本篇文章僅針對 Monkey Drainer 團伙的部分釣魚素材及釣魚錢包地址進行分析。

作者:慢霧安全團隊

事件背景

2023 年 2 月 8 日,慢霧科技(SlowMist)從合作夥伴 ScamSniffer 收到安全情報,一名受害者因一個存在已久的網絡釣魚地址損失超過 1,200,000 美元的 USDC。

黑客地址:0x69420e2b4ef22d935a4e2c194bbf3a2f02f27be1;

獲利地址:0x9cdce76c8d7962741b9f42bcea47b723c593efff。

(https://twitter.com/realScamSniffer/status/1623148125623029760)

2022 年 12 月 24 日,慢霧科技首次全球披露 “朝鮮 APT 大規模 NFT 釣魚分析” ,而本次釣魚事件與我們追踪的另一個 NFT 釣魚團伙 Monkey Drainer 關聯。由於一些保密要求,本篇文章僅針對該團伙的部分釣魚素材及釣魚錢包地址進行分析。

釣魚網站分析

經過分析,我們發現主要的釣魚方式是通過虛假大 V 推特賬號、Discord 群等發布虛假 NFT 相關的帶有惡意 Mint 的誘餌網站,這些 NFT 在 OpenSea、X2Y2 和 Rarible 等平台上均有出售。此次 Monkey Drainer 組織針對 Crypto 和 NFT 用戶進行釣魚涉及 2000 多個域名。

通過查詢這些域名的註冊相關信息,發現註冊日期最早可追溯到 4 個月前:

最初 Monkey Drainer 組織是通過虛假推特賬號進行推廣釣魚:

同時開始出現第一個 NFT 方向的釣魚:mechaapesnft[.]art:

我們來看下兩個具體的關聯特徵:

然後通過特徵組合關聯追踪:

經過整理,我們追踪到從 2022 年到現在有 2000 多個同特徵的 NFT 釣魚等網址。

我們使用 ZoomEye 來進行全球搜索,統計看看黑客有多少釣魚站點同時運行與部署:

其中,最新的站點有偽裝成 Arbitrum 空投的:

與朝鮮黑客組織不同,Monkey Drainer 釣魚組織沒有每個站點採用專門網站去統計受害者訪問記錄這種功能,而是使用簡單粗暴的方式,直接釣魚,批量部署,所以我們猜測 Monkey Drainer 釣魚組織是使用釣魚模版批量化自動部署。

我們繼續追踪供應鏈,發現 Monkey Drainer NFT 釣魚組織使用的供應鍊是現有灰色產業鏈提供的模版,如廣告售賣說明:

釣魚供應鏈支持功能:

從介紹來看,價格優惠、功能完善。由於篇幅有限,此處不再贅述。

釣魚手法分析

結合之前慢霧發布的 “ NFT 零元購釣魚”,我們對此釣魚事件的核心代碼進行了分析。

分析發現,核心代碼都使用混淆、誘導受害者進行 Seaport、Permit 等簽名,同時使用 Permit usdc 的離線授權簽名機制等等,升級了原來的釣魚機制。

隨機找一個站點進行測試,顯示為 “SecurityUpdate” 騙簽釣魚:

再通過可視化數據查看:

順便提一句,Rabby 插件錢包的數據解析可視化、可讀化做的很好。更多分析不再贅述。

鏈上鳥瞰

根據分析上述 2000 多個釣魚網址及關聯慢霧 AML 惡意地址庫,我們共計分析到 1708 個與 Monkey Drainer NFT 釣魚團伙有關的惡意地址,其中 87 個地址為初始釣魚地址。相關惡意地址都已經錄入 MistTrack 平台(https://misttrack.io/)及慢霧 AML 惡意地址庫(https://aml.slowmist.com/maliciousWallet.html)。

(惡意地址列表概覽)
(釣魚團伙地址之一概覽)

以關聯到的 1708 個惡意地址為鏈上分析數據集,我們能夠得到該釣魚團伙以下結論:

  • 示例釣魚交易:https://etherscan.io/tx/0x3f2ac9758a6c91b08406082b65be6f2758a9b37c7626b11f24ce214181cbcd99https://etherscan.io/tx/0x18bed0d26634f7856ce75b0d25dd9652d94f705fcdcbf6b7b1e24787e127aee0https://etherscan.io/tx/0xc22800042e660c2ac360896fc5de06ed48aa723185c7733099b76d82de37b29c
  • 時間範圍:鏈上地址集最早的活躍時間為 2022 年 8 月 19 日,近期仍在活躍中。
  • 獲利規模:通過釣魚的方式共計獲利約 1297.2 萬美元。其中釣魚 NFT 數量 7,059 個,獲利 4,695.91 ETH,約合 761 萬美元,佔所獲資金比例 58.66%;ERC20 Token 獲利約 536.2 萬美元,佔所獲資金比例 41.34%,其中主要獲利 ERC20 Token 類型為 USDC, USDT, LINK, ENS, stETH。(注:ETH 價格均取 2023/02/09 價格,數據源 CryptoCompare。)
(釣魚團伙地址不同獲利類型比例圖)

獲利 ERC20 Token 詳情如下面表格:

(釣魚團伙地址獲利 ERC20 Token 詳情表)

追踪溯源分析

慢霧 MistTrack 團隊對惡意地址集進行鏈上追踪溯源分析,資金轉移流向如下圖:

(資金流向 Sankey 圖)

根據資金流向 Sanky 圖,我們追踪到獲利資金中共計有 3876.06 ETH 轉移到實體地址,其中 2452.3 ETH 被存款到 Tornado Cash,剩餘資金則轉移到一些交易所。

87 個初始釣魚地址的手續費來源情況如下圖:

(手續費來源直方圖)

根據手續費來源直方圖,2 個地址的手續費來自 Tornado Cash,79 個地址來自個人地址轉賬,剩餘 6 個地址未接受過資金。

典型示例追踪

2 月 8 日,損失超過 1,200,000 美元的黑客地址:

0x69420e2b4ef22d935a4e2c194bbf3a2f02f27be1 通過釣魚獲取受害者地址的權限,將 1,244,107.0493 USDC 轉入

0x9cdce76c8d7962741b9f42bcea47b723c593efff ,後 USDC 通過 MetaMask Swap 兌換成 ETH,部分 ETH 轉移到 Tornado Cash,剩餘資金轉移到之前使用過的釣魚地址。

(通過 MetaMask Swap 兌換後存款到 TornadoCash)
(通過 MetaMask Swap 兌換後轉移到之前使用過的釣魚地址)

團伙畫像分析

(地址痕跡/ 時間線分析– federalagent 👮‍ ♂.eth)
(地址痕跡/ 時間線分析– seaport-drainer.eth, monkey-drainer.eth)

最後感謝 ScamSniffer、NFTScan 提供的數據支持。

總結

本文主要通過一種較為常見的 NFT 釣魚方式順藤摸瓜,發現了 Monkey Drainer 組織的大規模 NFT 釣魚站群,並提煉出 Monkey Drainer 組織的部分釣魚特徵。Web3 不斷創新的同時,針對 Web3 釣魚的方式也越來越多樣,令人措手不及。

對用戶來說,在進行鏈上操作前,提前了解目標地址的風險情況是十分必要的,例如在 MistTrack 中輸入目標地址並查看風險評分及惡意標籤,一定程度上可以避免陷入資金損失的境地。

對錢包項目方來說,首先是需要進行全面的安全審計,重點提升用戶交互安全部分,加強所見即所簽機制,減少用戶被釣魚風險,如:

  • 釣魚網站提醒:通過生態或者社區的力量匯聚各類釣魚網站,並在用戶與這些釣魚網站交互的時候對風險進行醒目地提醒和告警。
  • 簽名的識別和提醒:識別並提醒 eth_sign、personal_sign、signTypedData 這類簽名的請求,並重點提醒 eth_sign 盲籤的風險。
  • 所見即所簽:錢包中可以對合約調用進行詳盡解析機制,避免 Approve 釣魚,讓用戶知道 DApp 交易構造時的詳細內容。
  • 預執行機制:通過交易預執行機制可以幫助用戶了解到交易廣播執行後的效果,有助於用戶對交易執行進行預判。
  • 尾號相同的詐騙提醒:在展示地址的時候醒目的提醒用戶檢查完整的目標地址,避免尾號相同的詐騙問題。設置白名單地址機制,用戶可以將常用的地址加入到白名單中,避免類似尾號相同的攻擊。
  • AML 合規提醒:在轉賬的時候通過 AML 機制提醒用戶轉賬的目標地址是否會觸發 AML 的規則。

慢霧作為一家行業領先的區塊鏈安全公司,在安全審計方面深耕多年,安全審計不僅讓用戶安心,更是降低攻擊發生的手段之一。其次,各家機構由於數據孤島,難以關聯識別出跨機構的洗錢團伙,給反洗錢工作帶來巨大挑戰。而作為項目方,及時拉黑阻斷惡意地址的資金轉移也是重中之重。MistTrack 反洗錢追踪系統積累了 2 億多個地址標籤,能夠識別全球主流交易平台的各類錢包地址,包含 1 千多個地址實體、超 10 萬個威脅情報數據和超 9 千萬個風險地址,如有需要可聯繫我們接入 API。最後希望各方共同努力,一起讓區塊鏈生態更美好。

免責聲明:作為區塊鏈信息平台,本站所發布文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。文章內的信息僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。