7 сентября 2023 года адрес (0x13 e 382) подвергся фишинговой атаке, в результате которой был нанесен ущерб на сумму более 24 миллионов долларов США. Фишинговые хакеры использовали кражу средств, обмен средств и децентрализованный перевод средств. Из окончательно потерянных средств 3800 ETH были переведены в Tornado.Cash пакетами, 10 000 ETH были переведены на промежуточный адрес (0x702350), а 1078 087 DAI остались на месте. промежуточный адрес (0x4F2F02).
Это типичная фишинговая атака. Злоумышленник крадет активы пользователя, обманывая авторизацию кошелька или секретные ключи. В настоящее время все больше и больше мошеннических группировок и даже национальных хакеров используют фишинг. Этот метод творит зло в сфере Web3 и требует всеобщего внимания и бдительности.
Согласно анализу отслеживания ончейн-платформы анализа больших данных SharkTeam ChainAegis (https://app.chainaegis.com/), мы проведем соответствующий анализ процесса мошенничества, ситуации с переводом средств и поведения типичных мошенников в сети. фишинговые атаки.
1. Процесс фишингового мошенничества
Адрес жертвы (0x13e382) авторизовал rETH и sETH на адрес мошенника 1 (0x4c10a4) посредством «Увеличения разрешения».
Адрес мошенника 1 (0x4c10a4) перевел 9 579 sETH на счет адреса жертвы (0x13e382) на адрес мошенника 2 (0x693b72) на сумму примерно 15,32 миллиона долларов США.
Адрес мошенника 1 (0x4c10a4) перевел 4850 RETH со счета адреса жертвы (0x13e382) на адрес мошенника 2 (0x693b72), что составляет примерно 8,41 миллиона долларов США.
2. Отслеживание перевода средств
2.1 Обмен фондов
Конвертируйте украденные sETH и rETH в ETH. С раннего утра 07 сентября 2023 г. мошенник с адресом 2 (0x693b72) провел несколько обменных транзакций на платформах Uniswap V2, Uniswap V3 и Curve, конвертировав все 9 579 stETH и 4 850 rETH в ETH, с общим объемом обмена 14. , 783,9413 ЭТФ.
(1) обмен stETH:
(2) обмен RETH:
Часть ETH конвертируется в DAI. Мошеннический адрес 2 (0x693b72) обменял 1000 ETH на 1 635 047,761675421713685327 DAI через платформу Uniswap V3.
2.2 Перевод средств
Мошенники использовали децентрализованные методы перевода средств для перевода украденных средств на несколько адресов промежуточных кошельков на общую сумму 1 635 139 DAI и 13 785 ETH. Из них 1785 ETH были переведены на промежуточный адрес (0x4F2F02), 2000 ETH были переведены на промежуточный адрес (0x2ABdC2) и 10 000 ETH были переведены на промежуточный адрес (0x702350). Кроме того, на следующий день промежуточный адрес (0x4F2F02) получил 1 635 139 DAI.
2.2.1 Адрес промежуточного кошелька (0x4F2F02) для перевода средств
Этот адрес был передан через слой средств и имеет 1785 ETH и 1635139 DAI.
(1) Децентрализованный перевод средств DAI и обмен небольших сумм на ETH.
Сначала мошенник начал переводить 529 000 DAI посредством 10 транзакций ранним утром 07.09.2023. Впоследствии первые 7 транзакций на общую сумму 452 000 DAI были перенесены с промежуточного адреса на 0x4E5B2e (FixedFloat), 8-я транзакция была перенесена с промежуточного адреса на 0x6cC5F6 (OKX), а последние 2 транзакции на общую сумму 77 000 DAI были перенесены с промежуточного адреса. на 0xf1dA17 (OKX).
Во-вторых, 10 сентября 28 052 DAI были конвертированы в 17,3 ETH через Uniswap V2.
После перевода на адресе наконец осталось 1078 087 DAI украденных средств, которые не были переведены.
(2) Перевод средств в ETH
С 8 по 11 сентября мошенники провели 18 транзакций, переведя на Tornado.Cash все 1800 ETH.
2.2.2 Перевод средств на промежуточный адрес (0x2ABdC2)
Этот адрес имеет 2000 ETH после уровня перевода средств. Во-первых, 11 сентября с этого адреса было передано 2000 ETH на промежуточный адрес (0x71C848).
Впоследствии промежуточный адрес (0x71C848) осуществил два перевода средств 11 сентября и 1 октября соответственно, всего 20 транзакций, каждый перевод составил 100 ETH, а общая сумма перевода составила 2000 ETH в Tornado.Cash.
2.2.3 Промежуточный адрес (0x702350) перевода средств
Этот адрес имеет 10 000 ETH после уровня перевода средств. По состоянию на 8 октября 2023 г. 10 000 ETH все еще находятся на счету по этому адресу и не были переведены.
3. Источник мошеннических средств
После анализа исторических транзакций мошеннического адреса 1 (0x4c10a4) и мошеннического адреса 2 (0x693b72) было обнаружено, что существовал адрес EOA (0x846317), который перевел 1,353 ETH на мошеннический адрес 2 (0x693b72), и адрес EOA финансирует Источник включает в себя адреса горячих кошельков с централизованными биржами KuCoin и Binance.
4. Резюме
Ончейн-анализ данных платформы ChainAegis (https://app.chainaegis.com/) просто и наглядно представляет весь процесс фишингового мошенничества в цепочке, а также текущее удержание мошеннических средств. После того как мошенники украли средства с адреса жертвы, они выполнили серию обменов и переводов средств, как показано на рисунке ниже. Всего за этот период было задействовано два адреса мошенничества: адрес мошенника 1 (0x4c10a4) и адрес мошенника 2 (0x693b72), а также 4 промежуточных адреса: промежуточный адрес (0x4F2F02), промежуточный адрес (0x2ABdC2), промежуточный адрес (0x702350) и промежуточный адрес. адрес (0x71C848). Все они включены в базу данных адресов черного списка компании ChainAegis, а промежуточные адреса отслеживаются в режиме реального времени.
О нас
Цель SharkTeam — обеспечить безопасность мира Web3. Команда состоит из опытных специалистов по безопасности и старших исследователей со всего мира, которые владеют базовой теорией блокчейна и смарт-контрактов. Он предоставляет услуги, включая анализ больших данных в сети, предупреждение о рисках, аудит смарт-контрактов, восстановление криптоактивов и другие услуги, а также создал платформу для анализа больших данных и предупреждения о рисках. Платформа поддерживает неограниченные уровни. углубленный анализ графиков и может эффективно бороться с рисками Advanced Persistent Theft (APT) в мире Web3. Он установил долгосрочные отношения сотрудничества с ключевыми игроками в различных областях экосистемы Web3, такими как Polkadot, Moonbeam, Polygon, OKX, Huobi Global, imToken, ChainIDE и т. д.
Официальный сайт: https://www.sharkteam.org.