Monkey Drainer, một băng cướp trị giá hàng triệu đô la: kỹ thuật câu cá, theo dõi tiền và chân dung đội

Bản gốc: "Slow Mist: “Unraveling” bí ẩn của băng đảng trị giá hàng triệu đô la Monkey Drainer

Tác giả: Slowmist Security Team

Bối cảnh sự kiện

Vào ngày 8 tháng 2 năm 2023, SlowMist nhận được thông tin tình báo bảo mật từ đối tác ScamSniffer rằng một nạn nhân đã mất hơn 1.200.000 đô la USDC do một địa chỉ lừa đảo lâu đời.

• Địa chỉ hacker: 0x69420e2b4ef22d935a4e2c194bbf3a2f02f27be1;
• Địa chỉ lợi nhuận: 0x9cdce76c8d7962741b9f42bcea47b723c593efff.

()

Vào ngày 24 tháng 12 năm 2022, SlowMist Technology lần đầu tiên tiết lộ “Phân tích lừa đảo NFT quy mô lớn APT của Triều Tiên” trên toàn cầu và sự cố lừa đảo này có liên quan đến một băng lừa đảo NFT khác mà chúng tôi theo dõi, Monkey Drainer. Do một số yêu cầu về bảo mật, bài viết này chỉ phân tích một số tài liệu lừa đảo và địa chỉ ví lừa đảo của băng đảng.

Phân tích lừa đảo

Sau khi phân tích, chúng tôi nhận thấy rằng phương pháp lừa đảo chính là đăng các trang web mồi nhử giả mạo liên quan đến NFT với các loại bạc hà độc hại thông qua các tài khoản Twitter có ảnh hưởng giả mạo, các nhóm Discord, v.v., được bán trên các nền tảng như OpenSea, X2Y2 và Rarible. Tổ chức Monkey Drainer đã nhắm mục tiêu hơn 2.000 tên miền lừa đảo cho người dùng Crypto và NFT.

Tìm kiếm thông tin về việc đăng ký các tên miền này cho thấy ngày đăng ký có từ 4 tháng trước:

Ban đầu, nhóm Monkey Drainer quảng bá lừa đảo thông qua các tài khoản Twitter giả mạo:

Đồng thời, trò lừa đảo đầu tiên theo hướng NFT bắt đầu xuất hiện: mechaapesnft [.] thuật:

Chúng ta hãy xem xét hai đặc điểm tương quan cụ thể:

Dấu vết sau đó được liên kết với sự kết hợp của các tính năng:

Sau khi sắp xếp, chúng tôi đã theo dõi hơn 2.000 lừa đảo NFT và các URL khác có cùng đặc điểm từ năm 2022 đến nay.

Chúng tôi đã sử dụng ZoomEye để tiến hành tìm kiếm toàn cầu để xem có bao nhiêu trang web lừa đảo đang chạy và triển khai cùng một lúc:

Trong số đó, các trang web mới nhất có những trang được ngụy trang dưới dạng airdrop Arbitrum:

**Không giống như nhóm hack Bắc Triều Tiên, tổ chức lừa đảo Monkey Drainer không có trang web đặc biệt cho mỗi trang web để đếm hồ sơ truy cập nạn nhân, nhưng sử dụng một cách đơn giản và thô sơ để trực tiếp câu cá và triển khai theo lô, vì vậy chúng tôi đoán rằng tổ chức lừa đảo Monkey Drainer sử dụng mẫu lừa đảo để triển khai tự động theo lô. **

Chúng tôi tiếp tục theo dõi chuỗi cung ứng và nhận thấy rằng chuỗi cung ứng được sử dụng bởi tổ chức lừa đảo NFT Monkey Drainer là một mẫu được cung cấp bởi chuỗi ngành công nghiệp xám hiện có, chẳng hạn như mô tả bán hàng quảng cáo:

Các tính năng hỗ trợ chuỗi cung ứng lừa đảo:

Đánh giá từ phần giới thiệu, giá cả thuận lợi và các chức năng là hoàn hảo. Do hạn chế về không gian, tôi sẽ không đi vào chi tiết ở đây.

Phân tích các kỹ thuật lừa đảo

Kết hợp với “lừa đảo mua hàng bằng đồng nhân dân tệ NFT” trước đó do Slowfog phát hành, chúng tôi đã phân tích mã cốt lõi của sự kiện lừa đảo này.

Phân tích cho thấy mã lõi đã sử dụng sự xáo trộn để khiến nạn nhân ký Seaport, Permit, v.v., đồng thời sử dụng cơ chế chữ ký ủy quyền ngoại tuyến của Permit usdc, v.v., để nâng cấp cơ chế lừa đảo ban đầu.

Tìm một trang web ngẫu nhiên để kiểm tra và nó sẽ hiển thị dưới dạng lừa đảo “SecurityUpdate”:

Sau đó nhìn vào trực quan hóa dữ liệu:

Nhân tiện, ví plugin Rabby thực hiện tốt công việc trực quan hóa và làm cho nó có thể đọc được. Nhiều phân tích sẽ không được lặp lại.

Chế độ xem trên không trên chuỗi

Dựa trên phân tích hơn 2.000 URL lừa đảo ở trên và cơ sở dữ liệu địa chỉ độc hại Slowmist AML liên quan, chúng tôi đã phân tích tổng cộng 1.708 địa chỉ độc hại liên quan đến băng lừa đảo NFT Monkey Drainer, trong đó 87 địa chỉ là địa chỉ lừa đảo ban đầu. Các địa chỉ độc hại có liên quan đã được nhập vào nền tảng MistTrack () và cơ sở dữ liệu địa chỉ độc hại SlowMist AML ().

Sử dụng 1708 địa chỉ độc hại được liên kết với bộ dữ liệu phân tích trên chuỗi, chúng ta có thể nhận được kết luận sau từ băng đảng lừa đảo:

• Ví dụ về giao dịch lừa đảo:

• Khung thời gian: Ngày hoạt động sớm nhất cho bộ địa chỉ on-chain là ngày 19 tháng 8 năm 2022 và nó vẫn hoạt động trong tương lai gần.

• Quy mô lợi nhuận: Tổng lợi nhuận khoảng 12,972 triệu đô la từ lừa đảo. Trong số đó, số lượng NFT lừa đảo là 7.059, với lợi nhuận 4.695,91 ETH, tương đương khoảng 7,61 triệu USD, chiếm 58,66% số tiền thu được; Token ERC20 đã kiếm được lợi nhuận khoảng 5,362 triệu USD, chiếm 41,34% số tiền thu được, trong đó các loại Token ERC20 có lợi nhuận chính là USDC, USDT, LINK, ENS và stETH. (Lưu ý: Giá ETH dựa trên ngày 09/02/2023, nguồn dữ liệu CryptoCompare.) ）

Chi tiết Take Profit ERC20 Token như sau:

(Bảng chi tiết Token ERC20 lợi nhuận cho các địa chỉ băng đảng lừa đảo)

Phân tích truy xuất nguồn gốc

Nhóm MistTrack của SlowMist đã tiến hành phân tích truy xuất nguồn gốc trên chuỗi của bộ địa chỉ độc hại và dòng tiền như sau:

Theo biểu đồ Sanky, chúng tôi đã theo dõi tổng cộng 3876,06 ETH trong số các khoản tiền sinh lời được chuyển đến các địa chỉ thực, trong đó 2452,3 ETH được gửi vào Tornado Cash và phần còn lại được chuyển đến một số sàn giao dịch.

Các nguồn phí cho 87 địa chỉ lừa đảo ban đầu như sau:

Theo biểu đồ nguồn phí, 2 địa chỉ có phí từ Tornado Cash, 79 địa chỉ có chuyển khoản từ địa chỉ cá nhân và 6 địa chỉ còn lại chưa nhận tiền.

Theo dõi ví dụ điển hình

Vào ngày 8 tháng 2, địa chỉ bị hack đã mất hơn 1.200.000 đô la:

0x69420e2b4ef22d935a4e2c194bbf3a2f02f27be1 Có quyền truy cập vào địa chỉ của nạn nhân thông qua lừa đảo và chuyển 1.244.107,0493 USDC vào đó

0x9cdce76c8d7962741b9f42bcea47b723c593efff, sau khi USDC được đổi lấy ETH thông qua MetaMask Swap, một phần ETH được chuyển sang Tornado Cash và số tiền còn lại được chuyển đến địa chỉ lừa đảo đã sử dụng trước đó.

Phân tích chân dung băng đảng

Cuối cùng, cảm ơn ScamSniffer và NFTScan đã hỗ trợ dữ liệu của họ.

Tóm tắt

Bài viết này chủ yếu khám phá một phương pháp lừa đảo NFT tương đối phổ biến, phát hiện ra nhóm trạm lừa đảo NFT quy mô lớn do Monkey Drainer tổ chức và trích xuất một số đặc điểm lừa đảo của tổ chức Monkey Drainer. Khi Web3 tiếp tục đổi mới, các cách để nhắm mục tiêu lừa đảo Web3 cũng vậy.

Đối với người dùng, cần phải hiểu trước rủi ro của địa chỉ đích trước khi thực hiện các thao tác on-chain, chẳng hạn như nhập địa chỉ đích trong MistTrack và xem điểm rủi ro và nhãn độc hại, có thể tránh rơi vào tình trạng mất tiền ở một mức độ nhất định.

Đối với nhóm dự án ví, trước hết, cần tiến hành kiểm toán bảo mật toàn diện, tập trung vào việc cải thiện phần bảo mật trong tương tác người dùng, tăng cường cơ chế WYSIWYG và giảm nguy cơ người dùng bị lừa đảo, chẳng hạn như:

Cảnh báo trang web lừa đảo: Thu thập tất cả các loại trang web lừa đảo thông qua sức mạnh của hệ sinh thái hoặc cộng đồng và cung cấp lời nhắc và cảnh báo bắt mắt về rủi ro khi người dùng tương tác với các trang web lừa đảo này.

Xác định và nhắc nhở chữ ký: Xác định và nhắc nhở các yêu cầu chữ ký như eth_sign, personal_sign và signTypedData, đồng thời nêu bật những rủi ro của việc ký eth_sign một cách mù quáng.

Những gì bạn thấy là những gì bạn ký: Ví có thể thực hiện cơ chế phân tích cú pháp chi tiết cho các cuộc gọi hợp đồng để tránh Phê duyệt lừa đảo và cho người dùng biết chi tiết về việc xây dựng giao dịch DApp.

Cơ chế pre-execution: Cơ chế pre-execution có thể giúp người dùng hiểu được tác dụng của giao dịch sau khi thực hiện broadcast, đồng thời giúp người dùng dự đoán được việc thực hiện giao dịch.

Nhắc nhở lừa đảo có cùng số đuôi: Khi hiển thị địa chỉ, người dùng được nhắc nhở kiểm tra địa chỉ mục tiêu đầy đủ để tránh gian lận với cùng một số đuôi. Cơ chế danh sách trắng cho phép người dùng thêm các địa chỉ thường được sử dụng vào danh sách trắng để tránh các cuộc tấn công có cùng số đuôi.

Nhắc nhở tuân thủ AML: Khi chuyển tiền, cơ chế AML nhắc nhở người dùng liệu địa chỉ đích của chuyển khoản có kích hoạt các quy tắc AML hay không.