Monkey Drainer, geng bandit bernilai jutaan dolar: teknik memancing, pelacakan uang, dan potret tim

Asli: "Slow Mist: “Mengungkap” misteri geng multi-juta dolar Monkey Drainer

Penulis: Tim Keamanan Slowmist

Latar Belakang Acara

Pada 8 Februari 2023, SlowMist menerima intelijen keamanan dari mitranya ScamSniffer bahwa seorang korban telah kehilangan lebih dari $1,200,000 dalam USDC karena alamat phishing yang sudah lama ada.

• Alamat peretas: 0x69420e2b4ef22d935a4e2c194bbf3a2f02f27be1;
• Alamat keuntungan: 0x9cdce76c8d7962741b9f42bcea47b723c593efff.

()

Pada 24 Desember 2022, SlowMist Technology mengungkapkan “Analisis Phishing NFT Skala Besar APT Korea Utara” untuk pertama kalinya secara global, dan insiden phishing ini terkait dengan geng phishing NFT lain yang kami lacak, Monkey Drainer. Karena beberapa persyaratan kerahasiaan, artikel ini hanya menganalisis beberapa materi phishing geng dan alamat dompet phishing.

Analisis phishing

Setelah analisis, kami menemukan bahwa metode phishing utama adalah memposting situs umpan terkait NFT palsu dengan mint berbahaya melalui akun Twitter influencer palsu, grup Discord, dll., yang dijual di platform seperti OpenSea, X2Y2, dan Rarible. Organisasi Monkey Drainer menargetkan lebih dari 2.000 domain dalam phishing untuk pengguna Crypto dan NFT.

Pencarian informasi tentang pendaftaran domain ini mengungkapkan bahwa tanggal pendaftaran tanggal kembali ke 4 bulan yang lalu:

Awalnya, grup Monkey Drainer mempromosikan phishing melalui akun Twitter palsu:

Pada saat yang sama, phishing pertama ke arah NFT mulai muncul: mechaapesnft[.] seni:

Mari kita lihat dua karakteristik korelasional spesifik:

Jejak kemudian dikaitkan dengan kombinasi fitur:

Setelah menyortir, kami melacak lebih dari 2.000 phishing NFT dan URL lain dengan karakteristik yang sama dari tahun 2022 hingga saat ini.

Kami menggunakan ZoomEye untuk melakukan pencarian global untuk melihat berapa banyak situs phishing yang berjalan dan digunakan secara bersamaan:

Di antara mereka, situs terbaru memiliki yang menyamar sebagai airdrop Arbitrum:

**Tidak seperti grup peretasan Korea Utara, organisasi phishing Monkey Drainer tidak memiliki situs web khusus untuk setiap situs untuk menghitung catatan akses korban, tetapi menggunakan cara sederhana dan kasar untuk langsung memancing dan menyebarkan dalam batch, jadi kami menduga bahwa organisasi phishing Monkey Drainer menggunakan template phishing untuk menyebarkan secara otomatis dalam batch. **

Kami terus melacak rantai pasokan dan menemukan bahwa rantai pasokan yang digunakan oleh organisasi phishing NFT Monkey Drainer adalah template yang disediakan oleh rantai industri abu-abu yang ada, seperti deskripsi penjualan iklan:

Fitur Dukungan Rantai Pasokan Phishing:

Dilihat dari pendahuluannya, harganya menguntungkan dan fungsinya sempurna. Karena keterbatasan ruang, saya tidak akan menjelaskan secara rinci di sini.

Analisis Teknik Phishing

Dikombinasikan dengan “phishing pembelian nol-yuan NFT” sebelumnya yang dirilis oleh Slowfog, kami menganalisis kode inti dari peristiwa phishing ini.

Analisis menemukan bahwa kode inti menggunakan kebingungan untuk membujuk korban menandatangani Pelabuhan, Izin, dll., Dan pada saat yang sama menggunakan mekanisme tanda tangan otorisasi offline dari Izin usdc, dll., Untuk meningkatkan mekanisme phishing asli.

Temukan situs acak untuk diuji dan situs tersebut akan muncul sebagai phishing “SecurityUpdate”:

Kemudian lihat visualisasi data:

Omong-omong, dompet plugin Rabby melakukan pekerjaan yang baik dalam memvisualisasikan dan membuatnya dapat dibaca. Analisis lebih lanjut tidak akan terulang.

Tampilan udara on-chain

Berdasarkan analisis lebih dari 2,000 URL phishing di atas dan basis data alamat berbahaya Slowmist AML terkait, kami menganalisis total 1,708 alamat berbahaya yang terkait dengan geng phishing NFT Monkey Dracker, di mana 87 alamat di antaranya adalah alamat phishing awal. Alamat berbahaya yang relevan telah dimasukkan ke dalam platform MistTrack () dan database alamat berbahaya SlowMist AML ().

Dengan menggunakan 1708 alamat berbahaya yang terkait dengan himpunan data analisis on-chain, kita bisa mendapatkan kesimpulan berikut dari geng phishing:

• Contoh Penawaran Phishing:

• Jangka waktu: Tanggal aktif paling awal untuk kumpulan alamat on-chain adalah 19 Agustus 2022, dan masih aktif dalam waktu dekat.

• Ukuran keuntungan: Sekitar $ 12,972 juta total keuntungan dari phishing. Diantaranya, jumlah NFT phishing adalah 7.059, dengan keuntungan 4.695,91 ETH atau sekitar $7,61 juta, terhitung 58,66% dari dana yang diperoleh; Token ERC20 menghasilkan keuntungan sekitar $ 5,362 juta, terhitung 41,34% dari dana yang diperoleh, di mana jenis Token ERC20 utama yang menguntungkan adalah USDC, USDT, LINK, ENS, dan stETH. (Catatan: Harga ETH didasarkan pada 2023/02/09, sumber data CryptoCompare.) ）

Take Profit Detail Token ERC20 adalah sebagai berikut:

(Tabel detail Token ERC20 Profit untuk alamat geng phishing)

Analisis keterlacakan

Tim MistTrack dari SlowMist melakukan analisis keterlacakan on-chain dari kumpulan alamat berbahaya, dan aliran dana adalah sebagai berikut:

Menurut grafik Sanky, kami melacak total 3876,06 ETH dari dana menguntungkan yang ditransfer ke alamat fisik, di mana 2452,3 ETH disetorkan ke Tornado Cash, dan sisanya ditransfer ke beberapa bursa.

Sumber biaya untuk 87 alamat phishing awal adalah sebagai berikut:

Menurut histogram sumber biaya, 2 alamat memiliki biaya dari Tornado Cash, 79 alamat memiliki transfer dari alamat pribadi, dan 6 alamat sisanya belum menerima dana.

Contoh pelacakan tipikal

Pada 8 Februari, alamat yang diretas yang kehilangan lebih dari $ 1.200.000:

0x69420e2b4ef22d935a4e2c194bbf3a2f02f27be1 Dapatkan akses ke alamat korban melalui phishing dan transfer 1.244.107,0493 USDC ke alamat tersebut

0x9cdce76c8d7962741b9f42bcea47b723c593efff, setelah USDC ditukar dengan ETH melalui MetaMask Swap, sebagian ETH ditransfer ke Tornado Cash, dan sisa dana ditransfer ke alamat phishing yang digunakan sebelumnya.

Analisis Potret Geng

Akhirnya, terima kasih kepada ScamSniffer dan NFTScan atas dukungan data mereka.

Ringkasan

Makalah ini terutama mengeksplorasi metode phishing NFT yang relatif umum, menemukan grup stasiun phishing NFT skala besar yang diselenggarakan oleh Monkey Drainer, dan mengekstrak beberapa karakteristik phishing dari organisasi Monkey Drainer. Karena Web3 terus berinovasi, begitu juga cara untuk menargetkan phishing Web3.

Untuk pengguna, perlu memahami risiko alamat target terlebih dahulu sebelum melakukan operasi on-chain, seperti memasukkan alamat target di MistTrack dan melihat skor risiko dan label berbahaya, yang dapat menghindari jatuh ke dalam situasi kehilangan dana sampai batas tertentu.

Untuk tim proyek dompet, pertama-tama, perlu untuk melakukan audit keamanan yang komprehensif, dengan fokus pada peningkatan bagian keamanan dari interaksi pengguna, memperkuat mekanisme WYSIWYG, dan mengurangi risiko pengguna terkena phishing, seperti:

Peringatan situs web phishing: Kumpulkan semua jenis situs web phishing melalui kekuatan ekologi atau komunitas, dan berikan pengingat dan peringatan yang menarik tentang risiko saat pengguna berinteraksi dengan situs web phishing ini.

Identifikasi dan pengingat tanda tangan: Identifikasi dan ingatkan permintaan tanda tangan seperti eth_sign, personal_sign, dan signTypedData, dan sorot risiko penandatanganan buta eth_sign.

Apa yang Anda lihat adalah apa yang Anda tandatangani: Dompet dapat melakukan mekanisme penguraian terperinci untuk panggilan kontrak untuk menghindari Setujui phishing dan beri tahu pengguna detail konstruksi transaksi DApp.

Mekanisme pra-eksekusi: Mekanisme pra-eksekusi dapat membantu pengguna memahami efek transaksi setelah eksekusi siaran, dan membantu pengguna memprediksi eksekusi transaksi.

Pengingat penipuan dengan nomor ekor yang sama: Saat menampilkan alamat, pengguna diingatkan untuk memeriksa alamat target lengkap untuk menghindari penipuan dengan nomor ekor yang sama. Mekanisme daftar putih memungkinkan pengguna untuk menambahkan alamat yang umum digunakan ke daftar putih untuk menghindari serangan dengan nomor ekor yang sama.

Pengingat Kepatuhan AML: Saat mentransfer uang, mekanisme AML mengingatkan pengguna apakah alamat tujuan transfer akan memicu aturan AML.