摘要:这种诈骗通常发生于聊天软件(如 Telegram)中,起始于场外出入金交易,在进行正式交易前,骗子以“要确认受害者的地址是否存在风险”为由,让受害者先转账 0.1 USDT 看看地址的风险情况,接着给受害者发送了一个进行转账的“公链”地址,还特别提醒必须在钱包浏览器输入该公链地址才能进行转账。...
By: Lisa
背景
最近,一种新的钓鱼诈骗方式引起了我们的注意。
这种欺诈通常发生在社交软件(如社交软件(如) Telegram)在正式交易之前,骗子以“确认受害人地址是否存在风险”为由,让受害人先转账 0.1 USDT 查看地址的风险情况,然后向受害人发送“公共链”地址进行转账,并特别提示必须在钱夹浏览器中输入公共链地址进行转账。结果,在浏览器输入“公链”地址后,受害者发现账户中的所有代币都被盗了。
发生了什么事?
手法分析
根据受害人提供的数据分析,我们发现这不是一个简单的转账被盗(为了保护受害人的信息,地址模糊)。
根据我们的经验,这应该是由授权引起的钓鱼盗窃。合同调用者。(TK…Gh) 通过调用 transferFrom 函数,将受害人地址(TX…1W) 上的 271,739 USDT 转移到骗子地址(TR…8v)。
此时,我们将目光投向骗子口中的“公链”地址:0x2e16edc742de42c2def249045c5c.in
乍一看,地址没有问题。但是仔细看是个大问题!第一,这是 TRON 上面的转账,但这是 0x 第一个地址;其次,仔细看,发现这不是一个地址,而是一个结局 .in 的网址。
对该网站进行分析,发现该网站成立于一个月前(10 月 11 日),有关 IP 为 38.91.117.26:
该 IP 还有类似的网站,都是近一个月建立的:
242c2d42dedc742de2d242c2404c5c5.in
tflffljvbr6apu8j4j7erad.in
现在只有 242c2d42dedc742de2d242c2404c5c5.in 可以打开,通过钱夹浏览器搜索地址,发现页面只能选择 TRON 网络。
输入金额后,点击下一步,显示为合同交互 Contract interaction:
我们解码 Data 部分数据,发现骗子(TYiMFUXA9JcJEaiZn7ns2giJKMToCEK2N) 诱骗客户签字 increaseApproval,一旦用户点击 Confirm,用户的代币会被骗子通过 transferFrom 方法盗走。
分析骗子地址,发现有用户被骗:
大多数受害者 USDT 它们都被转移到地址 QQQQQQHBHDHDHQQQQQQ:
使用 MistTrack 查看地址,发现地址接收超接收超接收超接收超接收 3,827 USDT:
其他地址的分析不再重复。
总结
本文从实际盗窃案例入手,介绍了一种将钓鱼网站装扮成转账地址的新型骗局。慢雾安全团队提醒,由于区块链技术不可篡改,链操作不可逆转,所以在任何操作前,请仔细检查地址,同时,在链操作前,提前了解目标地址的风险情况,如 MistTrack 输入目标地址,查看风险评分和恶意标签,可以在一定程度上避免资金损失。一旦发现地址转账异常,请保持警惕,理性检查。如有必要,您可以联系我们或在此提交表格 https://aml.slowmist.com/recovery-funds.html。
