DAI a través de la plataforma Uniswap V3.
2.2 Transferencia de fondos
Los estafadores utilizaron métodos de transferencia de fondos descentralizados para transferir los fondos robados a múltiples direcciones de billetera intermedias, por un total de 1.635.139 DAI y 13.785 ETH. Se transfirieron 1.785 ETH a una dirección intermedia (0x4F2F02), 2.000 ETH se transfirieron a una dirección intermedia (0x2ABdC2) y 10.000 ETH se transfirieron a una dirección intermedia (0x702350). Además, la dirección intermedia (0x4F2F02) recibió 1.635.139 DAI al día siguiente.
2.2.1 Transferencia de fondos a la dirección de billetera intermedia (0x4F2F02)
Esta dirección tiene 1,785 ETH y 1,635,139 DAI a través de una transferencia de fondos de capa 1.
(1) Transferencia descentralizada de fondos DAI y pequeñas cantidades convertidas a ETH
Primero, los estafadores comenzaron a transferir 529.000 DAI a través de 10 transacciones en la madrugada del 7 de septiembre de 2023. Posteriormente, las primeras 7 transacciones por un total de 452.000 DAI se transfirieron desde la dirección intermedia a 0x4E5B2e (FixedFloat), la octava transacción se transfirió desde la dirección intermedia a 0x6cC5F6 (OKX) y las últimas 2 transacciones por un total de 77.000 DAI se transfirieron desde la dirección intermedia a 0xf1dA17 (eXch).
En segundo lugar, el 10 de septiembre de 2028, se intercambiaron 052 DAI por 17,3 ETH a través de Uniswap V2.
Después de la transferencia, en la dirección aún quedaban 1.078.087 DAI de fondos robados.
(2) Transferencia de fondos ETH
Del 8 al 11 de septiembre, los estafadores realizaron 18 transacciones para transferir los 1.800 ETH a Tornado.Cash.
2.2.2 Transferencia de fondos a la dirección intermedia (0x2ABdC2)
Esta dirección contiene 2000 ETH a través de una transferencia de fondos de capa 1. Primero, la dirección transfirió 2000 ETH a la dirección intermedia (0x71C848) el 11 de septiembre.
Posteriormente, la dirección intermedia (0x71C848) transfirió fondos a Tornado.Cash a través de dos transacciones el 11 de septiembre y el 1 de octubre, totalizando 20 transacciones, y cada transacción transfirió 100 ETH, para un total de 2.000 ETH.
2.2.3 Transferencia de fondos a la dirección intermedia (0x702350)
Esta dirección contiene 10 000 ETH a través de una transferencia de fondos de capa 1. Al 8 de octubre de 2023, todavía quedan 10 000 ETH en la cuenta de dirección y no se han transferido.
3. Origen de los fondos del fraude
Después de analizar las transacciones históricas de la dirección del estafador 1 (0x4c10a4) y la dirección del estafador 2 (0x693b72), se encontró que una dirección EOA (0x846317) transfirió 1.353 ETH a la dirección del estafador 2 (0x693b72), y la fuente de fondos de la dirección EOA involucró las direcciones de billetera caliente de los intercambios centralizados KuCoin y Binance.
4. Resumen
El análisis de datos de la cadena de la plataforma ChainAegis (https://app.chainaegis.com/) presenta de forma sencilla y clara todo el proceso de fraude de los estafadores de phishing en la cadena, así como el estado actual de los fondos fraudulentos. Después de que los estafadores robaron los fondos de la dirección de la víctima, realizaron una serie de intercambios y transferencias de fondos, como se muestra en la siguiente figura. Durante el período estuvieron involucradas un total de dos direcciones fraudulentas: la dirección del estafador 1 (0x4c10a4) y la dirección del estafador 2 (0x693b72), y 4 direcciones intermedias: la dirección intermedia (0x4F2F02), la dirección intermedia (0x2ABdC2), la dirección intermedia (0x702350) y la dirección intermedia (0x71C848). Todas están incluidas en la base de datos de direcciones de la lista negra de ChainAegis, y las direcciones intermedias se monitorean en tiempo real.
Sobre nosotros
La visión de SharkTeam es proteger la seguridad del mundo Web3. El equipo está formado por profesionales de seguridad experimentados e investigadores senior de todo el mundo, que dominan las teorías subyacentes de blockchain y contratos inteligentes. Ofrece servicios que incluyen análisis de big data en cadena, alertas de riesgos en cadena, auditoría de contratos inteligentes y recuperación de activos cifrados. Además, ha creado ChainAegis, la plataforma de análisis de big data y alertas de riesgos en cadena. Esta plataforma admite niveles ilimitados de análisis profundo de grafos y puede combatir eficazmente los riesgos de Robo Persistente Avanzado (APT) en el entorno Web3. Hemos establecido relaciones de cooperación a largo plazo con participantes clave en varios campos del ecosistema Web3, como Polkadot, Moonbeam, Polygon, OKX, Huobi Global, imToken, ChainIDE, etc.
Sitio web oficial: https://www.sharkteam.org