Monkey Drainer, багатомільйонна бандитська банда: техніка риболовлі, відстеження грошей та портрети команд

Оригінал: "Slow Mist: “Розгадка” таємниці багатомільйонної банди Monkey Drainer

Автор: Команда безпеки Slowmist

Передісторія події

8 лютого 2023 року SlowMist отримав інформацію про безпеку від свого партнера ScamSniffer про те, що жертва втратила понад 1 200 000 доларів США в USDC через давню фішингову адресу.

• Адреса хакера: 0x69420e2b4ef22d935a4e2c194bbf3a2f02f27be1;
• Адреса прибутку: 0x9cdce76c8d7962741b9f42bcea47b723c593efff.

()

24 грудня 2022 року SlowMist Technology вперше у світі оприлюднила «Північнокорейський APT великомасштабний фішинговий аналіз NFT», і цей фішинговий інцидент пов’язаний з іншою фішинговою бандою NFT, яку ми відстежуємо, Monkey Drainer. У зв’язку з деякими вимогами конфіденційності в цій статті аналізуються лише деякі фішингові матеріали банди та адреси фішингових гаманців.

Фішинговий аналіз

Після аналізу ми виявили, що основним методом фішингу є публікація фальшивих сайтів-приманок, пов’язаних з NFT, зі шкідливими монетними дворами через підроблені облікові записи інфлюенсерів у Twitter, групи Discord тощо, які продаються на таких платформах, як OpenSea, X2Y2 та Rarible. Організація Monkey Drainer націлилася на понад 2 000 доменів у фішингу для користувачів Crypto та NFT.

Пошук інформації про реєстрацію цих доменів показав, що дата реєстрації датується 4 місяцями тому:

Спочатку група Monkey Drainer пропагувала фішинг через фейкові облікові записи в Twitter:

Тоді ж почав з’являтися перший фішинг у напрямку NFT: mechaapesnft[.] мистецтво:

Розглянемо дві специфічні кореляційні характеристики:

Тоді слід асоціюється з поєднанням ознак:

Після сортування ми відстежили понад 2 000 NFT-фішингових та інших URL-адрес з однаковими характеристиками з 2022 року по теперішній час.

Ми використовували ZoomEye, щоб провести глобальний пошук, щоб побачити, скільки фішингових сайтів запущено та розгорнуто одночасно:

Серед них на останніх сайтах є ті, що маскуються під аірдропи Arbitrum:

**На відміну від північнокорейської хакерської групи, фішингова організація Monkey Drainer не має спеціального веб-сайту для кожного сайту для підрахунку записів доступу жертв, а використовує простий і грубий спосіб безпосереднього вилову та розгортання пакетами, тому ми припускаємо, що фішингова організація Monkey Drainer використовує фішинговий шаблон для автоматичного розгортання пакетами. **

Ми продовжили відстежувати ланцюжок поставок і виявили, що ланцюжок поставок, який використовується фішинговою організацією Monkey Drainer NFT, є шаблоном, наданим існуючим ланцюжком сірої індустрії, наприклад, опис продажу реклами:

Функції підтримки фішингового ланцюжка поставок:

Судячи зі вступу, ціна вигідна, а функції ідеальні. У зв’язку з обмеженням простору я не буду тут вдаватися в подробиці.

Аналіз методів фішингу

У поєднанні з попереднім фішингом купівлі NFT з нульовим юанем, випущеним Slowfog, ми проаналізували основний код цієї фішингової події.

Аналіз показав, що основний код використовував обфускацію, щоб спонукати жертв підписати Seaport, Permit тощо, і в той же час використовував механізм підпису автономної авторизації Permit usdc тощо для оновлення оригінального механізму фішингу.

Знайдіть випадковий сайт для тестування, і він відобразиться як фішинг “SecurityUpdate”:

Потім подивіться на візуалізацію даних:

До речі, гаманець плагіна Rabby добре справляється з візуалізацією і читабельністю. Подальший аналіз повторюватися не буде.

Вид з висоти пташиного польоту

Ґрунтуючись на аналізі вищезгаданих понад 2 000 фішингових URL-адрес і пов’язаної з ними бази даних шкідливих адрес Slowmist AML, ми проаналізували загалом 1 708 шкідливих адрес, пов’язаних із фішинговою бандою Monkey Drainer NFT, з яких 87 адрес були початковими фішинговими адресами. Відповідні шкідливі адреси були внесені в платформу MistTrack () і базу даних шкідливих адрес SlowMist AML ().

Використовуючи шкідливі адреси 1708, пов’язані з набором даних ончейн-аналізу, ми можемо отримати такі висновки від фішингової банди:

• Приклади фішингових угод:

• Часові рамки: найраніша активна дата набору адрес у мережі – 19 серпня 2022 року, і найближчим часом вона все ще активна.

• Розмір прибутку: приблизно 12,972 мільйона доларів США загального прибутку від фішингу. Серед них кількість фішингових NFT склала 7 059 з прибутком 4 695,91 ETH, або близько $7,61 млн, що становить 58,66% отриманих коштів; ERC20 Token отримав прибуток у розмірі близько $5,362 млн, що становить 41,34% від отриманих коштів, з яких основними прибутковими типами токенів ERC20 є USDC, USDT, LINK, ENS та stETH. (Примітка: ціни на ETH базуються на 09.02.2023, джерело даних CryptoCompare.) ）

Деталі токена Take Profit ERC20 такі:

(Таблиця відомостей про токен Profit ERC20 для адрес фішингових банд)

Аналіз простежуваності

Команда MistTrack з SlowMist провела ончейн-аналіз набору шкідливих адрес, і потік коштів був таким:

Згідно з графіком Sanky, ми відстежили загалом 3876,06 ETH прибуткових коштів, переведених на фізичні адреси, з яких 2452,3 ETH було внесено на Tornado Cash, а решта була переведена на деякі біржі.

Джерела комісій за 87 початкових фішингових адрес такі:

Згідно з гістограмою джерела комісій, 2 адреси мають комісію від Tornado Cash, 79 адрес мають перекази з особистих адрес, а решта 6 адрес не приймають кошти.

Типовий приклад відстеження

8 лютого зламана адреса, яка втратила понад $1 200 000:

0x69420e2b4ef22d935a4e2c194bbf3a2f02f27be1 Отримайте доступ до адреси жертви за допомогою фішингу та перекажіть на неї 1 244 107 0493 USDC

0x9cdce76c8d7962741b9f42bcea47b723c593efff, після обміну USDC на ETH через MetaMask Swap, частина ETH переводиться в Tornado Cash, а решта коштів переводиться на раніше використовувану фішингову адресу.

Аналіз портрета банди

Нарешті, дякуємо ScamSniffer та NFTScan за підтримку даних.

Підсумки

У цій статті в основному досліджується відносно поширений метод фішингу NFT, виявляється великомасштабна група фішингових станцій NFT, організована Monkey Drainer, і витягуються деякі фішингові характеристики організації Monkey Drainer. У міру того, як Web3 продовжує впроваджувати інновації, змінюються і способи боротьби з фішингом Web3.

Для користувачів необхідно заздалегідь розуміти ризик цільової адреси, перш ніж виконувати ончейн-операції, такі як введення цільової адреси в MistTrack і перегляд оцінки ризику та шкідливих міток, що може певною мірою уникнути потрапляння в ситуацію втрати коштів.

Для команди проєкту гаманця, перш за все, необхідно провести комплексний аудит безпеки, зосередившись на покращенні сек’юрітної частини взаємодії з користувачами, зміцненні механізму WYSIWYG та зниженні ризику фішингу користувачів, таких як:

Сповіщення про фішингові веб-сайти: збирайте всі види фішингових веб-сайтів за допомогою екології чи спільноти та надавайте привабливі нагадування та попередження про ризики, коли користувачі взаємодіють із цими фішинговими веб-сайтами.

Ідентифікація та нагадування про підписи: Визначте та нагадайте запити на підписи, такі як eth_sign, personal_sign та signTypedData, а також підкресліть ризики сліпого підписання eth_sign.

Те, що ви бачите, це те, що ви підписуєте: гаманець може виконувати детальний механізм парсингу для викликів контрактів, щоб уникнути фішингу та повідомити користувачам деталі побудови транзакції DApp.

Механізм попереднього виконання: Механізм попереднього виконання може допомогти користувачам зрозуміти ефект транзакції після виконання трансляції та допомогти користувачеві передбачити виконання транзакції.

Нагадування про шахрайство з тим самим бортовим номером: Під час відображення адреси користувачеві нагадують перевірити повну цільову адресу, щоб уникнути шахрайства з тим самим бортовим номером. Механізм білого списку дозволяє користувачам додавати часто використовувані адреси до білого списку, щоб уникнути атак з однаковим бортовим номером.

Нагадування про відповідність вимогам AML: Під час переказу грошей механізм AML нагадує користувачам, чи активує адреса призначення переказу правила AML.