By: Lisa
事情背景
自 2022 年以来,各种以 Drainer 为名的垂钓团伙逐渐冒出头,比方经过社工获取 Discord Token 并进行垂钓的 Pink Drainer;比方经过 Permit 或 Approve 取得用户同意并盗取财物的垂钓服务供给商 Venom Drainer;比方经过虚伪 KOL 推特账号、Discord 等发布虚伪 NFT 相关的带有歹意 Mint 的钓饵网站进行垂钓,窃取了数千万美元网络垂钓安排 Monkey Drainer (https://aml.slowmist.com/events/monkey_Drainer_statistics/);比方专门从事多链欺诈的厂商 Inferno Drainer 等。
而跟着时间的推移,一些 Drainer 已经退出加密钱银的大舞台,但最近的两起事情令一个多次私自活动的垂钓团伙 —— Angel Drainer 逐渐出现在大众的视野中。
事情一:Balancer DNS 劫持进犯
2023 年 9 月 19 日,Balancer 宣布紧迫正告,要求用户停止拜访其官网,因为 DNS 被劫持导致其界面已受到歹意行为者的破坏,拜访该网站的链接后,钱包会遭受垂钓进犯。据 MistTrack 剖析,进犯者的费用来自网络垂钓安排 Angel Drainer,现在受害者被盗金额至少为 35 万美元。
也就是说,进犯者(Angel Drainer)经过进犯 Balancer 的网站后,诱导用户 “Approve”,并经过 “transferFrom” 将资金转移给进犯者(Angel Drainer)。依据咱们搜集的相关情报,进犯者可能与俄罗斯黑客有关。经过剖析,发现 app.balancer.fi 的前端存在歹意的 JavaScript 代码(https://app.balancer.fi/js/overchunk.js)。
用户运用钱包衔接 app.balancer.fi 站点后,歹意脚本会自动判断衔接用户的余额并进行垂钓进犯。
事情二:Galxe DNS 劫持进犯
2023 年 10 月 6 日,据多位社区用户称,运用钱包签名授权 Web3 凭据数据网络 Galxe 平台后,财物被盗。随后,Galxe 官方发布公告称,其网站已关闭,正在修复该问题。据 MistTrack 剖析,Galxe Hacker 地址与 Angel Drainer 地址存在多次交互,似乎是同一个黑客。
10 月 7 日,Galxe 发文表明,该网站现已彻底恢复,事情的具体过程为:10 月 6 日,一名身份不明的人联系域名服务供给商 Dynadot,假充授权的 Galxe 会员,并运用伪造的文档绕过安全流程。然后假充者取得了对域帐户 DNS 的未经授权的拜访权限,他们用该拜访权限将用户重定向到虚伪网站并签署盗用其资金的买卖。约 1120 名与该歹意网站交互的用户受到影响,被盗金额约为 27 万美元。
下面仅针对该团伙的部分垂钓素材及垂钓钱包地址进行剖析:
垂钓网站及方法剖析
经过剖析,咱们发现该团伙首要的进犯方法是对域名服务供给商进行社会工程学进犯,在获取了域名帐户相关权限后,修改 DNS 解析指向,并将用户重定向到虚伪网站。依据慢雾合作伙伴 ScamSniffer 供给的数据显现,该团伙针对加密职业进行的垂钓进犯触及 3000 多个域名。
经过查询这些域名的相关信息,发现注册日期最早可追溯到 2023 年 1 月:
该网站仿冒了一个 Web3 游戏项目 Fight Out,现在已无法翻开。风趣的是,在 Fight Out 官方交际平台下,多个用户反映该项目也是一个骗局。
经过 MistTrack 检查该垂钓网站相关的地址 0x00002644e79602F056B03235106A9963826d0000,显现该地址于 5 月 7 日进行初次买卖。
咱们发现该地址与 107 个垂钓网站相相关,不仅包括 NFT 项目、授权管理工具 RevokeCash、买卖所 Gemini,还包括跨链桥 Stargate Finance 等等。
在此地址基础上,再往前追溯到 2023 年 3 月 16 日,被标记为 Fake_Phishing76598 的地址 0xe995269255777303Ea6800bA0351C055C0C264b8,该地址与 17 个垂钓网站相相关,首要环绕 NFT 项目 Pollen 以及公链 Arbitrum 布置垂钓网站,现在都已无法翻开。
咱们检查该团伙最近布置的垂钓网站 blur[.]app-io.com.co:
经过查询 Access Key,相关到了另一个垂钓网站 unsiwap[.]app.se.net,正确写法是 Uniswap,进犯者经过调换字母 s 和 i 的次序混淆视听。
这个网站也存在于咱们的数据中,8 月份才开始运用:
下面显现了衔接到该域的一系列网站的屏幕截图:
运用 ZoomEye 进行全球查找,发现该域下有 73 个垂钓站点一同运转与布置:
持续追寻,发现 Angel Drainer 运用英语和俄语进行出售,内容包括 24/7 的支持,押金为 $40,000,收取 20% 的费用,支持多条链以及 NFT,供给自动站点克隆器。
这是出售者的简介:
顺着页面给出的联系方法,发现一个 Bot。下图中所触及的地址暂无买卖记录,猜想是一个假冒 Angel Drainer 的 Bot。
随机找一个站点检查,点击 Claim,网站会判断你是否有余额,依据每个受害者地址持有的代币和余额运用进犯组合拳:Approve - Permit/Permit2 签名 - transferFrom。
对安全意识较低的用户来说,一不小心就会将自己地址的许可无限颁发给进犯者,如果有新的资金转移到用户地址,进犯者就会立马转走这些资金。
因为篇幅约束,此处不再过多剖析。
MistTrack 剖析
经过剖析上述 3000 多个垂钓网址及相关慢雾 AML 歹意地址库,咱们合计剖析到 36 个与 Angel Drainer 垂钓团伙有关的歹意地址(ETH 链上),其间 Angel Drainer 热钱包地址有两个,触及多条链,其间 ETH 链和 ARB 链触及资金较多。
以相关到的 36 个歹意地址为链上剖析数据集,咱们得到关于该垂钓团伙的以下定论(ETH 链):
-
链上地址集最早的活泼时间为 2023 年 4 月 14 日。(0x664b157727af2ea75201a5842df3b055332cb69fe70f257ab88b7c980d96da3)
-
获利规模:据不彻底统计,该团伙经过垂钓的方法合计获利约 200 万美元,包括获利 708.8495 ETH,约合 1,093,520.8976 美元;触及 303 个 ERC20 Token,约合 100 万美元,类型首要为 LINK, STETH, DYDX, RNDR, VRA, WETH, WNXM, APE, BAL。(注:价格均取 2023/10/13 价格,数据源 CoinMarketCap)
-
经过剖析相关歹意地址自 2023 年 4 月14 日后的前两层 ETH 数据,获利资金中合计有 1652.67 ETH 转移到 Binance,389.29 ETH 转移到 eXch,116.57 ETH 转移到 Bybit,25.839 ETH 转移到 OKX,21 ETH 转移到 Tornado Cash,剩下资金则转移到其他实体地址。
在此感谢 ScamSniffer 供给的数据支持。
总结
本文基于 Balancer Hack、Galxe Hack 事情,聚集垂钓团伙 Angel Drainer,并提炼出该安排的部分特征。在 Web3 不断创新的一同,针对 Web3 垂钓的方法也越来越多样,令人措手不及。
对用户来说,在进行链上操作前,提早了解方针地址的危险状况是十分必要的,例如在 MistTrack 中输入方针地址并检查危险评分及歹意标签,必定程度上可以防止陷入资金丢失的境地。
对钱包项目方来说,首先是需求进行全面的安全审计,重点提升用户交互安全部分,加强所见即所签机制,减小用户被垂钓危险,具体措施如下:
-
垂钓网站提示:经过生态或许社区的力气汇聚各类垂钓网站,并在用户与这些垂钓网站交互的时分对危险进行醒目地提示和告警;
-
签名的辨认和提示:辨认并提示 eth_sign、personal_sign、signTypedData 这类签名的恳求,并重点提示 eth_sign 盲签的危险;
-
所见即所签:钱包中可以对合约调用进行详尽解析机制,防止 Approve 垂钓,让用户知道 DApp 买卖结构时的具体内容;
-
预履行机制:经过买卖预履行机制协助用户了解到买卖广播履行后的作用,有助于用户对买卖履行进行预判;
-
尾号相同的欺诈提示:在展现地址的时分醒目的提示用户检查完好的方针地址,防止尾号相同的欺诈问题。设置白名单地址机制,运用户可以将常用的地址加入到白名单中,防止相似尾号相同的进犯;
-
AML 合规提示:在转账的时分经过 AML 机制提示用户转账的方针地址是否会触发 AML 的规矩。
慢雾(SlowMist) 作为一家职业领先的区块链安全公司,在要挟情报方面深耕多年,首要经过安全审计及反洗钱追寻溯源等服务广大客户,并构建了扎实的要挟情报合作网络。其间,安全审计不仅让用户安心,更是降低进犯发生的手段之一。一同,各家组织因为数据孤岛,难以相关辨认出跨组织的洗钱团伙,给反洗钱工作带来巨大应战。而作为项目方,及时拉黑阻断歹意地址的资金转移也是重中之重。MistTrack 反洗钱追寻系统积累了 2 亿多个地址标签,可以辨认全球主流买卖平台的各类钱包地址,包括 1 千多个地址实体、超 10 万个要挟情报数据和超 9 千万个危险地址,如有需求可联系咱们接入 API。最后期望各方共同努力,一同让区块链生态更夸姣。
此时快讯
【EOS EVM v0.6.0已上线主网】金色财经报道,EOS Network基金会宣布EOS EVM v0.6.0现已在EOS网络主网上线。
![[余烬Ember]以太坊ETF决议前市场悲观,美国司法部指控大学生涉及以太坊MEV洗钱行为](https://pic.rmb.bdstatic.com/bjh/user/31a4de3fbc29f1c46df415cdd9133c30.jpeg?x-bce-process=image/resize,m_fill,w_300,h_200/format,f_auto)