Monkey Drainer ، عصابة قطاع طرق بملايين الدولارات: تقنيات الصيد وتتبع الأموال وصور الفريق

الأصل: "ضباب بطيء: “كشف” لغز عصابة بملايين الدولارات Monkey Drainer

المؤلف: فريق الأمن Slowmist

خلفية الحدث

في 8 فبراير 2023 ، تلقت SlowMist معلومات استخباراتية أمنية من شريكها ScamSniffer تفيد بأن الضحية قد خسرت أكثر من 1,200,000 دولار في USDC بسبب عنوان تصيد طويل الأمد.

• عنوان القراصنة: 0x69420e2b4ef22d935a4e2c194bbf3a2f02f27be1 ؛
• عنوان الربح: 0x9cdce76c8d7962741b9f42bcea47b723c593efff.

()

في 24 ديسمبر 2022 ، كشفت SlowMist Technology عن “تحليل التصيد الاحتيالي واسع النطاق ل NFT في كوريا الشمالية” لأول مرة على مستوى العالم ، ويرتبط حادث التصيد الاحتيالي هذا بعصابة تصيد NFT أخرى نتتبعها ، Monkey Drainer. نظرا لبعض متطلبات السرية ، تحلل هذه المقالة فقط بعض مواد التصيد الاحتيالي وعناوين محفظة التصيد الاحتيالي الخاصة بالعصابة.

تحليل التصيد الاحتيالي

بعد التحليل ، وجدنا أن طريقة التصيد الاحتيالي الرئيسية هي نشر مواقع طعم مزيفة متعلقة ب NFT مع النعناع الخبيث من خلال حسابات Twitter المؤثرة المزيفة ، ومجموعات Discord ، وما إلى ذلك ، والتي تباع على منصات مثل OpenSea و X2Y2 و Rarible. استهدفت منظمة Monkey Drainer أكثر من 2,000 نطاق في التصيد الاحتيالي لمستخدمي Crypto و NFT.

كشف البحث عن معلومات حول تسجيل هذه النطاقات أن تاريخ التسجيل يعود إلى 4 أشهر مضت:

في البداية ، روجت مجموعة Monkey Drainer للتصيد الاحتيالي من خلال حسابات Twitter المزيفة:

في الوقت نفسه ، بدأ التصيد الاحتيالي الأول في اتجاه NFT في الظهور: mechaapesnft[.] فن:

دعونا نلقي نظرة على خاصيتين ارتباطيتين محددتين:

ثم يرتبط التتبع بمجموعة من الميزات:

بعد الفرز، تتبعنا أكثر من 2000 تصيد احتيالي لرمز NFT وعناوين URL أخرى لها نفس الخصائص من عام 2022 حتى الوقت الحاضر.

استخدمنا ZoomEye لإجراء بحث عالمي لمعرفة عدد مواقع التصيد الاحتيالي التي تم تشغيلها ونشرها في نفس الوقت:

من بينها ، تحتوي أحدث المواقع على تلك المتخفية في شكل عمليات إنزال جوي للتحكيم الجوي:

** على عكس مجموعة القرصنة الكورية الشمالية ، لا تمتلك منظمة التصيد الاحتيالي Monkey Drainer موقعا إلكترونيا خاصا لكل موقع لحساب سجلات وصول الضحايا ، ولكنها تستخدم طريقة بسيطة وفجة للصيد المباشر والنشر على دفعات ، لذلك نعتقد أن منظمة التصيد الاحتيالي Monkey Drainer تستخدم قالب تصيد للنشر تلقائيا على دفعات. **

واصلنا تتبع سلسلة التوريد ووجدنا أن سلسلة التوريد التي تستخدمها منظمة التصيد الاحتيالي Monkey Drainer NFT هي قالب توفره سلسلة الصناعة الرمادية الحالية ، مثل وصف مبيعات الإعلانات:

ميزات دعم سلسلة توريد التصيد الاحتيالي:

انطلاقا من المقدمة ، فإن السعر مناسب والوظائف مثالية. نظرا لقيود المساحة ، لن أخوض في التفاصيل هنا.

تحليل تقنيات التصيد الاحتيالي

بالاقتران مع “التصيد الاحتيالي لشراء NFT zero-yuan” السابق الذي أصدرته Slowfog ، قمنا بتحليل الكود الأساسي لحدث التصيد الاحتيالي هذا.

وجد التحليل أن الكود الأساسي استخدم التعتيم لحث الضحايا على التوقيع على الميناء البحري ، والتصريح ، وما إلى ذلك ، وفي الوقت نفسه استخدم آلية توقيع التفويض غير المتصلة بالإنترنت ل Permit usdc ، وما إلى ذلك ، لترقية آلية التصيد الاحتيالي الأصلية.

ابحث عن موقع عشوائي لاختباره وسيظهر على أنه تصيد احتيالي “SecurityUpdate”:

ثم انظر إلى تصور البيانات:

بالمناسبة ، تقوم محفظة المكون الإضافي Rabby بعمل جيد في التصور وجعلها قابلة للقراءة. لن يتكرر المزيد من التحليل.

عرض جوي على السلسلة

استنادا إلى تحليل أكثر من 2000 عنوان URL للتصيد الاحتيالي أعلاه وقاعدة بيانات العناوين الضارة المرتبطة ب Slowmist AML ، قمنا بتحليل ما مجموعه 1708 عناوين ضارة تتعلق بعصابة التصيد الاحتيالي Monkey Drainer NFT ، منها 87 عنوانا كانت عناوين تصيد أولية. تم إدخال العناوين الضارة ذات الصلة في منصة MistTrack () وقاعدة بيانات العناوين الضارة SlowMist AML ().

باستخدام 1708 عناوين ضارة مرتبطة بمجموعة بيانات التحليل على السلسلة ، يمكننا الحصول على الاستنتاجات التالية من عصابة التصيد الاحتيالي:

• مثال على صفقات التصيد الاحتيالي:

• الإطار الزمني: أقرب تاريخ نشط لمجموعة العناوين على السلسلة هو 19 أغسطس 2022 ، ولا يزال نشطا في المستقبل القريب.

• حجم الربح: حوالي 12.972 مليون دولار في إجمالي الأرباح من التصيد الاحتيالي. من بينها ، كان عدد NFTs للتصيد الاحتيالي 7,059 ، بربح قدره 4,695.91 ETH ، أو حوالي 7.61 مليون دولار ، وهو ما يمثل 58.66٪ من الأموال التي تم الحصول عليها ؛ حققت ERC20 Token ربحا قدره حوالي 5.362 مليون دولار ، وهو ما يمثل 41.34٪ من الأموال التي تم الحصول عليها ، والتي من بينها أنواع ERC20 Token الرئيسية المربحة هي USDC و USDT و Link و ENSو STETH. (ملاحظة: تستند أسعار ETH إلى 2023/02/09 ، مصدر البيانات CryptoCompare.) ）

تفاصيل رمز جني الأرباح ERC20 هي كما يلي:

(جدول تفاصيل رمز الربح ERC20 لعناوين عصابات التصيد الاحتيالي)

تحليل التتبع

أجرى فريق MistTrack التابع لشركة SlowMist تحليلا لإمكانية التتبع على السلسلة لمجموعة العناوين الضارة ، وكان تدفق الأموال على النحو التالي:

وفقا لمخطط Sanky ، تتبعنا ما مجموعه 3876.06 ETH من الأموال المربحة المحولة إلى العناوين المادية ، والتي تم إيداع 2452.3 ETH منها في Tornado Cash ، وتم تحويل الباقي إلى بعض البورصات.

مصادر الرسوم لعناوين التصيد الاحتيالي الأولية البالغ عددها 87 هي كما يلي:

وفقا للمدرج التكراري لمصدر الرسوم ، فإن عناوين 2 لها رسوم من Tornado Cash ، و 79 عنوانا لها تحويلات من عناوين شخصية ، والعناوين ال 6 المتبقية لم تقبل الأموال.

تتبع المثال النموذجي

في 8 فبراير ، العنوان المخترق الذي خسر أكثر من 1,200,000 دولار:

0x69420e2b4ef22d935a4e2c194bbf3a2f02f27be1 الوصول إلى عنوان الضحية عن طريق التصيد الاحتيالي ونقل 1,244,107.0493 USDC إليه

0x9cdce76c8d7962741b9f42bcea47b723c593efff ، بعد استبدال USDC ب ETH من خلال MetaMask Swap ، يتم تحويل جزء من ETH إلى Tornado Cash ، ويتم تحويل الأموال المتبقية إلى عنوان التصيد الاحتيالي المستخدم مسبقا.

تحليل صورة عصابة

أخيرا ، بفضل ScamSniffer و NFTScan لدعم البيانات الخاصة بهم.

ملخص

تستكشف هذه الورقة بشكل أساسي طريقة تصيد NFT شائعة نسبيا ، وتكتشف مجموعة محطات التصيد الاحتيالي NFT واسعة النطاق التي تنظمها Monkey Drainer ، وتستخرج بعض خصائص التصيد الاحتيالي لمنظمة Monkey Drainer. مع استمرار Web3 في الابتكار ، كذلك تفعل طرق استهداف التصيد الاحتيالي ل Web3.

بالنسبة للمستخدمين ، من الضروري فهم مخاطر العنوان المستهدف مقدما قبل إجراء عمليات على السلسلة ، مثل إدخال العنوان المستهدف في MistTrack وعرض درجة المخاطر والتسميات الضارة ، والتي يمكن أن تتجنب الوقوع في حالة فقدان الأموال إلى حد ما.

بالنسبة لفريق مشروع المحفظة ، أولا وقبل كل شيء ، من الضروري إجراء تدقيق أمني شامل ، مع التركيز على تحسين الجزء الأمني من تفاعل المستخدم ، وتعزيز آلية WYSIWYG ، وتقليل مخاطر تعرض المستخدمين للتصيد ، مثل:

تنبيهات مواقع التصيد الاحتيالي: اجمع جميع أنواع مواقع التصيد الاحتيالي من خلال قوة البيئة أو المجتمع ، وقدم تذكيرات وتحذيرات لافتة للنظر من المخاطر عندما يتفاعل المستخدمون مع مواقع التصيد الاحتيالي هذه.

تحديد التوقيعات والتذكير بها: تحديد وتذكير طلبات التوقيعات مثل eth_sign و personal_sign و signTypedData ، وتسليط الضوء على مخاطر التوقيع الأعمى على eth_sign.

ما تراه هو ما توقعه: يمكن للمحفظة إجراء آلية تحليل مفصلة لمكالمات العقد لتجنب الموافقة على التصيد الاحتيالي والسماح للمستخدمين بمعرفة تفاصيل إنشاء معاملة DApp.

آلية ما قبل التنفيذ: يمكن أن تساعد آلية ما قبل التنفيذ المستخدمين على فهم تأثير المعاملة بعد تنفيذ البث ، ومساعدة المستخدم على التنبؤ بتنفيذ المعاملة.

تذكير احتيال بنفس رقم الذيل: عند عرض العنوان ، يتم تذكير المستخدم بالتحقق من العنوان المستهدف الكامل لتجنب الاحتيال بنفس رقم الذيل. تسمح آلية القائمة البيضاء للمستخدمين بإضافة عناوين شائعة الاستخدام إلى القائمة البيضاء لتجنب الهجمات التي تحمل نفس رقم الذيل.

تذكير الامتثال لمكافحة غسل الأموال: عند تحويل الأموال ، تذكر آلية مكافحة غسل الأموال المستخدمين بما إذا كان عنوان وجهة التحويل سيؤدي إلى تشغيل قواعد مكافحة غسل الأموال.