Recentemente, vários usuários relataram que seus bens foram roubados. No início, eles não tinham certeza de como seus fundos haviam sido roubados, mas após uma inspeção mais detalhada, descobrimos que se tratava de um novo tipo de golpe de lançamento aéreo.

Muitos dos endereços das vítimas eram constantemente lançados no ar com pequenas quantidades de tokens (0,01 USDT, 0,001 USDT, etc.), e provavelmente foram alvo de ataques porque seus endereços estavam envolvidos em transações de alto valor e volume de comércio. Os últimos dígitos do endereço do invasor são quase idênticos aos últimos dígitos do endereço do usuário. Isso é feito para enganar o usuário, fazendo-o copiar acidentalmente o endereço errado do histórico de transações e enviar os fundos para o endereço incorreto.

Informação relacionada

Endereço do invasor 1: TX…dWfKz

Endereço do usuário 1: TW…dWfKz

Endereço 2 do invasor: TK…Qw5oH

Endereço de usuário 2: TW…Qw5oH

Análise MistTrack

Vamos começar com uma visão geral dos dois endereços dos invasores:

O endereço do invasor (TX…..dWfKz) e o endereço do usuário (TW…..dWfKz) terminam em dWfKz. Mesmo depois que o usuário enviou por engano 115.193 USDT para o endereço errado, o invasor ainda lança 0,01 USDT e 0,001 USDT para o endereço da vítima usando dois novos endereços que também terminam em dWfKz.

A mesma coisa aconteceu com nossa segunda vítima. O endereço do invasor (TK…. Qw5oH) e o endereço do usuário ((TW…. .Qw5oH) terminam em Qw5oH. A vítima enviou por engano 345.940 USDT para o endereço errado e o invasor continua a lançar 0,01 USDT para o endereço da vítima usando novos endereços que também terminam em Qw5oH.

A seguir, examinaremos o endereço do invasor 1 usando nossa plataforma AML MistTrack (tx.. .dWfKz). Conforme mostrado na figura abaixo, o endereço do invasor 1 lança airdrops 0,01 USDT e 0,02 USDT para vários endereços de destino, todos os quais interagiram com o endereço que termina em dWfKz.

Olhando para trás, podemos ver que as transferências iniciais para esses lançamentos aéreos vieram do endereço TF…. J5Jo8 em 10 de outubro, quando 0,5 USDT foi transferido para ele.

Análise preliminar de TF… .J5Jo8:

Esse endereço enviou 0,5 USDT para quase 3.300 endereços, indicando que cada um desses endereços de recebimento poderia ser um endereço usado pelo invasor para lançamento aéreo. Então decidimos selecionar um endereço aleatoriamente para verificar nossa teoria.

MistTrack foi usado para analisar o último endereço no gráfico acima, TX…..4yBmC. Conforme mostrado na figura abaixo, o endereço TX….4yBmC é usado pelo invasor para lançar 0,01 USDT para vários endereços que terminam em 4yBmC.

Vejamos o endereço 2 do invasor (TK….Qw5oH): 0,01 USDT foi enviado para vários endereços e o financiamento inicial de 0,6 USDT foi enviado de TD…. .psxmk.

Como você pode ver no gráfico abaixo, o invasor enviou 0,06 USDT para TD…. .kXbFq e também interagiu com o endereço de depósito de um usuário FTX que termina em Qw5oH.

Então, vamos reverter o processo e ver se outros endereços interagiram com TD… .kXbFq. Existem outros endereços com os mesmos caracteres finais daqueles que foram enviados para eles?

Mais uma vez, escolheremos dois endereços aleatoriamente e testaremos a nossa teoria. (por exemplo, o endereço de depósito Kraken TU… .hhcWoT e o endereço de depósito Binance TM…. .QM7me).

Infelizmente, o golpista conseguiu enganar alguns usuários desavisados, fazendo-os enviar-lhes seus fundos.

Resumo

Este artigo se concentra em como um golpista explora usuários que copiam o endereço do histórico de transações sem verificar o endereço completo. Eles conseguem isso gerando um endereço semelhante que termina da mesma forma que o endereço do usuário e lançando regularmente pequenas quantias de fundos no endereço do usuário. Tudo isso é feito na esperança de que os usuários copiem o endereço falso e enviem seus fundos ao golpista na próxima vez.

SlowMist gostaria de lembrar a todos que, devido à imutabilidade da tecnologia blockchain e à irreversibilidade das operações na cadeia, verifique novamente o endereço antes de prosseguir. Os usuários também são incentivados a usar o recurso de catálogo de endereços em sua carteira para que não precisem copiar e endereçar todas as vezes.