前言
小A最近收到了交易所活動的短信,于是小A在瀏覽器輸入“xx錢包官方”,點進排在首位的鏈接,下載App-創建錢包-轉入資產,一氣呵成。沒一會,小A收到了轉賬成功的通知,他錢包App里的余額——價值1000萬美元的ERC20-USDT——都化為零了。小A后來才意識到,這個App是假的,自己下載到釣魚App了。
慢霧于去年11月24日發布了關于假錢包黑產的分析報告——慢霧:假錢包App已致上萬人被盜,損失高達十三億美元,可想而知,隨著時間流逝,直到今天的被盜損失會是多么令人驚訝。
分析
今天我們從大數據側分析,到底有多少假錢包。
1、MetaMask是目前全球最大的瀏覽器插件錢包。2021年4月,MetaMask母公司?ConsenSys?表示,MetaMask錢包的月活用戶量超過500萬,在6個月內增長了5倍,而2020年MetaMask官方也曾宣布其較2019年的月活同比增長了4倍,用戶量超8000萬。
MetaMask如此海量的用戶數自然是黑產的第一目標,我們來看看有多少冒牌MetaMask:
首先,通過專業的瀏覽器搜索:
火幣第七期投票上幣活動初賽投票于8月7日20:00開啟:據官方消息,火幣公告表示,第七期投票上幣活動初賽投票,將在8月7日20:00(UTC+8)正式開啟。據悉,參與此次活動的報名項目100余個,最終通過審核入選的項目共有12個,用戶持有“火箭”即可參與投票,票數排名第一的項目將在火幣開啟交易服務。
公告顯示,本次投票活動共有預熱拉票期、初賽投票期、決賽投票期三個階段,可投票數皆以2023年8月2日20:00 (UTC+8) 快照用戶的火箭數量為準,1火箭=1票,最低投票數量為1票。此外,使用“火箭”投票,用戶的資產賬戶余額不會進行鎖倉。
公告稱,“火箭計劃”是火幣為提升用戶活動體驗推出,“火箭”指的是用戶在火幣的30天平均資產余額折合USDT的數量,1USDT等于1火箭。[2023/8/7 21:29:23]
查找結果顯示有20,000+?的相關結果,其中98%的IP/域名都是虛假詐騙鏈接。
進一步追蹤,比如查找MetaMaskDownload:
dYdX 2022年活躍交易者達3.39萬名,累計交易量超4600億美元:1月31日消息,dYdX基金會發布 2022年生態系統年度報告,表示團隊成員由3名全職人員擴展到12名全職人員和7名兼職人員;2022年流通供應量(包括社區金庫)達到 194449829 枚(占總供應量的 19.4%),同時社區投票決定減少代幣釋放,并將社區金庫的五年分配增加了 11.2%;2022 年共涉及 22 項治理提案;2022 年 dYdX 協議上有 3.39 萬名活躍交易者;累計交易量和累計費用收入分別為 4663 億美元和 1.378 億美元。[2023/1/31 11:38:15]
一眼看去,都是釣魚網站,而且熟悉安全的人應該都知道,888/HTTP、8888/HTTP這類端口和服務是寶塔系統的默認配置,而寶塔的簡單易部署屬性導致大量黑灰產使用。以上相關的IP/域名都是誘導用戶訪問、下載的虛假詐騙鏈接。
我們再進一步來看點有意思的。
Coinbase新增Near Protocol至路線圖資產列表:8月11日,據官方消息,Coinbase公告新增Near Protocol(NEAR)至路線圖資產列表。
此前報道,Coinbase此前決定,為提高資產透明度,將提前列出已決定上線的資產,并移至路線圖。[2022/8/11 12:16:46]
首先搜索:MetaMask授權管理
這些全都是黑產管理后臺相關域名,我們順手把域名也一起梭,部分抓到的域名及相關解析時間展示如下:
金融公司Centri與BitPay合作,允許以加密貨幣支付發票:6月30日消息,Centri與BitPay達成合作,允許他們的客戶和供應商使用加密貨幣支付發票。
該解決方案支持包括Coinbase Wallet、Gemini Wallet、MetaMask、Binance、Exodus等錢包,支持加密貨幣包括BTC、ETH、DOGE、BCH、wBTC、LTC、XRP、SHIB和五種美元穩定幣(GUSD、USDC、PAX、DAI和BUSD)。(The Paypers)[2022/6/30 1:42:24]
Vue+PHP環境,部署方式如下:
2、imToken授權管理也是同樣的方式:
電訊盈科和香港電訊與The Sandbox達成合作:5月26日消息,香港上市公司電訊盈科和香港電訊已與The Sandbox達成合作,成為首批加入元宇宙的香港CMT機構。電訊盈科和香港電訊已在The Sandbox Mega City購買了虛擬土地,將推出全球首個虛擬5G移動網絡,并將傳統的電影、電視和音樂內容轉化為支持Web3的新娛樂形式。(animocabrands.com)[2022/5/26 3:43:21]
TokenPocket授權管理:
釣魚后臺:
后臺相關的服務產業鏈:
3、后臺獲取到相關的受害人信息后,攻擊者通過提幣API接口進行操作:
我們來看一下代碼:
涉及到基礎Web服務的JS、配置JS、轉賬JS。
再看這條:var_0xodo='jsjiami.com.v6',不得不說,黑灰產已經超過大多數正規Web站點,人家已經在實施JS全加密技術。
配置:
此處sc0vu/web3.php:"dev-master"是用于與以太坊和區塊鏈生態系統交互的php接口系統。
分析后發現,攻擊者獲取到私鑰等相關信息后,通過api.html調用,轉移相關盜竊資產。此處不再贅述。
你以為這樣就結束了?
你以為他們的目標只是偽造MetaMask、imToken、TokenPocket等錢包的釣魚網站?
其實他們除了偽造市面上這些知名錢包外,他們還仿造并搭建了相關交易平臺進行釣魚,我們來看下:
比如這個IP下,我們發現除了釣魚頁面、后臺,還有其他信息:
偽造的交易平臺釣魚站,而且還不止一個:
使用Laravel框架搭建的加密貨幣釣魚平臺:
使用ThinkPHP框架搭建的仿?FTX?平臺釣魚站點:
再來看下SaaS版直接在線售賣的釣魚詐騙模版:
騙子平臺支持大部分主流的錢包
針對加密貨幣、NFT?的釣魚詐騙產業鏈已十分完備,專業SaaS服務,快速部署,立馬上線。?
進一步偵查發現相關的后臺管理系統,如下圖是云桌面式的管理后臺,用來控制交易平臺相關信息:
分類清晰功能齊全,黑灰產的先進與專業度已經遠超想象。
總結
本文主要是從技術手段分析了詐騙錢包的全景,錢包釣魚網站層出不窮,制作成本非常低,已經形成流程化專業化的產業鏈,這些騙子通常直接使用一些工具去copy比較出名的錢包項目網站,誘騙用戶輸入私鑰助記詞或者是誘導用戶去授權。建議大家在嘗試下載或輸入之前,務必驗證正在使用網站的URL。同時,不要點擊不明鏈接,盡量通過官方網頁或者官方的媒體平臺下載,避免被釣魚。
相關閱讀: 加密OG如何看待熊市:我們剛進入熊市的第二階段為了度過接下來幾個月里必須要面對的困難時期,我們需要用三個階段的方法做好心理上的準備和建設.
1900/1/1 0:00:00您安裝了每個人都在談論的新跑酷游戲,您的化身立即獲得了一套新技能。在教程關卡幾分鐘后,爬上墻壁并越過障礙物,您就可以迎接更大的挑戰了.
1900/1/1 0:00:00當地時間6月22日,美聯儲主席鮑威爾在美國國會參議院銀行委員會就半年度貨幣政策報告做證詞陳述。鮑威爾表示,美聯儲與通脹的斗爭可能使其將利率提高到足以導致經濟衰退的水平.
1900/1/1 0:00:00自互聯網早期以來,我們今天居住的數字空間已經發生了很大的變化。下一個重大的進化轉變正在迅速展開,許多世界上較大的科技公司宣布他們打算開創所謂的“元宇宙”.
1900/1/1 0:00:00根據《經濟學人》最近進行的一項研究顯示,36.6%的受訪者希望比特幣或其他加密資產合法化,43.5%的受訪者對此持中立態度,僅17.9%的受訪者表示不同意此舉.
1900/1/1 0:00:001.a16z:我們正處于第四次加密市場的中期算起來,從BTC出現到如今,加密貨幣已然有了十幾年的發展歷程,隨著加密貨幣和區塊鏈的發展和創新,互聯網Web3時代也開始被越來越多的人關注到.
1900/1/1 0:00:00