작성자: Liz & Zero & Keywolf
배경
지난 5월 3일 웹3(Web3) 사기 방지 플랫폼 스캠 스니퍼(Scam Sniffer)의 모니터링에 따르면 거대 고래 한 마리가 동일한 첫 번째 주소와 마지막 주소로 피싱 공격을 받아 약 7천만 달러 상당의 1,155WBTC를 피싱 공격을 당했다. 이런 어업 방식은 오래전부터 있었지만 이번 사건으로 인한 피해 규모는 여전히 충격적이다. 본 글에서는 첫 번째와 마지막 숫자가 동일한 주소에 대한 피싱 공격의 핵심 포인트, 자금의 행방, 해커의 특성, 피싱 공격 예방을 위한 제안 등을 분석한다.
https://twitter.com/realScamSniffer/status/1786374327740543464
공격 핵심 포인트
피해자의 주소:
0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5
피해자의 대상 이체 주소:
0xd9A1b0B1e1aE382DbDc898Ea68012FfcB2853a91
낚시 주소:
0xd9A1C3788D81257612E2581A6ea0aDa244853a91
1. 피싱 주소 충돌: 해커는 대량의 피싱 주소를 일괄적으로 생성해 배치 프로그램을 분산 배포한 후 대상 전송 주소에 대해 첫 번째와 마지막 번호가 동일한 피싱 공격을 시작합니다. 체인의 사용자 역학을 기반으로 합니다. 이번 사건에서 해커는 0x를 제거한 후 처음 4자리와 마지막 6자리가 피해자의 대상 전송 주소와 일치하는 주소를 사용했습니다.
2. 추적 거래: 사용자가 돈을 이체한 후 해커는 즉시 충돌한 피싱 주소(약 3분 후)를 사용하여 거래를 추적합니다(피싱 주소는 사용자의 주소로 0 ETH를 전송합니다). 사용자의 거래 기록이 내부에 있습니다.
https://etherscan.io/txs?a=0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5&p=2
3. 미끼를 달고 싶은 분 : 사용자는 지갑 내역에서 최근 이체 정보를 복사하는 데 익숙하기 때문에 이번 추적 피싱 거래를 본 후 복사한 주소가 맞는지 꼼꼼히 확인하지 않아 1155로 접속하였습니다. WBTC가 실수로 피싱 주소로 전송되었습니다!
3. 미끼를 달고 싶은 분 : 사용자는 지갑 내역에서 최근 이체 정보를 복사하는 데 익숙하기 때문에 이번 추적 피싱 거래를 본 후 복사한 주소가 맞는지 꼼꼼히 확인하지 않아 1155로 접속하였습니다. WBTC가 실수로 피싱 주소로 전송되었습니다!
미스트트랙 분석
온체인 추적 도구인 MistTrack을 사용한 분석 결과, 해커는 1,155WBTC를 22,955ETH로 교환하고 이를 다음 10개 주소로 전송한 것으로 나타났습니다.
5월 7일부터 해커들은 이 10개 주소에서 ETH를 전송하기 시작했습니다. 자금 이체 모드는 기본적으로 현재 주소에 100ETH 이하의 자금을 남겨두고 나머지 자금을 대략 균등하게 나누어 다음 단계로 이체하는 특성을 보였습니다. 주소. . 현재 이 자금은 다른 통화로 교환되거나 플랫폼으로 이체되지 않았습니다. 아래 그림은 0x32ea020a7bb80c5892df94c6e491e8914cce2641의 자금 이체 상황을 보여줍니다. 브라우저에서 링크를 열면 고화질 사진을 볼 수 있습니다.
https://misttrack.io/s/1cJlL
그런 다음 MistTrack을 사용하여 이번 사건의 초기 피싱 주소인 0xd9A1C3788D81257612E2581A6ea0aDa244853a91를 쿼리한 결과, 이 주소에 대한 처리 수수료의 출처가 0xdcddc9287e59b5df08d17148a078bd181313eacc임을 확인했습니다.
https://dashboard.misttrack.io/address/WBTC-ERC20/0xd9A1C3788D81257612E2581A6ea0aDa244853a91
수수료 주소에 따르면, 4월 19일부터 5월 3일 사이에 이 주소에서 20,000건 이상의 소액 거래가 시작되어 낚시를 위해 소액의 ETH가 다른 주소에 배포되었음을 알 수 있습니다.
수수료 주소에 따르면, 4월 19일부터 5월 3일 사이에 이 주소에서 20,000건 이상의 소액 거래가 시작되어 낚시를 위해 소액의 ETH가 다른 주소에 배포되었음을 알 수 있습니다.
https://etherscan.io/address/0xdcddc9287e59b5df08d17148a078bd181313eacc
위 그림을 보면 해커가 와이드넷 방식을 채택한 것을 알 수 있어 피해자가 1명 이상임에 틀림없다. 대규모 스캐닝을 통해 다른 관련 피싱 사건도 발견했습니다. 다음은 몇 가지 예입니다.
위 그림의 두 번째 사건의 피싱 주소 0xbba8a3cc45c6b28d823ca6e6422fbae656d103a6을 예로 들어 보겠습니다. 우리는 계속해서 수수료 주소를 위쪽으로 추적한 결과 이 주소가 1155 WBTC 피싱 사건의 수수료 추적 가능 주소와 겹치는 것을 발견하므로 동일해야 합니다. 해커.
해커들이 다른 수익성 있는 자금을 이체하는 상황(3월 말부터 현재까지)을 분석한 결과, 해커의 또 다른 자금세탁 특징은 ETH 체인의 자금을 모네로로 전환하거나 크로스체인을 통해 트론으로 전환한 후 이체하는 것이라는 결론을 내렸습니다. 따라서 해커들이 나중에 동일한 방법을 사용하여 1155 WBTC 피싱 이벤트에서 얻은 자금을 이체할 가능성이 있습니다.
해커의 특징
SlowMist의 위협 인텔리전스 네트워크에 따르면, 우리는 해커로 의심되는 사람들이 사용하는 홍콩의 모바일 기지국 IP를 발견했습니다(VPN의 가능성도 배제되지 않음).
- 182.xxx.xxx.228
- 182.xxx.xx.18
- 182.xxx.xx.51
- 182.xxx.xxx.64
- 182.xxx.xx.154
- 182.xxx.xxx.199
- 182.xxx.xx.42
- 182.xxx.xx.68
- 182.xxx.xxx.66
- 182.xxx.xxx.207
해커가 1,155WBTC를 훔친 후에도 손을 씻을 의도가 전혀 없었던 것으로 보인다는 점은 주목할 만합니다.
앞서 수집한 피싱 주소 상위 주소 3개(여러 피싱 주소에 처리 수수료를 제공하는 데 사용)에 이어 이들의 공통적인 특징은 마지막 거래 금액이 이전 거래 금액보다 훨씬 크다는 점이다. 이는 해커가 현재 거래를 비활성화했기 때문이다. 새로운 피싱 주소의 상위 주소로 자금을 이체하는 과정에서 새로 활성화된 3개의 주소에서는 여전히 높은 빈도로 자금 이체가 이루어지고 있습니다.
앞서 수집한 피싱 주소 상위 주소 3개(여러 피싱 주소에 처리 수수료를 제공하는 데 사용)에 이어 이들의 공통적인 특징은 마지막 거래 금액이 이전 거래 금액보다 훨씬 크다는 점이다. 이는 해커가 현재 거래를 비활성화했기 때문이다. 새로운 피싱 주소의 상위 주소로 자금을 이체하는 과정에서 새로 활성화된 3개의 주소에서는 여전히 높은 빈도로 자금 이체가 이루어지고 있습니다.
https://etherscan.io/address/0xa84aa841e2a9bdc06c71438c46b941dc29517312
후속 대규모 스캔에서 비활성화된 피싱 주소 상위 주소 2개를 추가로 발견했으며, 추적 결과 해당 주소가 해커와 연관되어 있음을 확인했기 때문에 여기서는 자세히 설명하지 않겠습니다.
- 0xa5cef461646012abd0981a19d62661838e62cf27
- 0x2bb7848Cf4193a264EA134c66bEC99A157985Fb8
이 시점에서 우리는 ETH 체인의 자금이 어디서 나오는지에 대한 의문을 제기했습니다. SlowMist 보안 팀의 추적 및 분석 결과, 해커가 처음에 동일한 첫 번째 주소와 마지막 주소로 Tron에 피싱 공격을 수행한 것으로 나타났습니다. , 그리고 수익을 낸 후 Tron을 표적으로 삼았습니다. ETH 체인에 올라온 사용자는 Tron에서 얻은 수익 자금을 ETH 체인으로 전송하고 피싱을 시작했습니다.
https://tronscan.org/#/address/TY3QQP24RCHgm5Qohcfu1nHJknVA1XF2zY/transfers
피해자는 지난 5월 4일 체인에 있는 해커에게 다음과 같은 메시지를 전했다. '형님, 이기면 10%는 갖고 90%는 돌려주면 아무 일도 없었던 척 하면 됩니다. 우리 모두는 700만 달러면 당신이 잘 살 수 있다는 것을 알고 있지만, 7천만 달러는 잠을 제대로 못 자게 만들 것입니다.
피해자는 지난 5일에도 체인을 통해 해커들에게 계속 전화를 걸었지만 아직 답변을 받지 못했다.
https://etherscan.io/idm?addresses=0x1e227979f0b5bc691a70deaed2e0f39a6f538fd5,0xd9a1c3788d81257612e2581a6ea0ada244853a91&type=1
방어하는 방법
- 주소가 맞는지 주의깊게 확인하세요. 주소를 확인할 때 최소한 앞의 0x를 제외한 처음 6자리와 마지막 8자리가 맞는지 확인하는 것이 좋습니다. 물론, 모든 자리를 확인하는 것이 가장 좋습니다.
- 소액 이체 테스트: 사용자가 사용하는 지갑에 기본적으로 처음 4자리와 마지막 4자리 주소만 표시되고, 사용자가 여전히 이 지갑을 사용하라고 고집하는 경우 먼저 소액 이체 테스트를 고려해 볼 수 있습니다. 불행하게도 잡히면 경미한 부상이 될 것입니다.
요약하다
본 글에서는 첫 번째와 마지막 주소가 동일한 피싱 공격 방법을 주로 소개하고, 해커의 특성과 자금 이체 패턴을 분석하며, 이러한 피싱 공격을 예방하기 위한 제안을 제시합니다. SlowMist 보안팀은 블록체인 기술은 변조될 수 없고 체인 작업은 되돌릴 수 없으므로 사용자는 자산 손상을 방지하기 위해 작업을 수행하기 전에 주소를 주의 깊게 확인해야 함을 알려드립니다.
부인 성명
본 글의 내용은 자금세탁 방지 추적 시스템인 MistTrack의 데이터 지원을 바탕으로 작성되었으며, 인터넷상의 공개 주소를 분석하고 분석 결과를 공개하는 것을 목표로 하고 있습니다. 그러나 블록체인의 특성상 절대적인 내용을 보장할 수는 없습니다. 여기에 있는 모든 데이터의 정확성을 보장하며, 이 기사의 내용을 사용하여 발생한 오류, 누락 또는 손실에 대해 책임을 지지 않습니다. 동시에, 이 기사는 어떤 입장이나 기타 분석의 기초가 되지 않습니다.
모든 댓글