从技术手段分析诈骗钱包的全景

假钱包全景追踪:深入揭秘假钱包钓鱼产业链

前言

小 A最近收到了交易所活动的短信,于是小 A 在浏览器输入“xx 钱包官方”,点进排在首位的链接,下载 App-创建钱包-转入资产,一气呵成。没一会,小 A 收到了转账成功的通知,他钱包 App 里的余额——价值 1000 万美元的 ERC20-USDT——都化为零了。小 A 后来才意识到,这个 App 是假的,自己下载到钓鱼 App 了。

慢雾于去年 11 月 24 日发布了关于假钱包黑产的分析报告——慢雾:假钱包 App 已致上万人被盗,损失高达十三亿美元,可想而知,随着时间流逝,直到今天的被盗损失会是多么令人惊讶。

分析

今天我们从大数据侧分析,到底有多少假钱包。

1、MetaMask是目前全球最大的浏览器插件钱包。2021 年 4 月,MetaMask 母公司 ConsenSys 表示,MetaMask 钱包的月活用户量超过 500 万,在 6 个月内增长了 5 倍,而 2020 年 MetaMask 官方也曾宣布其较 2019 年的月活同比增长了 4 倍,用户量超 8000 万。

MetaMask 如此海量的用户数自然是黑产的第一目标,我们来看看有多少冒牌MetaMask:

首先,通过专业的浏览器搜索:

查找结果显示有 20,000 + 的相关结果,其中 98% 的 IP/域名都是虚假诈骗链接。

进一步追踪,比如查找 MetaMask Download:

一眼看去,都是钓鱼网站,而且熟悉安全的人应该都知道,888/HTTP、8888/HTTP 这类端口和服务是宝塔系统的默认配置,而宝塔的简单易部署属性导致大量黑灰产使用。以上相关的 IP/域名都是诱导用户访问、下载的虚假诈骗链接。

我们再进一步来看点有意思的。

首先搜索:MetaMask 授权管理(黑灰产钓鱼的管理后台)

这些全都是黑产管理后台相关域名,我们顺手把域名也一起梭,部分抓到的域名及相关解析时间展示如下:

Vue+PHP 环境,部署方式如下:

2、imToken授权管理也是同样的方式:

TokenPocket授权管理:

钓鱼后台:

后台相关的服务产业链:

3、后台获取到相关的受害人信息后, 攻击者通过提币 API 接口进行操作:

我们来看一下代码:

涉及到基础 Web 服务的 JS、配置 JS、转账 JS。

再看这条:var _0xodo='jsjiami.com.v6',不得不说,黑灰产已经超过大多数正规 Web 站点,人家已经在实施 JS 全加密技术。

配置:

此处 sc0vu/web3.php: "dev-master" 是用于与以太坊和区块链生态系统交互的 php 接口系统。

分析后发现,攻击者获取到私钥等相关信息后,通过 api.html 调用,转移相关盗窃资产。此处不再赘述。

你以为这样就结束了?

你以为他们的目标只是伪造MetaMask、imToken、TokenPocket等钱包的钓鱼网站?

其实他们除了伪造市面上这些知名钱包外,他们还仿造并搭建了相关交易平台进行钓鱼,我们来看下:

比如这个 IP 下,我们发现除了钓鱼页面、后台,还有其他信息:

伪造的交易平台钓鱼站,而且还不止一个:

使用 Laravel 框架搭建的加密货币钓鱼平台:

使用 ThinkPHP 框架搭建的仿 FTX 平台钓鱼站点:

再来看下 SaaS 版直接在线售卖的钓鱼诈骗模版:

骗子平台支持大部分主流的钱包(这里的钱包也是他们伪造的)

针对加密货币、NFT 的钓鱼诈骗产业链已十分完备,专业 SaaS 服务,快速部署,立马上线。

进一步侦查发现相关的后台管理系统,如下图是云桌面式的管理后台,用来控制交易平台相关信息:

分类清晰功能齐全,黑灰产的先进与专业度已经远超想象。

总结

本文主要是从技术手段分析了诈骗钱包的全景,钱包钓鱼网站层出不穷,制作成本非常低,已经形成流程化专业化的产业链,这些骗子通常直接使用一些工具去 copy 比较出名的钱包项目网站,诱骗用户输入私钥助记词或者是诱导用户去授权。建议大家在尝试下载或输入之前,务必验证正在使用网站的 URL。同时,不要点击不明链接,尽量通过官方网页或者官方的媒体平台下载,避免被钓鱼。

24小时热点

元宇宙系列之Web3.0已具备体系性的基础设施

Web3.0定义:从后端生产关系革新开始。Web3.0是结合 ... 置顶

31562

STPEN真是因为“数据合规”问题退出中国?

5月27日凌晨, STEPN官方突然发布了一条名为《关于清查 ...

14658

Art Blocks

浙江邮政发行数字版权藏品

据浙江邮政微金融官方公众号,中国邮政集团有限公司浙江省分公司 ...

14613

Axie Infinity

NFT 周期轮转:野生 泡沫和价值回归

NFT交易量周期具有“热点引爆”、“从大到小”、“延续性”等 ...

10921

PANews

中非共和国创建一个加密货币中心——Sango。

在 4 月份采用比特币作为法定货币后,中非共和国(CAR)现 ...

10543

利得链

iBox因几乎全线藏品暴跌而登上微博热搜

炒鞋、炒盲盒、炒数字藏品……从实体潮鞋,到神秘的盒子,再到一 ...

28903

淘派数字藏品

用 NFT 讲故事是采用自上而下的方式 还是自下而上的方式

一个好故事能让你心有所感。这故事如果还归你所有,那这些情绪就 ...

7935

云岫数字藏品

一文详解NFT最强玩家BAYC(无聊猿)

梳理Web3.0巨头系列,本篇我们讲NFT的最强玩家BAYC ...

13372

律核melocore

NFT和Token有区别吗?

一直以来,没有写过任何关于NFT的文章。不写,不表示不关注、 ...

7753

归藏

元宇宙给商业银行未来网点创新带来新思路

导语:分析元宇宙的发展对商业银行未来网点、智慧银行可能带来的 ...

19291

CryptoWars加密战争

web3是元宇宙中最重要的基础设施之一(2)

玩笑与否,我重在说明一个词的重要性 – Purpose:当用 ...

8762

CryptoRank

热点专题

元宇宙是基于多种技术打造的虚实相生的数字世界

当前,部分人士仍然认为元宇宙不过是混合现实和数字孪生技术的一 ... 置顶

20341

NFT艺术品到底是什么?

Beeple,“EVERYDAYS: THE FIRST 5 ...

2171265

Opera House

最全的NFT发展史

当我们理解一个新生事物,必须要首先了解其起源,通过对其源头以 ...

1673210

iBox

中国成功学十大“大师”

陈安之 陈安之,男,汉族人,1967年12月28 ...

1214805

MakersPlace

什么是IDO?这种模式会带来怎样的影响?

要理解IDO(Initial DeFi Offering)初 ...

1002627

Bitstamp交易所

2020中国区块链行业报告

2019年对区块链来说是充满了机遇与挑战的关键性的一年。在后 ...

792195

知信链

有黑客采取新型 USDT 假充值手法

根据慢雾区情报,有黑客采取新型 USDT 假充值手法,黑客采 ...

790061

欧易交易所app下载

深度解读元宇宙 Decentraland

Decentraland 基于以太坊构建,是由用户共同拥有并 ...

696730

ImToken 多链钱包

Uniswap是什么?

注意!币圈老虎机已开启

578386

量子链钱包

OpenSea 为例子教大家如何购买 NFT

就如同流动性挖矿刚起步时候一样,大多数用户并不了解 NFT ...

548131

CryptoSpells

了解CHIA这篇就够了

这些清单旨在作为信息来源和研究的出发点,为你的研究提供常识性 ...

543858

Kusama 测试网