bối cảnh sự kiện
bối cảnh sự kiện
tiêu đề cấp đầu tiên
(https://twitter.com/0xLosingMoney/status/1529401916849291264)
thu thập thông tin liên quan
Nhóm bảo mật SlowMist đã nhận được thông tin tình báo có liên quan và tiến hành phân tích Shuoyuan về vụ trộm.
Mô tả hình ảnh
(https://twitter.com/just1n_eth/status/1523896505446191104)
Dưới bình luận trên Twitter, người dùng @jbe61 nói rằng anh ta đã gặp cùng một người và đưa ra ảnh chụp màn hình cuộc trò chuyện:
Mô tả hình ảnh
(https://twitter.com/0xLosingMoney/status/1529401927590907904)
tiêu đề cấp đầu tiên
➼0xe8250Bb4eFa6D9d032f7d46393CEaE18168A6B0D
➼0x8e73fe4d5839c60847066b67ea657a67f42a0adf
➼0x6035B92fd5102b6113fE90247763e0ac22bfEF63
➼0xBf41EFdD1b815556c2416DcF427f2e896142aa53
➼0x29C80c2690F91A47803445c5922e76597D1DD2B6
Phân tích địa chỉ liên quan
Vì toàn bộ hành vi trộm cắp đề cập đến trang web lừa đảo p2peers.io, hãy bắt đầu từ đó. Trang web p2peers này được đăng ký với một công ty tên miền Phần Lan đã bị tạm ngưng và cuối cùng chúng tôi đã tìm thấy thông tin trên trang chủ của trang web trong ảnh chụp nhanh trang web của Google.
Theo ảnh chụp nhanh của trang web, có thể tìm thấy mã giao diện người dùng của https://p2peers.io/ và mã JS chính là js/app.eb17746b.js.
Vì không thể xem trực tiếp mã JS nên mã nguồn JS chính vào ngày 30 tháng 4 năm 2022 đã được tìm thấy bằng cách sử dụng lịch sử ảnh chụp nhanh của trang web Cachedview.
Thông qua việc phân loại JS, chúng tôi đã tìm thấy thông tin trang web lừa đảo và địa chỉ giao dịch liên quan đến mã.
Địa chỉ phê duyệt được tìm thấy trên dòng 912 của mã:
0x7F748D5fb52b9717f83Ed69f49fc4c2f15d83b6A
Trong dòng mã 3407, địa chỉ của hoạt động liên quan đến phê duyệt cũng được tìm thấy:
0xc9E39Ad832cea1677426e5fA8966416337F88749
Chúng tôi bắt đầu phân tích hồ sơ giao dịch của hai địa chỉ này:
0x7F748D5fb52b9717f83Ed69f49fc4c2f15d83b6A
0xc9E39Ad832cea1677426e5fA8966416337F88749
Đầu tiên, trong Etherscan, người ta thấy rằng 0x7F7...b6A là một địa chỉ hợp đồng độc hại:
Và người tạo (kẻ tấn công) của hợp đồng độc hại này là địa chỉ:
0xd975f8c82932f55c7cef51eb4247f2bea9604aa3, nhận thấy rằng địa chỉ này có nhiều bản ghi giao dịch NFT:
Chúng tôi đã kiểm tra thêm trên trang web NFTGO.Theo số lượng NFT hiện tại đang được nắm giữ tại địa chỉ này, chúng tôi thấy rằng các NFT bị đánh cắp hiện đang ở tại địa chỉ này và chưa được bán, với tổng giá trị khoảng 225.475 đô la Mỹ.
Sử dụng NFTSCAN, người ta thấy rằng có tổng cộng 21 NFT, trị giá 96,5 ETH.
Tiếp tục sử dụng MistTrack để phân tích lịch sử giao dịch của địa chỉ kẻ tấn công:
Có thể thấy số lượng giao dịch ETH tại địa chỉ này không nhiều, chỉ có 12 giao dịch và số dư chỉ là 0,0615 ETH.
0xc9E39Ad832cea1677426e5fA8966416337F88749 cũng là địa chỉ của hợp đồng. Người tạo hợp đồng là 0x6035B92fd5102b6113fE90247763e0ac22bfEF63. Địa chỉ này cũng được đề cập trong danh sách địa chỉ hacker được công bố bởi @0xLosingMoney.
Sử dụng MistTrack, người ta thấy số dư của địa chỉ này cũng không nhiều, có 21 giao dịch trong tài khoản và 97 giao dịch trong tài khoản, trong đó có tổng cộng 106,2 ETH đã được chuyển.
tiêu đề cấp đầu tiên
Tin tặc sử dụng dịch vụ Moralis để làm điều ác
Chúng tôi thấy rằng giao diện dịch vụ với tên miền usemoralis.com đã được sử dụng trong dòng 409 của mã JS:
Trong số đó, cổng 2053 là địa chỉ API và cổng 2083 là địa chỉ đăng nhập nền.
Qua truy vấn, người ta thấy rằng có một số lượng lớn các trang web liên quan đến NFT trên tên miền usemoralis.com, trong số đó có nhiều trang web lừa đảo.
Thông qua tìm kiếm trên Google, tôi đã tìm thấy nhiều trang web NFT và tìm thấy nhiều thông tin tên miền phụ.
Vì vậy, chúng tôi đã duyệt qua và truy vấn các tên miền phụ của usemoralis.com và nhận thấy rằng có hơn 3.000 trang web tên miền phụ có liên quan được triển khai trên cloudflare.
Xem xét kỹ hơn, chúng tôi thấy rằng tất cả các trang web này đều từ các dịch vụ domoralis cung cấp:
Moralis là một dịch vụ dành riêng cho việc phát triển và xây dựng DApps cho Web3.
tiêu đề cấp đầu tiên
Khám phá lý lịch lừa đảo và mối tương quan với các sự cố lừa đảo
Tiếp tục phân tích mã JS và tìm thấy giao diện gửi địa chỉ của nạn nhân đến tên miền trang web pidhnone.se ở dòng 368.
Theo thống kê, các giao diện có tên miền pidhnone.se là:
https://pidhnone.se/api/store/log
https://pidhnone.se/api/self-spoof/
https://pidhnone.se/api/address/
https://pidhnone.se/api/crypto/
Phân tích sâu hơn cho thấy https://pidhnone.se/login thực sự là một nền tảng kiểm soát gian lận do tin tặc vận hành, được sử dụng để quản lý tài sản gian lận và thông tin khác.
Nối địa chỉ theo giao diện của địa chỉ nền, bạn có thể thấy địa chỉ của cuộc tấn công và địa chỉ của nạn nhân.
Vẫn có thông tin hình ảnh và hướng dẫn vận hành giao diện liên quan trong nền, có thể thấy đây là hướng dẫn vận hành trang web lừa đảo rất rõ ràng.
Chúng tôi phân tích thông tin liên quan đến nền, chẳng hạn như hình ảnh:
https://pidhnone.se/images/recent.png?f53959585e0db1e6e1e3bc66798bf4f8
https://pidhnone.se/images/2.gif?427f1b04b02f4e7869b1f402fcee11f6
https://pidhnone.se/images/gif.gif?24229b243c99d37cf83c2b4cdb4f6042
https://pidhnone.se/images/landing.png?0732db576131facc35ac81fa15db7a30
https://pidhnone.se/images/ss-create.png?1ad1444586c2c3bb7d233fbe7fc81d7d
https://pidhnone.se/images/self-spoof.png?25e4255ee21ea903c40d1159ba519234
Điều này liên quan đến thông tin về các trang web lừa đảo được tin tặc sử dụng trong lịch sử, chẳng hạn như nftshifter.io:
Lấy trang web lừa đảo nftshifter.io làm ví dụ:
Tìm kiếm các hồ sơ liên quan trên Twitter cho thấy vào ngày 25 tháng 3 năm 2022, một nạn nhân đã truy cập trang web lừa đảo và đăng nó.
Phân tích nftshifter.io theo cách tương tự:
Lấy mã nguồn JS và phân tích nó:
Có thể thấy rằng dịch vụ của đạo đức và nền tảng lừa đảo của https://pidhnone.se/ cũng được sử dụng để kiểm soát.
Trong số đó, các địa chỉ độc hại liên quan:
Hợp đồng câu cá:
0x8beebade5b1131cf6957f2e8f8294016c276a90f
Người tạo hợp đồng:
0x9d194CBca8d957c3FA4C7bb2B12Ff83Fca6398ee
Tạo thời gian hợp đồng:
Mar-24-2022 09:05:33 PM +UTC
Đồng thời, chúng tôi đã tìm thấy 9 mã hợp đồng độc hại giống với kẻ tấn công này:
Xem ngẫu nhiên một hợp đồng độc hại 0xc9E...749, địa chỉ người tạo là
0x6035B92fd5102b6113fE90247763e0ac22bfEF63:
Các phương pháp tương tự đã được rửa sạch. Mỗi hợp đồng độc hại đã có hồ sơ của nạn nhân, vì vậy chúng tôi sẽ không phân tích từng hợp đồng một ở đây.
Hãy nhìn lại nạn nhân lần nữa:
Ngay sau khi những kẻ tấn công tạo ra một hành vi lừa đảo độc hại, người dùng đã bị lừa.
Kẻ tấn công đã bán NFT và bán thành ETH. Chúng tôi sử dụng MistTrack để phân tích địa chỉ của kẻ tấn công
0x9d194cbca8d957c3fa4c7bb2b12ff83fca6398ee:
tóm tắt
tóm tắt
Điều có thể khẳng định là các cuộc tấn công liên tục xảy ra và có một chuỗi công nghiệp trưởng thành. Tính đến thời điểm xuất bản, vẫn có các mục và giao dịch NFT mới tại địa chỉ tin tặc. Tin tặc thường tiến hành các cuộc tấn công lừa đảo trên quy mô lớn và theo đợt. Bằng cách tạo một mẫu lừa đảo, một số lượng lớn các trang web lừa đảo thuộc các dự án NFT khác nhau có thể được sao chép theo đợt. Khi cái giá phải trả cho tội ác trở nên rất thấp, người dùng thông thường càng cần phải cảnh giác hơn, tăng cường nhận thức về bảo mật, luôn nghi ngờ và tránh trở thành nạn nhân tiếp theo.
Làm sao để tránh rơi vào trường hợp bị lừa đảo?Nhóm bảo mật SlowMist khuyến nghị như sau:
1. Không nhấp vào các liên kết hoặc tệp đính kèm từ các nguồn không xác định và không tùy ý tiết lộ trí nhớ của bạn
2. Sử dụng mật khẩu mạnh và bật xác thực hai yếu tố (2FA) để bảo vệ tài khoản của bạn.
3. Trong trường hợp không chắc chắn, xác minh và xác nhận với nhiều bên.
4. Không truyền trực tuyến thông tin nhạy cảm mà kẻ tấn công có thể phân tích để gửi email lừa đảo có mục tiêu tới người dùng.
5. Gợi ý đọc:Sổ tay tự trợ giúp về Blockchain Dark Forest
