• 简体版 | 繁體版
  • 联系我们
  • 加入我们
  • 关于我们
  •  
  • 首页
  • 快讯
  • 价值号
  • 视频
  • 专题
  • 入驻价值号
  • 碳链APP
    微信公众号

    扫码下载App

  • 登录
  • 微信公众号

    微信公众号

导航
  • 首页
  • 快讯
  • 区块链+
  • 价值号
  • 视频
  • 专题
  • DeFi优选
碳链价值APP
专注服务于金融科技和区块链
立即打开

慢雾:「揭开」 数千万美金大盗团伙 Monkey Drainer 的神秘面纱

慢雾科技慢雾科技  •  2023-02-10
本篇文章仅针对 Monkey Drainer 团伙的部分钓鱼素材及钓鱼钱包地址进行分析。

事件背景

2023 年 2 月 8 日,慢雾科技(SlowMist)从合作伙伴 ScamSniffer 收到安全情报,一名受害者因一个存在已久的网络钓鱼地址损失超过 1,200,000 美元的 USDC。

黑客地址:0x69420e2b4ef22d935a4e2c194bbf3a2f02f27be1;

获利地址:0x9cdce76c8d7962741b9f42bcea47b723c593efff。

(https://twitter.com/realScamSniffer/status/1623148125623029760)

2022 年 12 月 24 日,慢雾科技首次全球披露 “朝鲜 APT 大规模 NFT 钓鱼分析” ,而本次钓鱼事件与我们追踪的另一个 NFT 钓鱼团伙 Monkey Drainer 关联。由于一些保密要求,本篇文章仅针对该团伙的部分钓鱼素材及钓鱼钱包地址进行分析。

钓鱼网站分析

经过分析,我们发现主要的钓鱼方式是通过虚假大 V 推特账号、Discord 群等发布虚假 NFT 相关的带有恶意 Mint 的诱饵网站,这些 NFT 在 OpenSea、X2Y2 和 Rarible 等平台上均有出售。此次 Monkey Drainer 组织针对 Crypto 和 NFT 用户进行钓鱼涉及 2000 多个域名。

通过查询这些域名的注册相关信息,发现注册日期最早可追溯到 4 个月前:

最初 Monkey Drainer 组织是通过虚假推特账号进行推广钓鱼:

同时开始出现第一个 NFT 方向的钓鱼:mechaapesnft[.]art:

我们来看下两个具体的关联特征:

然后通过特征组合关联追踪:

经过整理,我们追踪到从 2022 年到现在有 2000 多个同特征的 NFT 钓鱼等网址。

我们使用 ZoomEye 来进行全球搜索,统计看看黑客有多少钓鱼站点同时运行与部署:

其中,最新的站点有伪装成 Arbitrum 空投的:

与朝鲜黑客组织不同,Monkey Drainer 钓鱼组织没有每个站点采用专门网站去统计受害者访问记录这种功能,而是使用简单粗暴的方式,直接钓鱼,批量部署,所以我们猜测 Monkey Drainer 钓鱼组织是使用钓鱼模版批量化自动部署。

我们继续追踪供应链,发现 Monkey Drainer NFT 钓鱼组织使用的供应链是现有灰色产业链提供的模版,如 广告售卖说明:

钓鱼供应链支持功能:

从介绍来看,价格优惠、功能完善。由于篇幅有限,此处不再贅述。

钓鱼手法分析

结合之前慢雾发布的 “NFT 零元购钓鱼”,我们对此钓鱼事件的核心代码进行了分析。

分析发现,核心代码都使用混淆、诱导受害者进行 Seaport、Permit 等签名,同时使用 Permit usdc 的离线授权签名机制等等,升级了原来的钓鱼机制。

随机找一个站点进行测试,显示为 “SecurityUpdate” 骗签钓鱼:

再通过可视化数据查看:

顺便提一句,Rabby 插件钱包的数据解析可视化、可读化做的很好。更多分析不再赘述。

链上鸟瞰

根据分析上述 2000 多个钓鱼网址及关联慢雾 AML 恶意地址库,我们共计分析到 1708 个与 Monkey Drainer NFT 钓鱼团伙有关的恶意地址,其中 87 个地址为初始钓鱼地址。相关恶意地址都已经录入 MistTrack 平台(https://misttrack.io/)及慢雾 AML 恶意地址库(https://aml.slowmist.com/maliciousWallet.html)。

(恶意地址列表概览)(恶意地址列表概览)

慢雾:“揭开” 数千万美金大盗团伙 Monkey Drainer 的神秘面纱慢雾:“揭开” 数千万美金大盗团伙 Monkey Drainer 的神秘面纱

(钓鱼团伙地址之一概览)

以关联到的 1708 个恶意地址为链上分析数据集,我们能够得到该钓鱼团伙以下结论:

示例钓鱼交易:https://etherscan.io/tx/0x3f2ac9758a6c91b08406082b65be6f2758a9b37c7626b11f24ce214181cbcd99

https://etherscan.io/tx/0x18bed0d26634f7856ce75b0d25dd9652d94f705fcdcbf6b7b1e24787e127aee0

https://etherscan.io/tx/0xc22800042e660c2ac360896fc5de06ed48aa723185c7733099b76d82de37b29c

时间范围:链上地址集最早的活跃时间为 2022 年 8 月 19 日,近期仍在活跃中。

获利规模:通过钓鱼的方式共计获利约 1297.2 万美元。其中钓鱼 NFT 数量 7,059 个,获利 4,695.91 ETH,约合 761 万美元,占所获资金比例 58.66%;ERC20 Token 获利约 536.2 万美元,占所获资金比例 41.34%,其中主要获利 ERC20 Token 类型为 USDC, USDT, LINK, ENS, stETH。(注:ETH 价格均取 2023/02/09 价格,数据源 CryptoCompare。)

(钓鱼团伙地址不同获利类型比例图)(钓鱼团伙地址不同获利类型比例图)

获利 ERC20 Token 详情如下面表格:

(钓鱼团伙地址获利 ERC20 Token 详情表)(钓鱼团伙地址获利 ERC20 Token 详情表)

追踪溯源分析

慢雾 MistTrack 团队对恶意地址集进行链上追踪溯源分析,资金转移流向如下图:

(资金流向 Sankey 图)(资金流向 Sankey 图)

根据资金流向 Sanky 图,我们追踪到获利资金中共计有 3876.06 ETH 转移到实体地址,其中 2452.3 ETH 被存款到 Tornado Cash,剩余资金则转移到一些交易所。

87 个初始钓鱼地址的手续费来源情况如下图:

(手续费来源直方图)(手续费来源直方图)

根据手续费来源直方图,2 个地址的手续费来自 Tornado Cash,79 个地址来自个人地址转账,剩余 6 个地址未接受过资金。

典型示例追踪

2 月 8 日,损失超过 1,200,000 美元的黑客地址:

0x69420e2b4ef22d935a4e2c194bbf3a2f02f27be1 通过钓鱼获取受害者地址的权限,将 1,244,107.0493 USDC 转入

0x9cdce76c8d7962741b9f42bcea47b723c593efff ,后 USDC 通过 MetaMask Swap 兑换成 ETH,部分 ETH 转移到 Tornado Cash,剩余资金转移到之前使用过的钓鱼地址。

(通过 MetaMask Swap 兑换后存款到 TornadoCash)(通过 MetaMask Swap 兑换后存款到 TornadoCash)

(通过 MetaMask Swap 兑换后转移到之前使用过的钓鱼地址)

团伙画像分析

(地址痕迹 / 时间线分析 - federalagent👮‍♂.eth)

(地址痕迹 / 时间线分析 - seaport-drainer.eth, monkey-drainer.eth)

最后感谢 ScamSniffer、NFTScan 提供的数据支持。

总结

本文主要通过一种较为常见的 NFT 钓鱼方式顺藤摸瓜,发现了 Monkey Drainer 组织的大规模 NFT 钓鱼站群,并提炼出 Monkey Drainer 组织的部分钓鱼特征。Web3 不断创新的同时,针对 Web3 钓鱼的方式也越来越多样,令人措手不及。

对用户来说,在进行链上操作前,提前了解目标地址的风险情况是十分必要的,例如在 MistTrack 中输入目标地址并查看风险评分及恶意标签,一定程度上可以避免陷入资金损失的境地。

对钱包项目方来说,首先是需要进行全面的安全审计,重点提升用户交互安全部分,加强所见即所签机制,减少用户被钓鱼风险,如:

钓鱼网站提醒:通过生态或者社区的力量汇聚各类钓鱼网站,并在用户与这些钓鱼网站交互的时候对风险进行醒目地提醒和告警。

签名的识别和提醒:识别并提醒 eth_sign、personal_sign、signTypedData 这类签名的请求,并重点提醒 eth_sign 盲签的风险。

所见即所签:钱包中可以对合约调用进行详尽解析机制,避免 Approve 钓鱼,让用户知道 DApp 交易构造时的详细内容。

预执行机制:通过交易预执行机制可以帮助用户了解到交易广播执行后的效果,有助于用户对交易执行进行预判。

尾号相同的诈骗提醒:在展示地址的时候醒目的提醒用户检查完整的目标地址,避免尾号相同的诈骗问题。设置白名单地址机制,用户可以将常用的地址加入到白名单中,避免类似尾号相同的攻击。

AML 合规提醒:在转账的时候通过 AML 机制提醒用户转账的目标地址是否会触发 AML 的规则。

慢雾作为一家行业领先的区块链安全公司,在安全审计方面深耕多年,安全审计不仅让用户安心,更是降低攻击发生的手段之一。其次,各家机构由于数据孤岛,难以关联识别出跨机构的洗钱团伙,给反洗钱工作带来巨大挑战。而作为项目方,及时拉黑阻断恶意地址的资金转移也是重中之重。MistTrack 反洗钱追踪系统积累了 2 亿多个地址标签,能够识别全球主流交易平台的各类钱包地址,包含 1 千多个地址实体、超 10 万个威胁情报数据和超 9 千万个风险地址,如有需要可联系我们接入 API。最后希望各方共同努力,一起让区块链生态更美好。

展开全文
打开碳链价值APP  查看更多精彩资讯
声明:本文内容为作者独立观点,不代表碳链价值立场,且不构成任何投资理财建议。
0 0
NFT钓鱼盗币区块链

扫一扫,分享到微信

相关推荐

引介|EVM 深入探讨 Part 6 价值号

引介|EVM 深入探讨 Part 6

慢雾科技 2023-05-22 价值号
区块链以太坊虚拟机
EVM 深入探讨系列之解读关键数据结构,交易收据和其相关的事件日志。
Vitalik:保持链的极简主义,不要让以太坊的共识过载 滚动

Vitalik:保持链的极简主义,不要让以太坊的共识过载

Web3大航海 2023-05-22 滚动
区块链以太坊
区块链社区的社会共识是一件脆弱的事情,我们应该保持链的极简主义,不要让以太坊的共识过载。
Permit 签名分析:链下签名也能钓走你的 Token? 价值号

Permit 签名分析:链下签名也能钓走你的 Token?

慢雾科技 2023-05-20 价值号
区块链
用户在与 DApp 交互时需注意控制授权的 Token 数量,检查签名内容及异常授权情况。

碳链快讯更多 ›

2023-05-27

北京发布互联网3.0创新发展白皮书

2023-05-27

北京朝阳区将每年投入不少于1亿元支持互联网3.0产业建设

2023-05-27

美参议员:拜登此前提出的对加密挖矿用电量征税30%的提议未获得通过

2023-05-27

耶伦:估计美国财政部到6月5日将耗尽资金

2023-05-26

Bitcoin Core 25.0已正式发布

2023-05-26

国家标准《区块链和分布式记账技术 参考架构》于5月23日获批发布

2023-05-26

工信部副部长:前瞻布局人工智能、Web3.0等未来产业

2023-05-26

亚特兰大联储银行报告:XRP应被视为一种「国际支付媒介」

2023-05-26

耐克Web3平台.SWOOSH首个NFT系列OF1销售额突破100万美元

2023-05-26

蚂蚁集团张辉:产业Web3是「以数助实」的区块链未来

2023-05-26

以太坊核心开发者共识会议:未来几周内会确定 Dencun 全部范围

2023-05-26

央行等多部委:支持北京国际大数据交易所建设基于真实底层资产和交易场景的数字资产交易平台

2023-05-26

徐明星:已解封因 SAMO 突发行情误封的约 10 个账户,将改进风控策略

2023-05-26

区块链金融服务提供商 Unbanked 将逐步关闭,用户需在 30 天内提款

2023-05-26

加密风投 Paradigm 删除首页关于加密货币的描述,将投资范围扩大到 AI 领域

2023-05-26

彭博社:DCG 将于 5 月 31 日关闭机构交易平台 TradeBlock

2023-05-26

Web3 游戏工作室 Pomerium 获得 2000 万美元天使轮投资

2023-05-26

Web3 创作者社区应用 PoPP 完成 400 万美元天使轮融资

2023-05-26

报告:90%的家办客户希望将加密货币纳入投资策略

2023-05-26

消息人士:精简版美国债务上限协议已初步成形

2023-05-25

Worldcoin完成1.15亿美元C轮融资,Blockchain Capital领投

2023-05-25

黑山法院延长 Do Kwon 在黑山的拘留期限

2023-05-25

Multichain 联合创始人兼 CEO Zhao Jun 或暂时失联

2023-05-25

Fahrenheit 赢得破产加密借贷公司 Celsius 资产拍卖

2023-05-25

前 NBA 球星沙奎尔·奥尼尔再次被正式送达 FTX 集体诉讼案诉讼书

2023-05-25

香港律师:虚拟资产交易平台要获得香港牌照需满足三个要点

2023-05-25

智能合约开发者:Stargate 套利并非 Bug,Layerzero 会重新优化 eqRewards 分配效率

2023-05-25

Coinbase 与奥地利加密交易所 Bitpanda 合作,以扩展在欧洲地区的业务

2023-05-25

Multichain:部分跨链路由因不可抗力无法使用,恢复服务时间未知

2023-05-25

Base 主网路线图提醒无发币计划,并开放铸造纪念 NFT

2023-05-24

马斯克:不建议任何人把毕生积蓄投入狗狗币

2023-05-24

侵入他人计算机盗取虚拟币套现 2800 万,7 人因盗窃罪获刑

2023-05-24

联合广场风投合伙人:若美国禁止Web3,我们将加倍投资

2023-05-24

香港众安银行将在新发牌制度下向零售投资者推出虚拟资产交易服务

2023-05-24

Moonfire Ventures 旗下 Fund II 完成 1.15 亿美元募资,将投资 AI、Web3 等领域

2023-05-24

Visa 加密团队正在探索研究账户抽象、互操作性、可扩展性和隐私等主题

2023-05-24

欧盟委员会或允许商业银行持有稳定币等加密货币

2023-05-24

美国财政部 OFAC 制裁与朝鲜政府有关的加密钱包

2023-05-24

Ripple CEO:计划用 10 亿美元的现金储备进行公司扩张

2023-05-24

SEC 与加密对冲基金 EmpiresX 达成 3500 万美元和解

2023-05-23

QED 旗下两支基金完成 9.25 亿美元募资,拟继续投资加密货币等领域

2023-05-23

AI 初创公司 Anthropic 完成 4.5 亿美元 C 轮融资,Spark Capital 领投

2023-05-23

香港证监会:散户最快下半年可在发牌交易平台买卖虚拟资产

2023-05-23

香港立法会议员吴杰庄:建议特区政府在人才和 Web 3.0 科技产业发展方面进一步完善政策

2023-05-23

香港证监会:将于2023年5月25日刊发《适用于虚拟资产交易平台营运者的指引》等多份监管文件

2023-05-23

香港证监会:从6月1日起实施虚拟资产交易

2023-05-23

V神:将2011年制作的游戏上传至IPFS

2023-05-23

比尔・盖茨:AI 个人助理将带来颠覆谷歌和亚马逊

2023-05-23

上海市政府常务会议原则同意《上海元宇宙关键技术攻关三年专项行动方案(2023—2025 年)》

2023-05-23

香港数字资产新规则将允许散户交易加密货币

推荐文章

  • 慢雾:「揭开」 数千万美金大盗团伙 Monkey Drainer 的神秘面纱

    2023-02-10

  • Fantom: 近期上涨是昙花一现还是指日可待

    2023-02-10

  • 对话以太坊基金会研究员:DankSharding 有无限可能

    2023-02-09

  • 朱嘉明:智能数字新时代,关于AIGC的13个关键问题

    2023-02-09

  • 谷歌仓促迎接 AI 大战,机器人 Bard「掉链子」股价大跌

    2023-02-09

价值号更多 ›

吉时通信
吉时通信
文章: 142
  • 迎接AI时代:通过负责任的AI推进未来发展
  • AIGC的商业化之路展望
  • 释放ChatGPT3的力量:如何用AIGC撰写研报?
链集市ChainMarket
链集市ChainMarket
文章: 227
  • 区块链产业周报|各国密集推出行业新政策,加强监管成为2023年主旋律;G20正在制定Crypto政策
  • 5种帮助区块链初创公司在逆境中成长的方法
  • 区块链产业周报|区块链成为中国领先的金融科技公司的第五大首选技术;国际掉期与衍生品协会发布数字资产衍生品新定义
Unitimes
Unitimes
文章: 403
  • 以太坊 MEV 黑暗森林:从 Gas 战争到 PBS
  • 对话 Vitalik:合并后 以太坊的下一步是什么?
  • 为什么以太坊是最好的选择?
换一批

热门标签

新基建 比特币 以太坊 矿业 DeFi 共识对话 区块链+ 研报 美联储 央行数字货币 无限QE 加密衍生品 AI 云计算 大数据 5G 政策 交易所 稳定币 电子支付 Libra 算力产业 联盟链 公链 区块链 加密货币 Nervos Cosmos EOS STO

邮件订阅

及时、全面、专业、准确的资讯与数据,致力于为区块链爱好者以及数字货币投资者提供最好的服务。

App内打开

邮件订阅

及时、全面、专业、准确的资讯与数据,致力于为区块链爱好者以及数字货币投资者提供最好的服务。

Moshou

碳链价值是集资讯、行情、数据于一身的区块链信息服务平台,我们追求及时、全面、专业、精确的资讯与数据,致力于为区块链创新者和数字货币投资者提供优质的服务。

关于我们 加入我们 联系我们 隐私条款
微信公众号

扫一扫关注微信公众号

Copyright © 2018-2020 碳链价值 京ICP备18046423号
下载碳链App

下载碳链App

微信公众号

微信公众号

微信公众号

微信公众号

打赏文章作者

支付宝打赏二维码 支付宝扫一扫打赏
微信打赏二维码 微信扫一扫打赏

# 热门搜索 #

CBDC 比特币 DeFi 以太坊 区块链