慢雾:2024 Q2 MistTrack 被盗表单分析
作者:慢雾 AML 团队
随着区块链的快速发展,针对用户的盗币、钓鱼、欺诈等安全事件日益增多,且攻击手法多样。慢雾 SlowMist 每天都会收到大量受害者的求助信息,希望我们提供资金追踪和挽救的帮助,其中不乏丢失上千万美金的大额受害者。基于此,本系列通过对每个季度收到的被盗表单进行统计和分析,旨在以脱敏后的真实案例剖析常见或罕见的作恶手法,帮助用户学习如何更好地保护好自己的资产。
据统计,MistTrack Team 于 2024 年 Q2 季度共收到 467 份被盗表单,包括 146 份海外表单和 321 份国内表单,我们为这些表单做了免费的评估社区服务(Ps. 本文内容仅针对来自表单提交的 Case,不包括通过邮箱或其他渠道联系的 Case)
其中,MistTrack Team 协助 18 位被盗客户在 13 个平台冻结约 2066.41 万美元的资金。
被盗原因 Top 3
2024 年 Q2 表单最常见的作恶手法如下:
私钥泄露
据 Q2 表单的统计,不少用户会将私钥 / 助记词存储在 Google 文档、腾讯文档、百度云盘、石墨文档等云盘之中,有的用户会通过微信等工具将私钥 / 助记词发送给自己信任的朋友,更有甚者通过微信的图片识字功能,将助记词复制到 WPS 表格中,然后加密这个表格并开启云服务,同时又存在电脑的本地硬盘中。这些看似提高了信息安全的行为实际上都极大地增加了信息被窃取的风险。黑客们常利用“撞库”这种方法,通过收集网络上公开泄露的账号密码数据库,尝试登录这些云存储服务网站。虽然这是碰概率的行为,但只要登录成功,黑客就能轻易地找到并盗取与加密货币相关的信息,这些情况可以被看作是信息被动泄露。另外还存在一些主动泄露的案例,例如受害者被冒充客服的骗子诱导填写助记词,或者在 Discord 等聊天平台上被钓鱼链接欺骗,然后输入私钥信息等。在此,MistTrack Team 强烈提醒大家,任何情况下都不应该把私钥 / 助记词透露给任何人。
除此之外,假钱包也是导致私钥泄露的重灾区。这部分已经是老生常谈,但依然有大量用户在使用搜索引擎时,无意间点击广告链接,从而下载了假冒的钱包应用。由于网络原因,很多用户会选择从第三方下载站获取相关应用。尽管这些站点声称其应用均源自 Google Play 的镜像下载,但是其真实安全性存疑。此前慢雾安全团队就分析过第三方应用市场 apkcombo 上的钱包应用,结果发现 apkcombo 提供的 imToken 24.9.11 版本,是一个并不存在的版本,且是目前市面上假 imToken 钱包最多的一个版本。
我们还追踪到了一些与假钱包团队有关的后台管理系统,其中包含用户管理、币种管理以及充值管理等复杂数字货币控制功能。这类钓鱼行为具备的高级特性与专业程度都已超出了许多人的想象。
例如,Q2 有一个较为罕见的案例:某用户在搜索引擎中搜索“Twitter”,不慎下载了一个假冒版的 Twitter 应用。当用户打开这个应用时,系统弹出了一个提示,声称由于地区限制,需要使用 VPN,并引导用户下载该应用自带的虚假 VPN,结果导致该用户的私钥 / 助记词被窃取。这样的案例再次警示我们,对于任何在线应用和服务,都应进行仔细审查和验证,确保其合法性与安全性。
钓鱼
根据分析,Q2 多起被盗求助事件的被钓鱼原因都是:用户点击了发布在知名项目推特下的钓鱼链接评论。此前慢雾安全团队做了针对性的分析统计:约有 80% 的知名项目方在发布推特后,评论区的第一条留言会被诈骗钓鱼账号占据。我们还发现 Telegram 上有大量售卖 Twitter 账号的群组,这些账号的粉丝数量和发帖数量不一,注册时间也各不相同,这让潜在的买家可以根据他们的需求选择购买。历史记录显示,大多数出售的账号都与加密货币行业或网络红人有所关联。
除此之外,还存在一些专门售卖 Twitter 账号的网站,这些网站销售各年份的 Twitter 账号,甚至支持购买高度相似的账号。例如,假冒账号 Optimlzm 和真实账号 Optimism 外观相似程度极高。购买了这种高度相似的账号后,钓鱼团伙就会采用推广工具提升账号的互动和粉丝量,以此提高账号的可信度。这些推广工具不仅接受加密货币支付,还销售包括点赞、转发、增粉等在内的多种社交平台服务。利用这些工具,钓鱼团伙可以得到一个具有大量粉丝和帖子的 Twitter 账号,并模仿项目方的信息发布动态。由于与真实项目方的账号具有高度的相似性,使得许多用户难以分辨真假,从而进一步增加了钓鱼团伙的成功率。随后,钓鱼团伙实施钓鱼行动,比如使用自动化机器人来关注知名项目的动态。当项目方发布推文后,机器人会自动回复以抢占第一条评论,从而吸引更多浏览量。鉴于钓鱼团伙伪装过的账号与项目方账号极其相似,一旦用户疏忽,点击假账号上的钓鱼链接,然后进行授权、签名,便可能导致资产损失。
总的来说,纵观区块链行业的钓鱼攻击,对个人用户来说,风险主要在“域名、签名”两个核心点。为了实现全面的安全防护,我们一直主张采取双重防护策略,即人员安全意识防御 + 技术手段防御。技术手段防御是指借助各种硬软件工具,如钓鱼风险阻断插件 Scam Sniffer 来确保资产和信息安全,用户在打开可疑的钓鱼页面时,工具会及时弹出风险提示,从而在风险形成的第一步就将其阻断。在人员安全意识防御方面,我们强烈建议大家深度阅读并逐步掌握《区块链黑暗森林自救手册》(https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md)。只有通过这两种防护策略的相互配合,才能有效对抗不断变化、升级的钓鱼攻击手段,守护资产安全。
诈骗
诈骗手法有很多,Q2 最为常见的诈骗手法是貔貅盘。在传说中,貔貅被视为一种神奇的生物,据说它可以吞噬所有事物而不排泄出来,寓言所说的黄金和珠宝等财宝一经吞入,便无法从其体内取出。因此,貔貅盘被用来比喻一旦购买就无法再卖出的数字货币。
某位受害者描述了自己的经历:“我当时在 Telegram 群组提了一个问题,有个人热心回答了我很多问题,也教了我很多东西,在我们私聊了两天之后,我觉得他人挺不错的。于是他提议带我去一级市场购买新代币,并在 PancakeSwap 上给我提供了一个币种的合约地址。我购买之后,这个币一直在猛涨,他告诉我这是半年一遇的黄金机会,建议我立即加大投资。我感觉事情没这么简单就没采纳他的建议,他就一直催我,一催我意识到可能被欺骗了,我便请群里的其他人帮忙查询,结果发现这确实是貔貅币,我也试过了只能买不能卖。当骗子发现我不再加仓时,他也将我拉黑。”
这位受害者的经历实际上反映了貔貅盘诈骗的典型模式:
1. 诈骗者部署设置了陷阱的智能合约,并抛出承诺高利润的诱饵;
2. 诈骗者极力吸引目标购入代币,受害者购买后常会看到该代币快速升值,于是,受害者通常会决定等到代币的涨幅足够大了再尝试兑换,结果发现无法卖出已购的代币;
3. 最后,诈骗者提取受害者投资的资金。
值得一提的是,Q2 表单所提到的貔貅币都发生在 BSC 上,下图中可以看到貔貅币有很多交易,骗子还把持有的代币发送给钱包和交易所,造成有很多人参与的假象。
由于貔貅盘的本质具有一定隐蔽性,即便经验丰富的投资者也可能很难看清真相。如今 Meme 风盛行,各类型的“土狗币”对市场造成一定的影响。由于貔貅盘的价格会迅速上涨,人们常常冲动地跟风购买,许多未明真相的市场参与者苦苦追逐这波“土狗热”,却无意中步入貔貅盘的陷阱,购买后再也无法将其出售。
因此,MistTrack Team 建议广大用户进行交易前,采取以下措施来避免因参与貔貅盘导致资金受损:
- 使用 MistTrack 查看相关地址的风险情况,或通过 GoPlus 的 Token 安全检测工具识别貔貅币并进行交易决策;
- 在 Etherscan、BscScan 上检查代码是否经过了审计和验证,或阅读相关评论,因为有些受害者会在诈骗代币评论选项卡上发出警告;
- 了解相关的虚拟货币信息并考量项目方背景,提高自我防范意识。警惕提供超高回报的虚拟货币,超高的回报通常意味着更大的风险。