Monkey Drainer, банда бандитов с многомиллионным оборотом: методы рыбалки, отслеживание денег и портреты команды

Оригинал: "Slow Mist: “Разгадка” тайны многомиллионной банды Monkey Drainer

Автор: Команда безопасности Slowmist

Предыстория события

8 февраля 2023 года SlowMist получил информацию о безопасности от своего партнера ScamSniffer о том, что жертва потеряла более 1 200 000 долларов в USDC из-за давнего фишингового адреса.

• Адрес хакера: 0x69420e2b4ef22d935a4e2c194bbf3a2f02f27be1;
• Адрес для получения прибыли: 0x9cdce76c8d7962741b9f42bcea47b723c593efff.

()

24 декабря 2022 года компания SlowMist Technology впервые в мире раскрыла «Крупномасштабный анализ фишинга NFT в Северной Корее», и этот фишинговый инцидент связан с другой фишинговой бандой NFT, которую мы отслеживаем, Monkey Drainer. Из-за некоторых требований конфиденциальности в этой статье анализируются только некоторые фишинговые материалы банды и адреса фишинговых кошельков.

Анализ фишинга

Проведя анализ, мы обнаружили, что основным методом фишинга является публикация поддельных сайтов-приманок, связанных с NFT, с вредоносными минтами через поддельные аккаунты влиятельных лиц в Twitter, группы Discord и т. д., которые продаются на таких платформах, как OpenSea, X2Y2 и Rarible. Организация Monkey Drainer нацелилась на более чем 2 000 доменов для фишинга пользователей криптовалют и NFT.

Поиск информации о регистрации этих доменов показал, что дата регистрации датируется 4 месяцами назад:

Изначально группа Monkey Drainer продвигала фишинг через фейковые аккаунты в Twitter:

В это же время начал появляться первый фишинг в направлении NFT: mechaapesnft[.] искусство:

Давайте рассмотрим две специфические корреляционные характеристики:

Затем трассировка связывается с комбинацией признаков:

После сортировки мы отследили более 2 000 NFT-фишинговых и других URL-адресов с теми же характеристиками с 2022 года по настоящее время.

Мы использовали ZoomEye для проведения глобального поиска, чтобы узнать, сколько фишинговых сайтов было запущено и развернуто одновременно:

Среди них есть и те, что замаскированы под аирдропы Arbitrum:

** В отличие от северокорейской хакерской группы, фишинговая организация Monkey Drainer не имеет специального веб-сайта для каждого сайта для подсчета записей о доступе жертв, но использует простой и грубый способ прямого ловли рыбы и развертывания в пакетах, поэтому мы предполагаем, что фишинговая организация Monkey Drainer использует фишинговый шаблон для автоматического развертывания в пакетах. **

Мы продолжили отслеживать цепочку поставок и обнаружили, что цепочка поставок, используемая фишинговой организацией Monkey Drainer NFT, представляет собой шаблон, предоставленный существующей серой отраслевой цепочкой, например, описание рекламных продаж:

Функции поддержки цепочки поставок фишинга:

Судя по вступлению, цена выгодная, а функции идеальные. Из-за ограниченного объема я не буду вдаваться в подробности.

Анализ фишинговых методов

В сочетании с предыдущим «фишингом покупки NFT в нулевом юане», выпущенным Slowfog, мы проанализировали основной код этого фишингового события.

Анализ показал, что основной код использовал обфускацию, чтобы побудить жертв подписать Seaport, Permit и т. д., и в то же время использовал механизм подписи автономной авторизации Permit usdc и т. д. для обновления оригинального механизма фишинга.

Найдите случайный сайт для тестирования, и он будет отображаться как фишинг “SecurityUpdate”:

Затем посмотрите на визуализацию данных:

Кстати, кошелек плагина Rabby хорошо справляется с визуализацией и читабельностью. Больше анализа повторить не буду.

Ончейн вид с воздуха

На основе анализа более 2 000 фишинговых URL-адресов и связанной с ними базы вредоносных адресов Slowmist AML мы проанализировали в общей сложности 1 708 вредоносных адресов, связанных с фишинговой бандой Monkey Drainer NFT, из которых 87 адресов были первоначальными фишинговыми адресами. Соответствующие вредоносные адреса были введены в платформу MistTrack () и базу вредоносных адресов SlowMist AML ().

Используя 1708 вредоносных адресов, связанных с набором данных ончейн-анализа, мы можем получить следующие выводы от фишинговой банды:

• Примеры фишинговых сделок:

• Сроки: Самая ранняя активная дата для набора ончейн-адресов — 19 августа 2022 года, и он все еще активен в ближайшем будущем.

• Размер прибыли: Около 12,972 миллиона долларов общей прибыли от фишинга. Среди них количество фишинговых NFT составило 7 059, прибыль составила 4 695,91 ETH, или около $7,61 млн, что составляет 58,66% от полученных средств; Токен ERC20 принес прибыль в размере около $5,362 млн, что составляет 41,34% от полученных средств, из которых основными прибыльными типами токенов ERC20 являются USDC, USDT, LINK, ENS и stETH. (Примечание: цены на ETH основаны на 09.02.2023, источник данных CryptoCompare.) ）

Детали тейк-профита токена ERC20 следующие:

(Таблица сведений о токене Profit ERC20 для адресов фишинговых группировок)

Анализ прослеживаемости

Команда MistTrack компании SlowMist провела ончейн-анализ отслеживаемости набора вредоносных адресов, и поток средств выглядел следующим образом:

По графику Sanky мы отследили в общей сложности 3876,06 ETH прибыльных средств, переведенных на физические адреса, из которых 2452,3 ETH было внесено в Tornado Cash, а остальное было переведено на некоторые биржи.

Источники сборов за 87 первоначальных фишинговых адресов следующие:

Согласно гистограмме источника комиссий, 2 адреса имеют комиссии от Tornado Cash, 79 адресов имеют переводы с личных адресов, а остальные 6 адресов не принимали средства.

Типичный пример отслеживания

8 февраля взломанный адрес, потерявший более $1 200 000:

0x69420e2b4ef22d935a4e2c194bbf3a2f02f27be1 Получить доступ к адресу жертвы с помощью фишинга и перевести на него 1 244 107,0493 USDC

0x9cdce76c8d7962741b9f42bcea47b723c593efff, после обмена USDC на ETH через MetaMask Swap часть ETH переводится на Tornado Cash, а оставшиеся средства переводятся на ранее использованный фишинговый адрес.

Анализ портрета банды

Наконец, спасибо ScamSniffer и NFTScan за поддержку данных.

Резюме

В этой статье в основном исследуется относительно распространенный метод фишинга NFT, обнаруживается крупномасштабная группа фишинговых станций NFT, организованная Monkey Drainer, и извлекаются некоторые фишинговые характеристики организации Monkey Drainer. По мере того, как Web3 продолжает внедрять инновации, меняются и способы борьбы с фишингом Web3.

Пользователям необходимо заранее понимать риск целевого адреса перед выполнением ончейн-операций, таких как ввод целевого адреса в MistTrack и просмотр оценки риска и вредоносных меток, что позволяет избежать попадания в ситуацию потери средств в определенной степени.

Для команды проекта кошелька, в первую очередь, необходимо провести комплексный аудит безопасности, сосредоточившись на улучшении защищенной части взаимодействия пользователей, усилении механизма WYSIWYG и снижении риска фишинга пользователей, таких как:

Оповещения о фишинговых веб-сайтах: собирайте все виды фишинговых веб-сайтов с помощью экологии или сообщества и предоставляйте привлекательные напоминания и предупреждения о рисках, когда пользователи взаимодействуют с этими фишинговыми веб-сайтами.

Идентификация и напоминание о подписях: Определите и напомните запросы на подписи, такие как eth_sign, personal_sign и signTypedData, а также выделите риски слепой подписи eth_sign.

Что вы видите, то и подписываете: кошелек может выполнять подробный механизм разбора вызовов контрактов, чтобы избежать фишинга с подтверждением и сообщить пользователям подробности построения транзакции DApp.

Механизм предварительного выполнения: Механизм предварительного выполнения может помочь пользователям понять эффект транзакции после выполнения широковещательной передачи, а также помочь пользователю спрогнозировать выполнение транзакции.

Напоминание о мошенничестве с тем же хвостовым номером: При отображении адреса пользователю напоминают о необходимости проверить полный целевой адрес, чтобы избежать мошенничества с тем же хвостовым номером. Механизм белых списков позволяет пользователям добавлять часто используемые адреса в белый список, чтобы избежать атак с одним и тем же бортовым номером.

Напоминание о соблюдении требований AML: При переводе денег механизм AML напоминает пользователям, будет ли адрес назначения перевода активировать правила AML.