Le 7 septembre 2023, l'adresse (0x 13 e 382) a subi une attaque de phishing, entraînant une perte de plus de 24 millions de dollars. Les pirates de phishing ont utilisé le vol de fonds, l'échange de fonds et le transfert de fonds décentralisé, 3 800 ETH ont été transférés à Tornado. Cash par lots, 10 000 ETH ont été transférés à l'adresse intermédiaire (0x 702350) et 1 078 087 DAI restent à l'adresse. l'adresse intermédiaire (0x4F2F02).
Il s'agit d'une attaque de phishing typique. L'attaquant vole les actifs des utilisateurs en fraudant l'autorisation du portefeuille ou les clés privées. Il a formé une chaîne industrielle noire de phishing et de blanchiment d'argent. À l'heure actuelle, de plus en plus de gangs frauduleux et même de pirates informatiques nationaux utilisent le phishing. La méthode fait le mal dans le domaine du Web3 et nécessite l'attention et la vigilance de tous.
Selon l'analyse de suivi de la plateforme d'analyse de Big Data en chaîne de SharkTeam, ChainAegis (https://app.chainaegis.com/), nous effectuerons une analyse pertinente sur le processus de fraude, la situation des transferts de fonds et le comportement en chaîne des escrocs typiques. attaques de phishing.
1. Processus de fraude par phishing
L'adresse de la victime (0x13e382) a autorisé rETH et stETH à l'adresse de l'escroc 1 (0x4c10a4) via « Augmenter l'allocation ».
L'adresse frauduleuse 1 (0x4c10a4) a transféré 9 579 stETH du compte de l'adresse de la victime (0x13e382) à l'adresse frauduleuse 2 (0x693b72), pour un montant d'environ 15,32 millions de dollars américains.
L'adresse du fraudeur 1 (0x4c10a4) a transféré 4 850 rETH du compte de l'adresse de la victime (0x13e382) vers l'adresse du fraudeur 2 (0x693b72), pour un montant d'environ 8,41 millions de dollars américains.
2. Suivi des transferts de fonds
2.1 Échange de fonds
Convertissez les stETH et rETH volés en ETH. Depuis le petit matin du 07/09/2023, l'adresse frauduleuse 2 (0x693b72) a effectué plusieurs transactions d'échange sur les plateformes Uniswap V2, Uniswap V3 et Curve, convertissant les 9 579 stETH et 4 850 rETH en ETH, avec un échange total de 14. , 783.9413 ETH.
(1) échange stETH :
(2) échange rETH :
Une partie de l’ETH est convertie en DAI. L'adresse du fraudeur 2 (0x693b72) a échangé 1 000 ETH contre 1 635 047,761675421713685327 DAI via la plateforme Uniswap V3.
2.2 Transfert de fonds
Les fraudeurs ont utilisé des méthodes de transfert de fonds décentralisées pour transférer les fonds volés vers plusieurs adresses de portefeuille intermédiaires, totalisant 1 635 139 DAI et 13 785 ETH. Parmi ceux-ci, 1 785 ETH ont été transférés à l’adresse intermédiaire (0x4F2F02), 2 000 ETH ont été transférés à l’adresse intermédiaire (0x2ABdC2) et 10 000 ETH ont été transférés à l’adresse intermédiaire (0x702350). De plus, l’adresse intermédiaire (0x4F2F02) a reçu 1 635 139 DAI le lendemain.
2.2.1 Transfert de fonds à l'adresse du portefeuille intermédiaire (0x4F2F02)
Cette adresse a été transférée via une couche de fonds et compte 1 785 ETH et 1 635 139 DAI.
(1) Transfert décentralisé de fonds DAI et échange de petites sommes en ETH
Tout d’abord, l’escroc a commencé à transférer 529 000 DAI en 10 transactions tôt le matin du 07/09/2023. Par la suite, les 7 premières transactions totalisant 452 000 DAI ont été transférées de l'adresse intermédiaire vers 0x4E5B2e (FixedFloat), la 8ème transaction a été transférée de l'adresse intermédiaire vers 0x6cC5F6 (OKX) et les 2 dernières transactions totalisant 77 000 DAI ont été transférées de l'adresse intermédiaire. à 0xf1dA17 (eXch).
Deuxièmement, le 10 septembre, 28 052 DAI ont été convertis en 17,3 ETH via Uniswap V2.
Après le transfert, l'adresse disposait finalement de 1 078 087 DAI de fonds volés qui n'avaient pas été transférés.
(2) Transfert de fonds ETH
Les escrocs ont effectué 18 transactions du 8 au 11 septembre, transférant la totalité des 1 800 ETH vers Tornado.Cash.
2.2.2 Transfert de fonds à adresse intermédiaire (0x2ABdC2)
Cette adresse dispose de 2 000 ETH après une couche de transfert de fonds. Tout d’abord, cette adresse a transféré 2 000 ETH vers l’adresse intermédiaire (0x71C848) le 11 septembre.
Par la suite, l'adresse intermédiaire (0x71C848) a effectué deux transferts de fonds respectivement le 11 septembre et le 1er octobre, avec un total de 20 transactions, chaque transfert de 100 ETH et un transfert total de 2 000 ETH vers Tornado.Cash.
2.2.3 Transfert de fonds à adresse intermédiaire (0x702350)
Cette adresse dispose de 10 000 ETH après une couche de transfert de fonds. Au 8 octobre 2023, 10 000 ETH sont toujours sur le compte à cette adresse et n'ont pas été transférés.
3. Source des fonds frauduleux
Après avoir analysé les transactions historiques de l'adresse du fraudeur 1 (0x4c10a4) et de l'adresse du fraudeur 2 (0x693b72), il a été constaté qu'il existait une adresse EOA (0x846317) qui transférait 1,353 ETH à l'adresse du fraudeur 2 (0x693b72), et les fonds de l'adresse EOA. la source implique des adresses de portefeuille chaud avec des échanges centralisés KuCoin et Binance.
4. Résumé
L’analyse des données en chaîne de la plateforme ChainAegis (https://app.chainaegis.com/) présente simplement et clairement l’ensemble du processus de fraude en chaîne des fraudeurs par phishing, ainsi que la rétention actuelle des fonds frauduleux. Après que les fraudeurs ont volé les fonds à l'adresse de la victime, ils ont effectué une série d'échanges de fonds et de transferts de fonds, comme le montre la figure ci-dessous. Au total, deux adresses frauduleuses ont été impliquées au cours de la période : adresse d'escroc 1 (0x4c10a4) et adresse d'escroc 2 (0x693b72), et 4 adresses intermédiaires : adresse intermédiaire (0x4F2F02), adresse intermédiaire (0x2ABdC2), adresse intermédiaire (0x702350) et adresse intermédiaire. adresse (0x71C848). Toutes sont incluses dans la base de données d'adresses de liste noire de ChainAegis, et les adresses intermédiaires sont surveillées en temps réel.
À propos de nous
La vision de SharkTeam est de sécuriser le monde Web3. L'équipe est composée de professionnels de la sécurité expérimentés et de chercheurs chevronnés du monde entier, qui maîtrisent la théorie sous-jacente de la blockchain et des contrats intelligents. Il fournit des services comprenant l'analyse de Big Data en chaîne, l'avertissement de risque en chaîne, l'audit de contrat intelligent, la récupération d'actifs cryptographiques et d'autres services, et a créé une plate-forme d'analyse de Big Data et d'avertissement de risque en chaîne ChainAegis. analyse graphique approfondie et peut lutter efficacement contre les risques de vol persistant avancé (APT) dans le monde Web3. Elle a établi des relations de coopération à long terme avec des acteurs clés dans divers domaines de l'écosystème Web3, tels que Polkadot, Moonbeam, polygon, OKX, Huobi Global, imToken, ChainIDE, etc.
Site officiel : https://www.sharkteam.org