小 A最近收到了交易所活動的短信,于是小 A 在瀏覽器輸入“xx 錢包官方”,點進排在首位的鏈接,下載 App-創建錢包-轉入資產,一氣呵成。沒一會,小 A 收到了轉賬成功的通知,他錢包 App 里的余額——價值 1000 萬美元的 ERC20-USDT——都化為零了。小 A 后來才意識到,這個 App 是假的,自己下載到釣魚 App 了。
慢霧于去年 11 月 24 日發布了關于假錢包黑產的分析報告——慢霧:假錢包 App 已致上萬人被盜,損失高達十三億美元,可想而知,隨著時間流逝,直到今天的被盜損失會是多么令人驚訝。
今天我們從大數據側分析,到底有多少假錢包。
1、MetaMask是目前全球最大的瀏覽器插件錢包。2021 年 4 月,MetaMask 母公司?ConsenSys?表示,MetaMask 錢包的月活用戶量超過 500 萬,在 6 個月內增長了 5 倍,而 2020 年 MetaMask 官方也曾宣布其較 2019 年的月活同比增長了 4 倍,用戶量超 8000 萬。
MetaMask 如此海量的用戶數自然是黑產的第一目標,我們來看看有多少冒牌MetaMask:
首先,通過專業的瀏覽器搜索:
CME將于5月22日擴大比特幣和以太坊期權的合約期限:金色財經報道,芝商所(CME Group)宣布計劃從 5 月 22 日開始,在標準和微型比特幣和以太坊合約中擴展其加密貨幣期權合約,目前等待監管審查。其中,比特幣和以太坊期貨期權的新到期日將提供星期一、星期二、星期三、星期四和星期五的到期日。微型比特幣和以太坊期貨期權將在現有的周一、周三和周五合約上增加周二和周四的到期日。所有這些新產品將補充所有比特幣和以太坊期貨合約的現有月度和季度到期。[2023/4/17 14:09:19]
查找結果顯示有 20,000 +?的相關結果,其中 98% 的 IP/域名都是虛假詐騙鏈接。
進一步追蹤,比如查找 MetaMask Download:
USDC Treasury鑄造約6082萬枚USDC:金色財經報道,據Whale Alert監測數據顯示,USDC Treasury新鑄造約6082萬枚USDC。[2023/4/12 13:58:20]
一眼看去,都是釣魚網站,而且熟悉安全的人應該都知道,888/HTTP、8888/HTTP 這類端口和服務是寶塔系統的默認配置,而寶塔的簡單易部署屬性導致大量黑灰產使用。以上相關的 IP/域名都是誘導用戶訪問、下載的虛假詐騙鏈接。
我們再進一步來看點有意思的。
首先搜索:MetaMask 授權管理(黑灰產釣魚的管理后臺)
Web3電商平臺Rye完成1400萬美元融資,a16z Crypto領投:10月11日消息,Web3電商平臺Rye完成1400萬美元新一輪融資,a16z Crypto領投。
據悉,Rye由Twitch聯合創始人Justin Kan創立,旨在打造“Web3領域里的Spotify”。Rye將尋求使用加密Token降低電子商務成本,通過向參與者提供加密貨幣“Rye”(可用于支付交易費用),Rye將提供一鍵式應用程序編程接口(API),供商家在Rye自己的市場上展示他們的部分或全部產品。(福布斯)[2022/10/11 10:31:20]
這些全都是黑產管理后臺相關域名,我們順手把域名也一起梭,部分抓到的域名及相關解析時間展示如下:
Vue+PHP 環境,部署方式如下:
以太坊網絡當前已銷毀超260萬枚ETH:金色財經報道,Ultrasound數據顯示,截止目前,以太坊網絡總共銷毀2,600,141.30枚ETH。其中,ETH transfers銷毀239,663.93枚ETH,OpenSea銷毀230,049.96枚ETH,UniswapV2銷毀136,476.95枚。注:自以太坊倫敦升級引入EIP-1559后,以太坊網絡會根據交易需求和區塊大小動態調整每筆交易的BaseFee,而這部分的費用將直接燃燒銷毀。[2022/8/29 12:54:24]
2、imToken授權管理也是同樣的方式:
TokenPocket授權管理:
釣魚后臺:
俄羅斯監管機構解除對加密媒體Bits media的封鎖:金色財經報道,俄羅斯大眾媒體監管機構Roskomnadzor已恢復對俄羅斯主要加密新聞門戶網站的訪問。此前,Bits.media由于地區法院的訴訟而被封鎖,其代表甚至沒有被傳喚出席。據悉,Bits.media并不是最近成為監管目標的唯一俄語加密新聞媒體。4月初,Roskomnadzor限制了Forklog.com的訪問。與Bits.media一樣,封鎖同樣沒有任何事先警告或解釋。(Bitcoin.com)[2022/7/7 1:57:43]
后臺相關的服務產業鏈:
3、后臺獲取到相關的受害人信息后, 攻擊者通過提幣 API 接口進行操作:
我們來看一下代碼:
涉及到基礎 Web 服務的 JS、配置 JS、轉賬 JS。
再看這條:var _0xodo='jsjiami.com.v6',不得不說,黑灰產已經超過大多數正規 Web 站點,人家已經在實施 JS 全加密技術。
配置:
此處 sc0vu/web3.php: "dev-master" 是用于與以太坊和區塊鏈生態系統交互的 php 接口系統。
分析后發現,攻擊者獲取到私鑰等相關信息后,通過 api.html 調用,轉移相關盜竊資產。此處不再贅述。
你以為這樣就結束了?
你以為他們的目標只是偽造MetaMask、imToken、TokenPocket等錢包的釣魚網站?
其實他們除了偽造市面上這些知名錢包外,他們還仿造并搭建了相關交易平臺進行釣魚,我們來看下:
比如這個 IP 下,我們發現除了釣魚頁面、后臺,還有其他信息:
偽造的交易平臺釣魚站,而且還不止一個:
使用 Laravel 框架搭建的加密貨幣釣魚平臺:
使用 ThinkPHP 框架搭建的仿?FTX?平臺釣魚站點:
再來看下 SaaS 版直接在線售賣的釣魚詐騙模版:
騙子平臺支持大部分主流的錢包(這里的錢包也是他們偽造的)
針對加密貨幣、NFT?的釣魚詐騙產業鏈已十分完備,專業 SaaS 服務,快速部署,立馬上線。?
進一步偵查發現相關的后臺管理系統,如下圖是云桌面式的管理后臺,用來控制交易平臺相關信息:
分類清晰功能齊全,黑灰產的先進與專業度已經遠超想象。
本文主要是從技術手段分析了詐騙錢包的全景,錢包釣魚網站層出不窮,制作成本非常低,已經形成流程化專業化的產業鏈,這些騙子通常直接使用一些工具去 copy 比較出名的錢包項目網站,誘騙用戶輸入私鑰助記詞或者是誘導用戶去授權。建議大家在嘗試下載或輸入之前,務必驗證正在使用網站的 URL。同時,不要點擊不明鏈接,盡量通過官方網頁或者官方的媒體平臺下載,避免被釣魚。
Tags:以太坊MASAMAASK以太坊官網地址metamask靠譜嗎metamask小狐貍錢包安卓版官網易速手機站ICK Mask
美國證券交易委員會(SEC)主席Gary Gensler表示,他擔心一項為加密貨幣創建監管框架的提案可能會削弱傳統金融市場對投資者的保護.
1900/1/1 0:00:001.DeFi代幣總市值:354.3億美元 DeFi總市值 數據來源:coingecko2.過去24小時去中心化交易所的交易量:53.
1900/1/1 0:00:00Web3 社交就 = Web2 社交 + 連接錢包嗎?Crypto-native 的社交需求是什么?Web3 去中心化的社交網絡應當是什么樣的?6 月 23 日.
1900/1/1 0:00:00從陷入困境的貸方Celsius到對沖基金Three Arrows Capital和行業重量級人物Sam Bankman-.
1900/1/1 0:00:00元宇宙是人類創造,可以沉浸式體驗的虛擬世界。作為這個世界的“門票”,NFT在半年前徹底火了。從NFT到元宇宙,體現了人們在虛擬世界中引入了現實世界的內容,虛實結合.
1900/1/1 0:00:006 月 23 日,dYdX 宣布將轉移至 Cosmos 生態,將基于 Cosmos SDK 開發定制應用鏈,并在即將到來的 dYdX V4 版本中實現遷移.
1900/1/1 0:00:00