前言
小A最近收到了交易所活动的短信,于是小A在浏览器输入“xx钱包官方”,点进排在首位的链接,下载App-创建钱包-转入资产,一气呵成。没一会,小A收到了转账成功的通知,他钱包App里的余额——价值1000万美元的ERC20-USDT——都化为零了。小A后来才意识到,这个App是假的,自己下载到钓鱼App了。
慢雾于去年11月24日发布了关于假钱包黑产的分析报告——慢雾:假钱包App已致上万人被盗,损失高达十三亿美元,可想而知,随着时间流逝,直到今天的被盗损失会是多么令人惊讶。
分析
今天我们从大数据侧分析,到底有多少假钱包。
1、MetaMask是目前全球最大的浏览器插件钱包。2021年4月,MetaMask母公司?ConsenSys?表示,MetaMask钱包的月活用户量超过500万,在6个月内增长了5倍,而2020年MetaMask官方也曾宣布其较2019年的月活同比增长了4倍,用户量超8000万。
MetaMask如此海量的用户数自然是黑产的第一目标,我们来看看有多少冒牌MetaMask:
首先,通过专业的浏览器搜索:
查找结果显示有20,000+?的相关结果,其中98%的IP/域名都是虚假链接。
Google Play允许在应用商店里的App和游戏中集成NFT:金色财经报道,Google Play宣布了一项重大政策转变,允许开发者将NFT等数字资产集成至其应用商店的APP和游戏中。决定提供购买、出售或赚取代币化资产功能的公司将被要求在Play Console中明确表示该应用程序中存在基于区块链的元素。
Google Play的Group Product经理Joseph Mills在一篇博客文章中写道,这将使合作伙伴能够重新构想“带有用户所拥有内容的传统游戏”,并通过NFT奖励提高“用户忠诚度”。[2023/7/13 10:51:28]
进一步追踪,比如查找MetaMaskDownload:
一眼看去,都是钓鱼网站,而且熟悉安全的人应该都知道,888/HTTP、8888/HTTP这类端口和服务是宝塔系统的默认配置,而宝塔的简单易部署属性导致大量黑灰产使用。以上相关的IP/域名都是诱导用户访问、下载的虚假链接。
比特币与美元三十天相关性系数今日为-0.12:金色财经报道,据同伴客数据显示,6月19比特币与跨资产类别价格相关性系数情况如下:比特币与标普500 三十天天相关系数为0.17,一周累计上涨0.02。比特币和黄金三十天相关系数为0.14,一周累计上涨0.06。比特币和美元三十天相关系数为-0.12,一周累计上涨0.07。
备注:相关性系数值为正,表示正相关;值为负则为负相关。相关性系数值≤0.5表示低度相关;0.5~0.8表示显著相关;≥0.8表示高度相关。[2023/6/19 21:47:43]
我们再进一步来看点有意思的。
首先搜索:MetaMask授权管理
Synthetix创始人发文讨论SNX拆分并回购解决Token通胀问题的可行性:5月24日消息,Synthetix 创始人发文讨论 Token 经济学改进等协议提案。其中公开讨论了得到 Synthetix 财政委员会广泛支持的部分提案,包括:调整核心贡献者的奖励制度,确保实现基于绩效的公平分配;改善 SNX 质押流程以吸引更多新参与者加入生态;调整 SNX 质押奖励以保证激励的可持续性。此外,文章中还讨论将 SNX 3:1 拆分并通过财库收益进行回购以解决 Token 通胀问题的可行性。[2023/5/24 22:15:00]
这些全都是黑产管理后台相关域名,我们顺手把域名也一起梭,部分抓到的域名及相关解析时间展示如下:
Vue+PHP环境,部署方式如下:
2、imToken授权管理也是同样的方式:
“大空头”Michael?Burry:美国经济目前处于衰退之中:金色财经报道,“大空头”Michael?Burry表示,不管怎么看,美国经济目前都处于衰退之中。预计今年下半年CPI可能会下降,甚至可能为负值。目前通货膨胀已经达到顶峰,但还不是本轮周期的最后一个峰值。(金十)[2023/1/2 22:21:08]
TokenPocket授权管理:
钓鱼后台:
后台相关的服务产业链:
3、后台获取到相关的受害人信息后,攻击者通过提币API接口进行操作:
哈萨克斯坦交易所Intebix为未列入制裁名单的俄罗斯公民提供服务:10月20日消息,尽管西方最近对俄罗斯实施制裁,但一些加密货币交易所仍继续为俄罗斯公民提供服务,但也有某些限制条件。
哈萨克斯坦交易所Intebix联合创始人兼首席执行官Talgat Dossanov称,Intebix不仅限于哈萨克斯坦公民使用,其交易所愿意为来哈萨克斯坦的外国人提供服务。他强调,Intebix的加密交易只有欧亚银行(Eurasian Bank)等哈萨克斯坦银行的持卡人才能使用。
Dossanov指出,Intebix只支持经过验证的客户进行加密交易,而当地银行则仔细检查每个潜在客户是否受到制裁。Intebix欢迎未列入制裁名单的俄罗斯公民,但他们需要通过深入的合规检查,并在欧亚银行开立账户,才能执行加密货币到法定货币的交易。(Cointelegraph)[2022/10/20 16:32:30]
我们来看一下代码:
涉及到基础Web服务的JS、配置JS、转账JS。
再看这条:var_0xodo='jsjiami.com.v6',不得不说,黑灰产已经超过大多数正规Web站点,人家已经在实施JS全加密技术。
配置:
此处sc0vu/web3.php:"dev-master"是用于与以太坊和区块链生态系统交互的php接口系统。
分析后发现,攻击者获取到私钥等相关信息后,通过api.html调用,转移相关盗窃资产。此处不再赘述。
你以为这样就结束了?
你以为他们的目标只是伪造MetaMask、imToken、TokenPocket等钱包的钓鱼网站?
其实他们除了伪造市面上这些知名钱包外,他们还仿造并搭建了相关交易平台进行钓鱼,我们来看下:
比如这个IP下,我们发现除了钓鱼页面、后台,还有其他信息:
伪造的交易平台钓鱼站,而且还不止一个:
使用Laravel框架搭建的加密货币钓鱼平台:
使用ThinkPHP框架搭建的仿?FTX?平台钓鱼站点:
再来看下SaaS版直接在线售卖的钓鱼模版:
子平台支持大部分主流的钱包
针对加密货币、NFT?的钓鱼产业链已十分完备,专业SaaS服务,快速部署,立马上线。?
进一步侦查发现相关的后台管理系统,如下图是云桌面式的管理后台,用来控制交易平台相关信息:
分类清晰功能齐全,黑灰产的先进与专业度已经远超想象。
总结
本文主要是从技术手段分析了钱包的全景,钱包钓鱼网站层出不穷,制作成本非常低,已经形成流程化专业化的产业链,这些子通常直接使用一些工具去copy比较出名的钱包项目网站,诱用户输入私钥助记词或者是诱导用户去授权。建议大家在尝试下载或输入之前,务必验证正在使用网站的URL。同时,不要点击不明链接,尽量通过官方网页或者官方的媒体平台下载,避免被钓鱼。
来源:金色财经
标签:MASETAMETATAMMetaMask钱包官网GetartMeta DecentralandITAM Cube
6月10日OK上线新币MOVEZ,开盘至今最高50倍收益,目前也是稳定在33倍收益MoveZ带来了结合Web3技术的下一代健身,MoveZ提供独特的赚钱功能,鼓励全球用户拥抱更健康的生活方式.
1900/1/1 0:00:00最近有关WEB3的事件越来越多、越来越大,一篇《WEB3.0与中国无关》的文章上线两小时就火遍全网,然后消失;著名投资机构A16Z已投资超过90个WEB3项目.
1900/1/1 0:00:002022年6月19日下午,麻花在线上门洗车落户湖南新闻发布会在长沙市天心区鑫远白天鹅酒店隆重举行.
1900/1/1 0:00:00经历了36h提币风波后,AEX的运营逐步正在恢复正常。随着每日提币额度的不断提升,用户对平台的信心也逐步恢复.
1900/1/1 0:00:00最近,关于知名借贷平台Celsius资不抵债的传闻甚嚣尘上,Celsius及其他陷入危机的大机构抛售资产筹措资金引发了stETH价格的脱钩.
1900/1/1 0:00:00进入6月以来,加密货币市场的暴跌进一步确定了熊市的到来。但不同加密公司有着不同的应对之道,有的决定大举扩张,有的只能裁员收缩应对,正如老话所言:潮水退了才知道谁在裸泳。人无远虑,必有近忧.
1900/1/1 0:00:00