7 września 2023 r. adres (0x 13 e 382) padł ofiarą ataku phishingowego, w wyniku którego straty wyniosły ponad 24 mln dolarów. Hakerzy phishingowi wykorzystywali kradzież funduszy, wymianę funduszy i zdecentralizowany transfer środków. Z ostatecznych utraconych środków 3800 ETH zostało przeniesionych do Tornado.Gotówka partiami, 10 000 ETH zostało przeniesionych na adres pośredni (0x 702350), a 1078,087 DAI pozostaje na adres pośredni (0x4F2F02).
Jest to typowy atak phishingowy. Osoba atakująca kradnie zasoby użytkownika, wyłudzając autoryzację portfela lub klucze prywatne. Utworzył czarny łańcuch branżowy zajmujący się phishingiem i praniem brudnych pieniędzy. Obecnie coraz więcej gangów oszustów, a nawet hakerów krajowych, wykorzystuje phishing. metoda wyrządza zło w obszarze Web3 i wymaga uwagi i czujności wszystkich.
Zgodnie z analizą śledzenia platformy SharkTeam do analizy dużych zbiorów danych w łańcuchu ChainAegis (https://app.chainaegis.com/) przeprowadzimy odpowiednią analizę procesu oszustwa, sytuacji w zakresie transferu środków i zachowań typowych oszustów w łańcuchu ataki phishingowe.
1. Proces oszustwa typu phishing
Adres ofiary (0x13e382) autoryzował rETH i stETH dla adresu oszusta 1 (0x4c10a4) poprzez opcję „Zwiększ dodatek”.
Oszust z adresu 1 (0x4c10a4) przesłał 9579 stETH z konta ofiary z adresu (0x13e382) na adres oszusta 2 (0x693b72), co stanowi kwotę około 15,32 mln USD.
Oszust adres 1 (0x4c10a4) przesłał 4850 reETH z konta adresu ofiary (0x13e382) na adres oszusta 2 (0x693b72), co stanowi kwotę około 8,41 mln USD.
2. Śledzenie transferu środków
2.1 Wymiana funduszy
Zamień skradzione steTH i rETH na ETH. Od wczesnego ranka 7 września 2023 r. oszust o adresie 2 (0x693b72) przeprowadził wiele transakcji wymiany na platformach Uniswap V2, Uniswap V3 i Curve, konwertując wszystkie 9579 stETH i 4850 rETH na ETH, przy łącznej wymianie 14 , 783,9413 ETH.
(1) wymiana steTH:
(2) wymiana rETH:
Część ETH jest konwertowana na DAI. Oszust o adresie 2 (0x693b72) wymienił 1000 ETH na 1 635 047,761675421713685327 DAI za pośrednictwem platformy Uniswap V3.
2.2 Transfer środków
Oszuści wykorzystali zdecentralizowane metody transferu środków, aby przesłać skradzione środki na wiele pośrednich adresów portfeli, łącznie 1 635 139 DAI i 13 785 ETH. Spośród nich 1785 ETH zostało przeniesionych na adres pośredni (0x4F2F02), 2000 ETH zostało przeniesionych na adres pośredni (0x2ABdC2), a 10 000 ETH zostało przeniesionych na adres pośredni (0x702350). Dodatkowo adres pośredni (0x4F2F02) następnego dnia otrzymał 1 635 139 DAI.
2.2.1 Adres portfela pośredniego (0x4F2F02) transfer środków
Adres ten został przeniesiony przez warstwę funduszy i ma 1785 ETH i 1 635 139 DAI.
(1) Zdecentralizowany transfer środków DAI i wymiana niewielkich kwot na ETH
Po pierwsze, wczesnym rankiem 7 września 2023 r. oszust zaczął przesyłać 529 000 DAI w 10 transakcjach. Następnie pierwsze 7 transakcji o łącznej wartości 452 000 DAI zostało przeniesionych z adresu pośredniego na 0x4E5B2e (FixedFloat), ósma transakcja została przeniesiona z adresu pośredniego na 0x6cC5F6 (OKX), a ostatnie 2 transakcje o łącznej wartości 77 000 DAI zostały przeniesione z adresu pośredniego do 0xf1dA17 ( eXch).
Po drugie, 10 września 28 052 DAI zostało zamienione na 17,3 ETH za pomocą Uniswap V2.
Po przeniesieniu na adres ostatecznie pozostało 1078 087 DAI skradzionych środków, które nie zostały przelane.
(2) Transfer środków ETH
Oszuści przeprowadzili 18 transakcji od 8 do 11 września, przekazując całe 1800 ETH do Tornado.Cash.
2.2.2 Adres pośredni (0x2ABdC2) transfer środków
Ten adres ma 2000 ETH po warstwie transferu środków. Po pierwsze, 11 września adres ten przeniósł 2000 ETH na adres pośredni (0x71C848).
Następnie adres pośredni (0x71C848) dokonał dwóch transferów środków odpowiednio 11 września i 1 października, łącznie 20 transakcji, każdy transfer o wartości 100 ETH i całkowity transfer 2000 ETH do Tornado.Cash.
2.2.3 Adres pośredni (0x702350) transfer środków
Ten adres ma 10 000 ETH po warstwie transferu środków. Według stanu na 8 października 2023 r. na koncie pod tym adresem nadal znajduje się 10 000 ETH i nie zostało ono przelane.
3. Źródło fałszywych środków
Po przeanalizowaniu historycznych transakcji dotyczących adresu oszusta 1 (0x4c10a4) i adresu oszusta 2 (0x693b72) stwierdzono, że istniał adres EOA (0x846317), który przesłał 1,353 ETH na oszukańczy adres 2 (0x693b72), a źródłem środków dla tego adresu EOA są adresy gorących portfeli ze scentralizowanymi giełdami KuCoin i Binance.
4. Podsumowanie
Analiza danych on-chain platformy ChainAegis (https://app.chainaegis.com/) w prosty i przejrzysty sposób przedstawia cały proces oszustwa phishingowego w łańcuchu, a także bieżące przechowywanie fałszywych środków. Po tym, jak oszuści ukradli środki z adresu ofiary, przeprowadzili serię wymian i transferów środków, jak pokazano na poniższym rysunku. W tym okresie w sumie zaangażowane były dwa adresy oszustwa: adres oszusta 1 (0x4c10a4) i adres oszusta 2 (0x693b72) oraz 4 adresy pośrednie: adres pośredni (0x4F2F02), adres pośredni (0x2ABdC2), adres pośredni (0x702350) i adres pośredni adres (0x71C848). Wszystkie znajdują się w bazie adresów czarnej listy firmy ChainAegis, a adresy pośrednie są monitorowane w czasie rzeczywistym.
O nas
Wizją SharkTeam jest zabezpieczenie świata Web3. Zespół składa się z doświadczonych specjalistów ds. bezpieczeństwa i starszych badaczy z całego świata, którzy są biegli w podstawowej teorii blockchain i inteligentnych kontraktów. Świadczy usługi, w tym analizę dużych zbiorów danych w łańcuchu, ostrzeganie o ryzyku w łańcuchu, audyt inteligentnych kontraktów, odzyskiwanie aktywów kryptograficznych i inne usługi, a także stworzył platformę do analizy dużych zbiorów danych i ostrzegania o ryzyku w łańcuchu. Platforma obsługuje nieograniczone poziomy dogłębną analizę wykresów i może skutecznie walczyć z zagrożeniami związanymi z zaawansowaną trwałą kradzieżą (APT) w świecie Web3. Nawiązała długoterminowe relacje kooperacyjne z kluczowymi graczami w różnych obszarach ekosystemu Web3, takimi jak Polkadot, Moonbeam, wielokąt, OKX, Huobi Global, imToken, ChainIDE itp.
Oficjalna strona internetowa: https://www.sharkteam.org