Monkey Drainer, un gang de bandits de plusieurs millions de dollars : techniques de pêche, traque de l’argent et portraits d’équipe

Original : « Slow Mist : « Démêler » le mystère du gang de plusieurs millions de dollars Monkey Drainer

Auteur : Équipe de sécurité de Slowmist

Contexte de l’événement

Le 8 février 2023, SlowMist a reçu des renseignements de sécurité de son partenaire ScamSniffer indiquant qu’une victime avait perdu plus de 1 200 000 $ en USDC en raison d’une adresse de phishing de longue date.

• Adresse du pirate : 0x69420e2b4ef22d935a4e2c194bbf3a2f02f27be1 ;
• Adresse de profit : 0x9cdce76c8d7962741b9f42bcea47b723c593efff.

()

Le 24 décembre 2022, SlowMist Technology a divulgué pour la première fois au monde l’« analyse d’hameçonnage NFT à grande échelle de l’APT nord-coréenne », et cet incident de phishing est lié à un autre gang de phishing NFT que nous suivons, Monkey Drainer. En raison de certaines exigences de confidentialité, cet article n’analyse qu’une partie du matériel d’hameçonnage et des adresses de portefeuille d’hameçonnage du gang.

Analyse de l’hameçonnage

Après analyse, nous avons constaté que la principale méthode d’hameçonnage consiste à publier de faux sites d’appâts liés aux NFT avec des monnaies malveillantes via de faux comptes Twitter d’influenceurs, des groupes Discord, etc., qui sont vendus sur des plateformes telles que OpenSea, X2Y2 et Rarible. L’organisation Monkey Drainer a ciblé plus de 2 000 domaines de phishing pour les utilisateurs de crypto-monnaies et de NFT.

Une recherche d’informations sur l’enregistrement de ces domaines a révélé que la date d’enregistrement remonte à 4 mois :

Initialement, le groupe Monkey Drainer faisait la promotion de l’hameçonnage par le biais de faux comptes Twitter :

Dans le même temps, le premier phishing dans le sens des NFT a commencé à apparaître : mechaapesnft[.] art:

Jetons un coup d’œil à deux caractéristiques corrélationnelles spécifiques :

La trace est ensuite associée à une combinaison d’entités :

Après tri, nous avons suivi plus de 2 000 NFT phishing et autres URL présentant les mêmes caractéristiques de 2022 à aujourd’hui.

Nous avons utilisé ZoomEye pour effectuer une recherche globale afin de voir combien de sites de phishing étaient en cours d’exécution et déployés en même temps :

Parmi eux, les sites les plus récents ont ceux déguisés en airdrops d’Arbitrum :

**Contrairement au groupe de piratage nord-coréen, l’organisation de phishing Monkey Drainer ne dispose pas d’un site Web spécial pour chaque site afin de compter les enregistrements d’accès des victimes, mais utilise un moyen simple et rudimentaire de pêcher et de déployer directement par lots, nous supposons donc que l’organisation de phishing Monkey Drainer utilise un modèle de phishing pour se déployer automatiquement par lots. **

Nous avons continué à suivre la chaîne d’approvisionnement et avons constaté que la chaîne d’approvisionnement utilisée par l’organisation d’hameçonnage NFT Monkey Drainer est un modèle fourni par la chaîne grise existante de l’industrie, comme la description des ventes publicitaires :

Fonctionnalités de la prise en charge de la chaîne d’approvisionnement par hameçonnage :

À en juger par l’introduction, le prix est favorable et les fonctions sont parfaites. En raison du manque d’espace, je n’entrerai pas dans les détails ici.

Analyse des techniques d’hameçonnage

Combiné avec le précédent « NFT zero-yuan purchase phishing » publié par Slowfog, nous avons analysé le code de base de cet événement de phishing.

L’analyse a révélé que le code de base utilisait l’obscurcissement pour inciter les victimes à signer Seaport, Permit, etc., et en même temps utilisait le mécanisme de signature d’autorisation hors ligne de Permit usdc, etc., pour mettre à niveau le mécanisme d’hameçonnage d’origine.

Trouvez un site au hasard à tester et il apparaîtra comme un hameçonnage « SecurityUpdate » :

Regardez ensuite la visualisation des données :

Soit dit en passant, le portefeuille plugin Rabby fait un bon travail de visualisation et de lisibilité. D’autres analyses ne seront pas répétées.

Vue aérienne sur la chaîne

Sur la base de l’analyse des plus de 2 000 URL d’hameçonnage ci-dessus et de la base de données d’adresses malveillantes Slowmist AML associée, nous avons analysé un total de 1 708 adresses malveillantes liées au gang de phishing Monkey Drainer NFT, dont 87 adresses étaient des adresses de phishing initiales. Les adresses malveillantes pertinentes ont été saisies dans la plate-forme MistTrack () et dans la base de données d’adresses malveillantes SlowMist AML ().

En utilisant les 1708 adresses malveillantes associées à l’ensemble de données d’analyse on-chain, nous pouvons tirer les conclusions suivantes du gang de phishing :

• Exemples d’offres d’hameçonnage :

• Période : la date d’activité la plus ancienne pour l’ensemble d’adresses on-chain est le 19 août 2022, et il est toujours actif dans un avenir proche.

• Taille des bénéfices : Environ 12,972 millions de dollars de bénéfices totaux provenant de l’hameçonnage. Parmi eux, le nombre de NFT de phishing était de 7 059, avec un bénéfice de 4 695,91 ETH, soit environ 7,61 millions de dollars, soit 58,66 % des fonds obtenus ; ERC20 Token a réalisé un bénéfice d’environ 5,362 millions de dollars, représentant 41,34 % des fonds obtenus, dont les principaux types de tokens ERC20 rentables sont USDC, USDT, LINK, ENS et stETH. (Remarque : les prix de l’ETH sont basés sur le 09/02/2023, source de données CryptoCompare.) ）

Les détails du jeton Take Profit ERC20 sont les suivants :

(Tableau des détails du jeton Profit ERC20 pour les adresses de gangs de phishing)

Analyse de traçabilité

L’équipe MistTrack de SlowMist a effectué une analyse de traçabilité on-chain de l’ensemble d’adresses malveillantes, et le flux de fonds a été le suivant :

Selon le graphique de Sanky, nous avons retracé un total de 3876,06 ETH des fonds rentables transférés à des adresses physiques, dont 2452,3 ETH ont été déposés sur Tornado Cash, et le reste a été transféré vers certaines bourses.

Les sources de frais pour les 87 adresses d’hameçonnage initiales sont les suivantes :

Selon l’histogramme de la source des frais, 2 adresses ont des frais de Tornado Cash, 79 adresses ont des transferts d’adresses personnelles et les 6 adresses restantes n’ont pas accepté de fonds.

Exemple typique de suivi

Le 8 février, l’adresse piratée qui a perdu plus de 1 200 000 $ :

0x69420e2b4ef22d935a4e2c194bbf3a2f02f27be1 Accédez à l’adresse de la victime par hameçonnage et transférez-y 1 244 107,0493 USDC

0x9cdce76c8d7962741b9f42bcea47b723c593efff, une fois que l’USDC est échangé contre de l’ETH via MetaMask Swap, une partie de l’ETH est transférée à Tornado Cash et les fonds restants sont transférés à l’adresse de phishing précédemment utilisée.

Analyse des portraits de gangs

Enfin, merci à ScamSniffer et NFTScan pour leur support de données.

Résumé

Cet article explore principalement une méthode d’hameçonnage NFT relativement courante, découvre le groupe de stations d’hameçonnage NFT à grande échelle organisé par Monkey Drainer et extrait certaines des caractéristiques d’hameçonnage de l’organisation Monkey Drainer. Alors que le Web3 continue d’innover, il en va de même pour les moyens de cibler le phishing Web3.

Pour les utilisateurs, il est nécessaire de comprendre le risque de l’adresse cible à l’avance avant d’effectuer des opérations on-chain, telles que la saisie de l’adresse cible dans MistTrack et l’affichage du score de risque et des étiquettes malveillantes, ce qui peut éviter de tomber dans la situation de perdre des fonds dans une certaine mesure.

Pour l’équipe du projet de portefeuille, il est tout d’abord nécessaire de mener un audit de sécurité complet, en se concentrant sur l’amélioration de la partie sécurité de l’interaction avec les utilisateurs, le renforcement du mécanisme WYSIWYG et la réduction du risque d’hameçonnage des utilisateurs, tels que :

Alertes de sites Web d’hameçonnage : rassemblez toutes sortes de sites Web d’hameçonnage grâce à la puissance de l’écologie ou de la communauté, et fournissez des rappels et des avertissements accrocheurs sur les risques lorsque les utilisateurs interagissent avec ces sites Web d’hameçonnage.

Identification et rappel des signatures : identifiez et rappelez les demandes de signatures telles que eth_sign, personal_sign et signTypedData, et mettez en évidence les risques liés à la signature aveugle d’eth_sign.

Ce que vous voyez est ce que vous signez : le portefeuille peut effectuer un mécanisme d’analyse détaillé pour les appels de contrat afin d’éviter l’hameçonnage et d’informer les utilisateurs des détails de la construction de la transaction DApp.

Mécanisme de pré-exécution : le mécanisme de pré-exécution peut aider les utilisateurs à comprendre l’effet de la transaction après l’exécution de la diffusion et à prédire l’exécution de la transaction.

Rappel d’escroquerie avec le même numéro de queue : lors de l’affichage de l’adresse, il est rappelé à l’utilisateur de vérifier l’adresse cible complète pour éviter la fraude avec le même numéro de queue. Le mécanisme de liste blanche permet aux utilisateurs d’ajouter des adresses couramment utilisées à la liste blanche afin d’éviter les attaques avec le même numéro de queue.

Rappel de conformité en matière de lutte contre le blanchiment d’argent : lors du transfert d’argent, le mécanisme de lutte contre le blanchiment d’argent rappelle aux utilisateurs si l’adresse de destination du transfert déclenchera les règles de lutte contre le blanchiment d’argent.