小A最近收到了交易所即将清退大陆用户的短信,他准备将加密货币从交易所提到钱包。于是小A在浏览器输入“xx?钱包官方”,点进排在首位的链接,下载App-创建钱包-转入资产,一气呵成。没几天,小A收到了转账成功的通知,他钱包App里的余额——价值1000万美元的ERC20-USDT——都化为零了。小A后来才意识到,这个App是假的,自己下载到广告位的钓鱼App了。小A在朋友的介绍下,找到了我们。
聚焦受害者
小A不是第一个找到我们的受害者了。
随着加密货币被媒体持续炒热,不少路人在毫无基础的情况下疯狂涌入加密货币世界,滋生了一系列被被盗事件。当越来越多的受害者找到我们,我们便开始关注并收集相关事件的信息。
慢雾:警惕Web3钱包WalletConnect钓鱼风险:金色财经报道,慢雾安全团队发现 Web3 钱包上关于 WalletConnect 使用不当可能存在被钓鱼的安全风险问题。这个问题存在于使用移动端钱包 App 内置的 DApp Browser + WalletConnect 的场景下。
慢雾发现,部分 Web3 钱包在提供 WalletConnect 支持的时候,没有对 WalletConnect 的交易弹窗要在哪个区域弹出进行限制,因此会在钱包的任意界面弹出签名请求。[2023/4/17 14:08:53]
根据慢雾MistTrack所接触的受害者信息收集统计,因下载假钱包App被盗的就占到了61%。
慢雾:Equalizer Finance被黑主要在于FlashLoanProvider合约与Vault合约不兼容:据慢雾区消息,6 月 7 日,Equalizer Finance 遭受闪电贷攻击。慢雾安全团队以简讯形式将攻击原理分享如下:
1. Equalizer Finance 存在 FlashLoanProvider 与 Vault 合约,FlashLoanProvider 合约提供闪电贷服务,用户通过调用 flashLoan 函数即可通过 FlashLoanProvider 合约从 Vault 合约中借取资金,Vault 合约的资金来源于用户提供的流动性。
2. 用户可以通过 Vault 合约的 provideLiquidity/removeLiquidity 函数进行流动性提供/移除,流动性提供获得的凭证与流动性移除获得的资金都受 Vault 合约中的流动性余额与流动性凭证总供应量的比值影响。
3. 以 WBNB Vault 为例攻击者首先从 PancekeSwap 闪电贷借出 WBNB
4. 通过 FlashLoanProvider 合约进行二次 WBNB 闪电贷操作,FlashLoanProvider 会先将 WBNB Vault 合约中 WBNB 流动性转给攻击者,随后进行闪电贷回调。
5. 攻击者在二次闪电贷回调中,向 WBNB Vault 提供流动性,由于此时 WBNB Vault 中的流动性已经借出一部分给攻击者,因此流动性余额少于预期,则攻击者所能获取的流动性凭证将多于预期。
6. 攻击者先归还二次闪电贷,然后从 WBNB Vault 中移除流动性,此时由于 WBNB Vault 中的流动性已恢复正常,因此攻击者使用添加流动性获得凭证所取出的流动性数量将多于预期。
7. 攻击者通过以上方式攻击了在各个链上的 Vault 合约,耗尽了 Equalizer Finance 的流动性。
此次攻击的主要原因在于 Equalizer Finance 协议的 FlashLoanProvider 合约与 Vault 合约不兼容。慢雾安全团队建议协议在进行实际实现时应充分考虑各个模块间的兼容性。[2022/6/8 4:09:22]
而下载到假钱包App的方式无外乎几种:
慢雾:警惕 Terra 链上项目被恶意广告投放钓鱼风险:据慢雾区情报,近期 Terra 链上部分用户的资产被恶意转出。慢雾安全团队发现从 4 月 12 日开始至 4 月 21 日约有 52 个地址中的资金被恶意转出至 terra1fz57nt6t3nnxel6q77wsmxxdesn7rgy0h27x30 中,当前总损失约 431 万美金。
经过慢雾安全追踪分析确认,此次攻击为批量谷歌关键词广告投放钓鱼,用户在谷歌搜索如:astroport,nexus protocol,anchor protocol 等这些知名的 Terra 项目,谷歌结果页第一条看似正常的广告链接(显示的域名甚至是一样的)实为钓鱼网站。 一旦用户不注意访问此钓鱼网站,点击连接钱包时,钓鱼网站会提醒直接输入助记词,一旦用户输入并点击提交,资产将会被攻击者盗取。
慢雾安全团队建议 Terra 链上用户保持警惕不要随便点击谷歌搜索出来的链接或点击来历不明的链接,减少使用常用钱包进行非必要的操作,避免不必要的资损。[2022/4/21 14:37:55]
子向用户发送海报或链接,诱导用户下载假App;子通过购买搜索引擎的广告位及自然流量,诱用户访问虚假官网;子获取受害者信任后,向受害者发送链接下载App,并鼓励受害者购买加密货币并转入他们的钱包,子不断找借口要求受害者存入更多资金以提取资金。
声音 | 慢雾:99%以上的勒索病使用BTC进行交易:据慢雾消息,勒索病已经成为全球最大的安全威胁之一,99%以上的勒索病使用BTC进行交易,到目前为止BTC的价格已经涨到了一万多美元,最近一两年针对企业的勒索病攻击也越来越多,根据Malwarebytes统计的数据,全球TO B的勒索病攻击,从2018年6月以来已经增加了363%,同时BTC的价格也直线上涨,黑客现在看准了数字货币市场,主要通过以下几个方式对数字货币进行攻击:
1.通过勒索病进行攻击,直接勒索BTC。
2.通过恶意程序,盗取受害者数字货币钱包。
3.通过数字货币网站漏洞进行攻击,盗取数字货币。[2019/8/25]
最后这些受害者始终没有拿回他们的钱。
▲受害者案例
据某个受害者反映,子一开始通过群聊添加为好友,接着与受害者成为朋友,获得信任后,向受害者发送了所谓的官网下载链接。我们来对比下官方与钓鱼网站之间的区别。
以该受害者提供的信息来看,假官网虽然看起来很逼真,但总有一些破绽。比如假官网名称居然叫“im?钱包”、假官网随处可见的下载二维码。当受害者决定下载App时,扫描二维码后会将他们带到模仿应用商店的网页,该页面甚至有虚假评论,使受害者相信这个钱包App是合法的。
追踪研究
慢雾AML团队对找到我们的受害者提供的信息进行分析研究,据不完全统计,目前因下载假App导致资产被盗的受害者规模已有上万人,被盗金额高达十三亿美元,这还只是针对找到我们的受害者的统计,而且只包括?ETH、BTC、ERC20-USDT、TRX、TRC20-USDT。
下图是11月份找到我们并希望我们能提供帮助的受害者钱包被盗的相关信息。
其中一名受害者分享了他被盗的资金转移到的波场地址(TDH...wrn),该子地址目前已接收超过?258,571TRC20-USDT。
慢雾MistTrack对该子地址进行追踪分析,结果显示共有14人将资金转入该地址,可以认为14人都是受害者,同时,资金流入的每一层地址交易量都很大,资金被拆分后都流入了不同的Binance用户地址。
其中一个Binance用户地址(TXJ...G8u)目前已接收超609,969.299枚TRC20-USDT,价值超61万美元。
这只是其中一个地址而已,可想而知这种局的规模以及子从受害者那里赚了多少钱。
还有一个有趣的点,当我们在分析某些子地址的时候,竟发现该地址的资金被转移到了与勒索活动相关联的恶意地址,通过一些渠道的查询结果显示,此类局似乎不仅是团伙作案,甚至表现出跨省跨国的特征。
此外,我们的分析还显示出,子得手后通常会将一部分资金转移到交易平台,将另一小撮资金转入某个交易量特别大的黑客地址,以混淆分析。
总结
目前这种局活动不仅活跃,甚至有扩大范围的趋势,每天都有新的受害者受。用户作为安全体系最薄弱的环节,应时刻保持怀疑之心,增强安全意识与风险意识,必要时可通过官方验证通道核实。
同时,如需使用钱包,请务必认准以下主流钱包App官方网址:
MetaMask钱包:
https://metamask.io/
imToken钱包:
https://token.im/
TokenPocket钱包:
https://www.tokenpocket.pro/
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。