本系列旨在以脫敏後的真實案例剖析作惡手法,幫助使用者學習如何保護好資產。

作者:慢霧 AML 團隊

隨著區塊鏈的快速發展,針對用戶的盜幣、釣魚、詐欺等安全事件日益增多,攻擊手法多元。慢霧 SlowMist 每天都會收到大量受害者的求助訊息,希望我們提供資金追蹤和挽救的幫助,其中不乏失去上千萬美金的大額受害者。基於此,本系列透過對每季收到的被盜表單進行統計和分析,旨在以脫敏後的真實案例剖析常見或罕見的作惡手法,幫助用戶學習如何更好地保護好自己的資產。

根據統計,MistTrack Team 於 2024 年 Q2 季度共收到 467 份被盜表單,包括 146 份海外表單和 321 份國內表單,我們為這些表單做了免費的評估社區服務(Ps. 本文內容僅針對來自表單提交的 Case,不包括透過郵箱或其他管道聯繫的 Case)

圖片

其中,MistTrack Team 協助 18 位被盜客戶在 13 個平台凍結約 2,066.41 萬美元的資金。

被盜原因 Top 3

圖片

2024 年 Q2 表單最常見的作惡手法如下:

私鑰洩漏

根據 Q2 表單的統計,不少用戶會將私鑰/助記詞儲存在 Google 文件、騰訊文件、百度雲盤、石墨文件等雲端盤之中,有的用戶會透過微信等工具將私鑰/助記詞發送給自己信任的朋友,更有甚者透過微信的圖片識字功能,將助記詞複製到 WPS 表格中,然後加密這個表格並開啟雲端服務,同時又存在電腦的本地硬碟中。這些看似提高了資訊安全的行為實際上都大大增加了資訊被竊取的風險。駭客常利用「撞庫」這種方法,透過收集網路上公開外洩的帳號密碼資料庫,試著登入這些雲端儲存服務網站。雖然這是碰概率的行為,但只要登入成功,駭客就能輕易地找到並盜取與加密貨幣相關的信息,這些情況可以被看作是信息被動洩露。另外還存在一些主動洩露的案例,例如受害者被冒充客服的騙子誘導填寫助記詞,或在 Discord 等聊天平台上被釣魚連結欺騙,然後輸入私鑰資訊等。在此,MistTrack Team 強烈提醒大家,任何情況下都不應該把私鑰/助記詞透露給任何人。

除此之外,假錢包也是導致私鑰洩漏的重災區。這部分已經是老生常談,但依然有大量用戶在使用搜尋引擎時,無意間點擊廣告鏈接,從而下載了假冒的錢包應用程式。由於網路原因,許多用戶會選擇從第三方下載站取得相關應用程式。儘管這些網站聲稱其應用程式均源自 Google Play 的鏡像下載,但其真實安全性存疑。先前慢霧安全團隊就分析過第三方應用市場 apkcombo 上的錢包應用,結果發現 apkcombo 提供的 imToken 24.9.11 版本,是一個不存在的版本,也是目前市面上假 imToken 錢包最多的一個版本。

圖片

我們也追蹤了一些與假錢包團隊有關的後台管理系統,其中包含用戶管理、幣種管理以及充值管理等複雜數位貨幣控制功能。這類釣魚行為具備的高階特性與專業程度都已超越了許多人的想像。

圖片

例如,Q2 有一個較為罕見的案例:某用戶在搜尋引擎中搜尋 “Twitter”,不慎下載了一個仿冒版的 Twitter 應用程式。當用戶打開這個應用程式時,系統彈出了一個提示,聲稱由於地區限制,需要使用 VPN,並引導用戶下載該應用程式自帶的虛假 VPN,結果導致該用戶的私鑰/助記詞被竊取。這樣的案例再次警示我們,對於任何線上應用和服務,都應進行仔細審查和驗證,確保其合法性與安全性。

圖片

釣魚

根據分析,Q2 多起被盜求助事件的被釣魚原因都是:用戶點擊了發佈在知名項目推特下的釣魚連結評論。先前慢霧安全團隊做了針對性的分析統計:約有 80% 的知名專案方在發布推特後,評論區的第一條留言會被詐騙釣魚帳號佔據。我們還發現 Telegram 上有大量出售 Twitter 帳號的群組,這些帳號的粉絲數量和發文數量不一,註冊時間也各不相同,這讓潛在的買家可以根據他們的需求選擇購買。歷史記錄顯示,大多數出售的帳號都與加密貨幣產業或網路紅人有關聯。

圖片

除此之外,還有一些專門販售 Twitter 帳號的網站,這些網站銷售各年份的 Twitter 帳號,甚至支援購買高度相似的帳號。例如,假帳號 Optimlzm 和真實帳號 Optimism 外觀相似程度極高。購買了這種高度相似的帳號後,釣魚團夥就會採用推廣工具提升帳號的互動和粉絲量,以此提高帳號的可信度。這些推廣工具不僅接受加密貨幣支付,還銷售包括按讚、轉發、增粉等在內的多種社交平台服務。利用這些工具,釣魚團體可以獲得一個具有大量粉絲和貼文的 Twitter 帳號,並模仿專案方的信息發布動態。由於與真實項目方的帳號具有高度的相似性,使得許多用戶難以分辨真假,從而進一步增加了釣魚團伙的成功率。隨後,釣魚團夥實施釣魚行動,例如使用自動化機器人來關注知名專案的動態。當專案方發布推文後,機器人會自動回覆以搶先第一條評論,從而吸引更多瀏覽量。鑑於釣魚團夥偽裝過的帳號與項目方帳號極其相似,一旦用戶疏忽,點擊假帳號上的釣魚鏈接,然後進行授權、簽名,便可能導致資產損失。

圖片

總的來說,縱觀區塊鏈產業的釣魚攻擊,對個人用戶來說,風險主要在「網域、簽名」兩個核心點。為了實現全面的安全防護,我們一直主張採取雙重防護策略,即人員安全意識防禦+ 技術手段防禦。技術手段防禦是指借助各種硬軟體工具,例如釣魚風險阻斷插件 Scam Sniffer 來確保資產和資訊安全,用戶在打開可疑的釣魚頁面時,工具會及時彈出風險提示,從而在風險形成的第一步就將其阻斷。在人員安全意識防禦方面,我們強烈建議大家深度閱讀並逐步掌握《區塊鏈黑暗森林自救手冊》(https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/ README_CN.md)。只有透過這兩種防護策略的相互配合,才能有效對抗不斷變化、升級的釣魚攻擊手段,守護資產安全。

詐騙

詐騙手法很多,Q2 最常見的詐騙手法是貔貅盤。在傳說中,貔貅被視為一種神奇的生物,據說它可以吞噬所有事物而不排泄出來,寓言所說的黃金和珠寶等財寶一經吞入,便無法從其體內取出。因此,貔貅盤被用來比喻一旦購買就無法再賣出的數位貨幣。

某位受害者描述了自己的經歷:「我當時在 Telegram 群組提了一個問題,有個人熱心回答了我很多問題,也教了我很多東西,在我們私聊了兩天之後,我覺得他人挺不錯的。一遇的黃金機會,建議我立即加大投資。幫忙查詢,結果發現這確實是貔貅幣,我也試過了只能買不能賣。

這位受害者的經歷實際上反映了貔貅盤詐騙的典型模式:

1. 詐騙者部署設置了陷阱的智能合約,並拋出承諾高利潤的誘餌;

2. 詐騙者極力吸引目標購入代幣,受害者購買後常會看到該代幣快速升值,於是,受害者通常會決定等到代幣的漲幅足夠大了再嘗試兌換,結果發現無法賣出已購的代幣;

3. 最後,詐騙者提取受害者投資的資金。

圖片

值得一提的是,Q2 表單所提到的貔貅幣都發生在 BSC 上,下圖中可以看到貔貅幣有很多交易,而騙子還把持有的代幣發送給錢包和交易所,造成有很多人參與的假象。

圖片

由於貔貅盤的本質具有一定隱蔽性,即便經驗豐富的投資人也可能很難看清真相。如今 Meme 風盛行,各類型的「土狗幣」對市場造成一定的影響。由於貔貅盤的價格會迅速上漲,人們常常衝動地跟風購買,許多未明真相的市場參與者苦苦追逐這波 “土狗熱”,卻無意中步入貔貅盤的陷阱,購買後再也無法將其出售。

因此,MistTrack Team 建議廣大用戶進行交易前,採取以下措施避免因參與貔貅盤導致資金受損:

  • 使用 MistTrack 查看相關地址的風險情況,或透過 GoPlus 的 Token 安全偵測工具識別貔貅幣並進行交易決策;
  • 在 Etherscan、BscScan 上檢查代碼是否經過了審計和驗證,或閱讀相關評論,因為有些受害者會在詐騙代幣評論標籤上發出警告;
  • 了解相關的虛擬貨幣資訊並考慮專案方背景,提高自我防範意識。警惕提供超高回報的虛擬貨幣,超高的回報通常意味著更大的風險。

寫在最後

如果您的加密貨幣不幸被盜,我們將免費提供案件評估的社區協助服務,僅需要您按照分類指引(資金被盜/遭遇詐騙/遭遇勒索)提交表單即可。同時,您提交的駭客地址也將同步至慢霧 InMist Lab 威脅情報合作網路進行風控。(註:中文表單投稿至 https://aml.slowmist.com/cn/recovery-funds.html,英文表單投稿至 https://aml.slowmist.com/recovery-funds.html)

慢霧 (SlowMist) 在加密貨幣反洗錢領域深耕多年,形成了一套完整且高效的解決方案,涵蓋了合規、調查與審計三個方面,積極助力構建加密貨幣健康生態環境,也為 Web3 行業、金融機構、監理單位以及合規部門提供專業服務。其中,MistTrack 是一個提供錢包位址分析、資金監控、追蹤溯源的合規調查平台,目前已累積三億多個位址標籤,一千多個位址實體,50 萬+ 威脅情報數據,9,000 萬+ 風險位址,這些都為確保數位資產的安全性、打擊洗錢犯罪提供有力的保護。

免責聲明:作為區塊鏈資訊平台,本站所發布文章僅代表作者及來賓個人觀點,與 Web3Caff 立場無關。文章內的資訊僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。