小 A 最近收到了交易所即将清退大陆用户的短信,他准备将加密货币从交易所提到钱包。于是小 A 在浏览器输入“xx 钱包官方”,点进排在首位的链接,下载 App-创建钱包-转入资产,一气呵成。没几天,小 A 收到了转账成功的通知,他钱包 App 里的余额——价值 1000 万美元的 ERC20-USDT——都化为零了。小 A 后来才意识到,这个 App 是假的,自己下载到广告位的钓鱼 App 了。小 A 在朋友的介绍下,找到了我们。
聚焦受害者
小 A 不是第一个找到我们的受害者了。
随着加密货币被媒体持续炒热,不少路人在毫无基础的情况下疯狂涌入加密货币世界,滋生了一系列被被盗事件。当越来越多的受害者找到我们,我们便开始关注并收集相关事件的信息。
根据慢雾 MistTrack 所接触的受害者信息收集统计,因下载假钱包 App 被盗的就占到了 61%。
慢雾:共享Apple ID导致资产被盗核心问题是应用没有和设备码绑定:5月19日消息,慢雾首席信息安全官23pds发推表示,针对共享Apple ID导致资产被盗现象,核心问题是应用没有和设备码绑定,目前99%的钱包、交易App等都都存在此类问题,没有绑定就导致数据被拖走或被恶意同步到其他设备导致被运行,攻击者在配合其他手法如社工、爆破等获取的密码,导致资产被盗。23pds提醒用户不要使用共享Apple ID等,同时小心相册截图被上传出现资产损失。[2023/5/19 15:13:08]
而下载到假钱包 App 的方式无外乎几种:
子向用户发送海报或链接,诱导用户下载假 App;
子通过购买搜索引擎的广告位及自然流量,诱用户访问虚假官网;
慢雾:Titano Finance被黑因池子被设置成恶意PrizeStrategy合约造成后续利用:据慢雾区情报消息,2月14日,BSC链上的Titano Finance项目遭受攻击,损失约190万美元,最初获利地址为0xad9217e427ed9df8a89e582601a8614fd4f74563,目前被黑资金已被攻击者转移到其他23个钱包。该攻击主要由于owner角色可以任意设置setPrizeStrategy函数,导致了池子被设置成恶意的PrizeStrategy合约造成后续利用。[2022/2/14 9:51:14]
子获取受害者信任后,向受害者发送链接下载 App,并鼓励受害者购买加密货币并转入他们的钱包,子不断找借口要求受害者存入更多资金以提取资金。
最后这些受害者始终没有拿回他们的钱。
慢雾:Spartan Protocol被黑简析:据慢雾区情报,币安智能链项目 Spartan Protocol 被黑,损失金额约 3000 万美元,慢雾安全团队第一时间介入分析,并以简讯的形式分享给大家参考:
1. 攻击者通过闪电贷先从 PancakeSwap 中借出 WBNB;
2. 在 WBNB-SPT1 的池子中,先使用借来的一部分 WBNB 不断的通过 swap 兑换成 SPT1,导致兑换池中产生巨大滑点;
3. 攻击者将持有的 WBNB 与 SPT1 向 WBNB-SPT1 池子添加流动性获得 LP 凭证,但是在添加流动性的时候存在一个滑点修正机制,在添加流动性时将对池的滑点进行修正,但没有限制最高可修正的滑点大小,此时添加流动性,由于滑点修正机制,获得的 LP 数量并不是一个正常的值;
4. 随后继续进行 swap 操作将 WBNB 兑换成 SPT1,此时池子中的 WBNB 增多 SPT1 减少;
5. swap 之后攻击者将持有的 WBNB 和 SPT1 都转移给 WBNB-SPT1 池子,然后进行移除流动性操作;
6. 在移除流动性时会通过池子中实时的代币数量来计算用户的 LP 可获得多少对应的代币,由于步骤 5,此时会获得比添加流动性时更多的代币;
7. 在移除流动性之后会更新池子中的 baseAmount 与 tokenAmount,由于移除流动性时没有和添加流动性一样存在滑点修正机制,移除流动性后两种代币的数量和合约记录的代币数量会存在一定的差值;
8. 因此在与实际有差值的情况下还能再次添加流动性获得 LP,此后攻击者只要再次移除流动性就能再次获得对应的两种代币;
9. 之后攻击者只需再将 SPT1 代币兑换成 WBNB,最后即可获得更多的 WBNB。详情见原文链接。[2021/5/2 21:17:59]
慢雾:攻击者系通过“supply()”函数重入Lendf.Me合约 实现重入攻击:慢雾安全团队发文跟进“DeFi平台Lendf.Me被黑”一事的具体原因及防御建议。文章分析称,通过将交易放在bloxy.info上查看完整交易流程,可发现攻击者对Lendf.Me进行了两次“supply()”函数的调用,但是这两次调用都是独立的,并不是在前一笔“supply()”函数中再次调用“supply()”函数。紧接着,在第二次“supply()”函数的调用过程中,攻击者在他自己的合约中对Lendf.Me的“withdraw()”函数发起调用,最终提现。慢雾安全团队表示,不难分析出,攻击者的“withdraw()”调用是发生在transferFrom函数中,也就是在Lendf.Me通过transferFrom调用用户的“tokensToSend()”钩子函数的时候调用的。很明显,攻击者通过“supply()”函数重入了Lendf.Me合约,造成了重入攻击。[2020/4/19]
动态 | 慢雾:Electrum“更新钓鱼”盗币攻击补充预警:Electrum 是全球知名的比特币轻钱包,支持多签,历史悠久,具有非常广泛的用户群体,许多用户喜欢用 Electrum 做比特币甚至 USDT(Omni) 的冷钱包或多签钱包。基于这种使用场景,Electrum 在用户电脑上使用频率会比较低。Electrum 当前最新版本是 3.3.8,而已知的 3.3.4 之前的版本都存在“消息缺陷”,这个缺陷允许攻击者通过恶意的 ElectrumX 服务器发送“更新提示”。这个“更新提示”对于用户来说非常具有迷惑性,如果按提示下载所谓的新版本 Electrum,就可能中招。据用户反馈,因为这种攻击,被盗的比特币在四位数以上。本次捕获的盗币攻击不是盗取私钥(一般来说 Electrum 的私钥都是双因素加密存储的),而是在用户发起转账时,替换了转账目标地址。在此我们提醒用户,转账时,需要特别注意目标地址是否被替换,这是近期非常流行的盗币方式。并建议用户使用 Ledger 等硬件钱包,如果搭配 Electrum,虽然私钥不会有什么安全问题,但同样需要警惕目标地址被替换的情况。[2020/1/19]
受害者案例
据某个受害者反映,子一开始通过群聊添加为好友,接着与受害者成为朋友,获得信任后,向受害者发送了所谓的官网下载链接。我们来对比下官方与钓鱼网站之间的区别。
左右滑动查看更多
以该受害者提供的信息来看,假官网虽然看起来很逼真,但总有一些破绽。比如假官网名称居然叫“im?钱包”、假官网随处可见的下载二维码。当受害者决定下载 App 时,扫描二维码后会将他们带到模仿应用商店的网页,该页面甚至有虚假评论,使受害者相信这个钱包 App 是合法的。
追踪研究
慢雾 AML 团队对找到我们的受害者提供的信息进行分析研究,据不完全统计,目前因下载假 App 导致资产被盗的受害者规模已有上万人,被盗金额高达十三亿美元,这还只是针对找到我们的受害者的统计,而且只包括?ETH、BTC、ERC20-USDT、TRX、TRC20-USDT。
下图是 11 月份找到我们并希望我们能提供帮助的受害者钱包被盗的相关信息。
其中一名受害者分享了他被盗的资金转移到的波场地址 (TDH...wrn),该子地址目前已接收超过 258,571 TRC20-USDT。
慢雾 MistTrack 对该子地址进行追踪分析,结果显示共有 14 人将资金转入该地址,可以认为 14 人都是受害者,同时,资金流入的每一层地址交易量都很大,资金被拆分后都流入了不同的 Binance 用户地址。
其中一个 Binance 用户地址 (TXJ...G8u) 目前已接收超 609,969.299 枚 TRC20-USDT,价值超 61 万美元。
这只是其中一个地址而已,可想而知这种局的规模以及子从受害者那里赚了多少钱。
还有一个有趣的点,当我们在分析某些子地址(如 BTC 地址 32q...fia)的时候,竟发现该地址的资金被转移到了与勒索活动相关联的恶意地址,通过一些渠道的查询结果显示,此类局似乎不仅是团伙作案,甚至表现出跨省跨国的特征。
此外,我们的分析还显示出,子得手后通常会将一部分资金转移到交易平台,将另一小撮资金转入某个交易量特别大的黑客地址,以混淆分析。
总结
目前这种局活动不仅活跃,甚至有扩大范围的趋势,每天都有新的受害者受。用户作为安全体系最薄弱的环节,应时刻保持怀疑之心,增强安全意识与风险意识,必要时可通过官方验证通道核实。
同时,如需使用钱包,请务必认准以下主流钱包 App 官方网址:
imToken 钱包:
https://token.im/
TokenPocket 钱包:
https://www.tokenpocket.pro/
TronLink 钱包:
https://www.tronlink.org/
比特派钱包:
https://bitpie.com/
MetaMask 钱包:
https://metamask.io/
火币钱包:
https://www.huobiwallet.io/
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。