鏈上交易不可逆,轉賬前請務必仔細核對地址。

作者: Lisa

近期,有多個用戶向我們反映資產被盜。

圖片
圖片

根據多名中招用戶的反饋,似乎是攻擊者針對交易規模較大頻率較高的用戶不斷空投小額數量的 Token(例如 0.01 USDT 或 0.001 USDT 等),攻擊者地址尾數和用戶地址尾數幾乎一樣,通常為後幾位,用戶去複制歷史轉賬記錄中的地址時一不小心就複製錯,導致資產損失。

圖片
(圖片來自 TokenPocket 錢包公眾號)

相關信息

攻擊者地址 1:TX...dWfKz

用戶地址 1:TW...dWfKz

攻擊者地址 2:TK...Qw5oH

用戶地址 2:TW...Qw5oH

MistTrack 分析

先看看兩個攻擊者地址大致的交易情況。

可以看到,攻擊者地址 1(TX...dWfKz)與用戶地址(TW...dWfKz)尾數都是 dWfKz,在用戶損失了 115,193 USDT 後,攻擊者又先後使用兩個新的地址分別對用戶地址空投 0.01 USDT 和 0.001 USDT,尾數同樣是 dWfKz。

同樣,攻擊者地址 2(TK...Qw5oH)與用戶地址(TW...Qw5oH)尾數都是 Qw5oH,在用戶損失了 345,940 USDT 後,攻擊者又使用新的地址(尾數為 Qw5oH)對用戶地址空投 0.01 USDT。

圖片
圖片

接下來,我們使用 MistTrack 來分析攻擊者地址 1(TX...dWfKz)。如下圖,攻擊者地址 1 將 0.01 USDT、0.02 USDT 不斷空投到各目標地址,而這些目標地址都曾與尾號為 dWfKz 的地址有過交互。

圖片

往上追溯看看該地址的資金來源。最早一筆來自地址 TF...J5Jo8 於 10 月 10 日轉入的 0.5 USDT。

圖片

初步分析下地址 TF...J5Jo8:

圖片

該地址對將近 3300 個地址分別轉入 0.5 USDT,也就是說,這些接收地址都有可能是攻擊者用來空投的地址,我們隨機選擇一個地址驗證。

使用 MistTrack 對上圖最後一個地址 TX...4yBmC 進行分析。如下圖顯示,該地址 TX...4yBmC 就是攻擊者用來空投的地址,對多個曾與尾號為 4yBmC 地址有過交互的地址空投 0.01 USDT。

圖片

我們再來看看攻擊者地址 2(TK...Qw5oH)的情況:空投 0.01 USDT 到多個地址,且初始資金來自地址 TD...psxmk 轉入的 0.6 USDT。

圖片

這次往下追踪,攻擊者地址 2 將 0.06 USDT 轉到地址 TD...kXbFq,而地址 TD...kXbFq 也曾與尾號為 Qw5oH 的 FTX 用戶充幣地址有過交互。

圖片

那我們反向猜想下,其他與 TD...kXbFq 交互過的地址,是否也有相同尾號的地址對它們進行空投?隨機選擇兩個地址驗證一下(例如上圖的 Kraken 充幣地址 TU...hhcWoT 和 Binance 充幣地址 TM...QM7me)。

圖片
圖片

不出所料,攻擊者布了一個巨大的網,只釣粗心人。

其他地址情況這裡不再贅述。

總結

本文主要介紹了騙子利用用戶複製交易記錄中過往地址的這個習慣,生成相同尾號的地址作為偽裝地址,並利用偽裝地址向用戶不斷空投小額的 Token,使得騙子的地址出現在用戶的交易記錄中,用戶稍不注意就複製錯誤地址,導致資產損失。慢霧在此提醒,由於區塊鏈技術是不可篡改的,鏈上操作是不可逆的,所以在進行任何操作前,請務必仔細核對地址,同時建議使用錢包的地址簿轉賬功能,可直接通過選擇地址轉賬。

免責聲明:作為區塊鏈信息平台,本站所發布文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。文章內的信息僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。