2023 年9 月7 日,地址(0x 13 e 382)遭遇釣魚攻擊,損失超2, 400 萬美元。釣魚駭客透過資金盜用、資金兌換和分散式地資金轉移,最終損失資金中3, 800 ETH 被相繼分批次轉移至Tornado.Cash、 10, 000 ETH 被轉移至中間地址(0x 702350),以及1078, 087 DAI 至今保留在中間地址(0x4F2F02)。
這是一次典型的釣魚攻擊,攻擊者通過騙取錢包授權或私鑰,竊取用戶資產,已形成了以釣魚+洗錢的黑色產業鏈,目前越來越多的詐騙團夥甚至是國家黑客都採用釣魚的方式在Web3領域為非作歹,非常需要大家注意與警覺。
根據SharkTeam 鏈上大數據分析平台ChainAegis (https://app.chainaegis.com/) 的追蹤分析,我們將對典型釣魚攻擊的詐騙過程、資金轉移情況以及詐騙者鏈上行為進行相關分析。
1.釣魚詐騙過程
受害者地址(0x13e382)透過Increase Allowance向詐騙者地址1 (0x4c10a4)授權rETH 和stETH。
詐騙者地址1 (0x4c10a4)將受害者地址(0x13e382)帳戶中的9, 579 stETH 轉帳至詐騙者地址2 (0x693b72),金額約1, 532 萬美元。
詐騙者地址1 (0x4c10a4)將受害者地址(0x13e382)帳戶中的4, 850 rETH 轉帳至詐騙者地址2 (0 x693b72),金額約841 萬美元。
2、 資金轉移追踪
2.1 資金兌換
將被竊取的stETH 和rETH 兌換成ETH。自2023-09-07 凌晨開始,詐騙者地址2 (0x693b72)分別在Uniswap V2、Uniswap V3、Curve 平台進行多筆兌換交易,將9, 579 stETH 和4, 850 rETH 全部兌換成ETH,兌換合計14 , 783.9413 ETH。
( 1) stETH 兌換:
( 2) rETH 兌換:
部分ETH 兌換成DAI。詐騙者地址2 (0x693b72)將1, 000 ETH 透過Uniswap V3平台兌換成1, 635, 047.761675421713685327 DAI。
2.2 資金轉移
詐騙者透過分散式資金轉移手段,將盜用資金轉移至多個中間錢包地址,總計1, 635, 139 DAI 和13, 785 ETH。其中1, 785 ETH 被轉移至中間地址(0x4F2F02), 2, 000 ETH 被轉移至中間地址(0x2ABdC2)以及10, 000 ETH 被轉移至中間地址(0x702350)。此外,中間地址(0x4F2F02)於次日獲得1, 635, 139 DAI。
2.2.1 中間錢包地址(0x4F2F02)資金轉移
該地址經一層資金轉移,擁有1, 785 ETH 和1, 635, 139 DAI。
( 1) 分散轉移資金DAI,以及小額兌換成ETH
首先,詐騙者於2023-09-07 日凌晨開始陸續透過10 筆交易轉移529, 000 個DAI。隨後,前7 筆共452, 000 DAI 已由中間位址轉至0x4E5B2e(FixedFloat),第8 筆,由中間位址轉至0x6cC5F6 (OKX),最後2 筆共77, 000 DAI 由中間位址轉至0xf1dA17( eXch)。
其次在9 月10 日,透過Uniswap V2將28, 052 DAI 兌換成17.3 ETH。
經過轉移後,該地址最終還剩餘盜取資金1078, 087 DAI 未轉出。
( 2) ETH 資金轉移
詐騙者從9 月8 日開始到9 月11 號,陸續進行18 筆交易,將1, 800 ETH 全部轉移至Tornado.Cash。
2.2.2 中間地址(0x2ABdC2)資金轉移
該地址經一層資金轉移,擁有2, 000 ETH。首先該地址於9 月11 日將2000 ETH 轉移至中間地址(0x71C848)。
隨後中間地址(0x71C848)分別在9 月11 日和10 月1 日,透過兩次資金轉移,總計20 筆交易,每筆轉移100 ETH,總計轉移2000 ETH 至Tornado.Cash。
2.2.3 中間地址(0x702350)資金轉移
該地址經一層資金轉移,擁有10, 000 ETH。截至2023 年10 月08 日, 10, 000 ETH 仍在該地址帳戶中未轉移。
3.詐騙資金來源
經過詐騙者地址1 (0x4c10a4)和詐騙者地址2 (0x693b72)的歷史交易進行分析,發現曾經有一個EOA 地址(0x846317)轉帳1.353 ETH 至詐騙者地址2(0x693b72),而該基金來源涉及與中心化交易所KuCoin 和Binance 的熱錢包地址。
4、總結
ChainAegis (https://app.chainaegis.com/) 平台鏈上數據分析,簡單清楚地呈現了釣魚詐騙者在鏈上的詐騙整個過程,以及詐騙資金目前的存留情況。詐騙者盜用受害地址的資金後,進行了一系列資金兌換和資金轉移,如下圖所示。期間總共涉及兩個詐騙地址:詐騙者地址1 (0x4c10a4)和詐騙者地址2 (0x693b72),4 個中間地址:中間地址(0x4F2F02)、中間地址(0x2ABdC2)、中間地址(0x702350)及中間地址( 0x71C848)。均被ChainAegis 列入黑名單地址庫,並且對中間地址進行即時監測。
About Us
SharkTeam 的願景是保護Web3世界的安全。團隊由來自世界各地的經驗豐富的安全專業人士和高級研究人員組成,精通區塊鍊和智慧合約底層理論。提供包括鏈上大數據分析、鏈上風險預警、智慧合約審計、加密資產追討等服務,並打造了鏈上大數據分析和風險預警平台ChainAegis,平台支援無限層級的深度圖分析,能有效對抗Web3世界的進階持續性竊盜(Advanced Persistent Theft,APT)風險。已與Web3生態各領域的關鍵參與者,如Polkadot、Moonbeam、polygon、OKX、Huobi Global、imToken、ChainIDE 等建立長期合作關係。
