前言
小A最近收到了交易所活动的短信,于是小A在浏览器输入“xx钱包官方”,点进排在首位的链接,下载App-创建钱包-转入资产,一气呵成。没一会,小A收到了转账成功的通知,他钱包App里的余额——价值1000万美元的ERC20-USDT——都化为零了。小A后来才意识到,这个App是假的,自己下载到钓鱼App了。
慢雾于去年11月24日发布了关于假钱包黑产的分析报告——慢雾:假钱包App已致上万人被盗,损失高达十三亿美元,可想而知,随着时间流逝,直到今天的被盗损失会是多么令人惊讶。
分析
今天我们从大数据侧分析,到底有多少假钱包。
1、MetaMask是目前全球最大的浏览器插件钱包。2021年4月,MetaMask母公司?ConsenSys?表示,MetaMask钱包的月活用户量超过500万,在6个月内增长了5倍,而2020年MetaMask官方也曾宣布其较2019年的月活同比增长了4倍,用户量超8000万。
MetaMask如此海量的用户数自然是黑产的第一目标,我们来看看有多少冒牌MetaMask:
首先,通过专业的浏览器搜索:
BIS:CBDC而非加密货币将成为未来货币体系的基石:金色财经报道,国际清算银行(BIS)在其“?2022年度经济报告”中用42页的篇幅为全球货币体系的未来规划了蓝图。根据BIS的说法,加密货币的结构缺陷使其不适合作为货币体系的基础。相反,可以围绕中央银行数字货币 (?CBDC?) 建立货币系统,CBDC是中央银行货币的数字表现形式。
在 BIS 未来货币体系蓝图中,CBDC 扮演着用于结算、转账和支付的稳定数字货币的角色。但 CBDC 项目在大多数主要经济体仍处于早期阶段。
BIS经济顾问兼研究主管Hyun Song Shin表示,稳定币,即与主权货币等资产价值挂钩的加密货币,是加密世界正在寻找这样的锚点。稳定币试图搭载中央银行发行的真实货币的稳定性。(Coindesk)[2022/6/22 4:44:01]
查找结果显示有20,000+?的相关结果,其中98%的IP/域名都是虚假链接。
进一步追踪,比如查找MetaMaskDownload:
欧洲央行官员:CBDC并不是现有货币体系的完全替代品:10月14日消息,欧洲央行市场基础设施和支付总监Ulrich Bindseil表示,中央银行数字货币(CBDC)系统应与现有货币系统共存。CBDC并不是现有货币系统的完全替代品。中央银行数字货币(CBDC)是一种全球现象,且是可以在任何地方实现的“民主技术”。随着世界范围内现金支付使用逐渐减少,预计有可能建立新的支付方式,并且随着货币的发展,银行将适应这种发展。且应致力于新兴体系与现有金融体系保持平衡,而不是完全清除银行和票据。(CoinPost)[2020/10/14]
一眼看去,都是钓鱼网站,而且熟悉安全的人应该都知道,888/HTTP、8888/HTTP这类端口和服务是宝塔系统的默认配置,而宝塔的简单易部署属性导致大量黑灰产使用。以上相关的IP/域名都是诱导用户访问、下载的虚假链接。
我们再进一步来看点有意思的。
首先搜索:MetaMask授权管理
声音 | 新京报专栏作家:人们通过区块链技术进入了以信用本身所产生的货币体系:12月11日,新京报刊发专栏作家连清川的文章《世界最大印钞厂陷破产危机,是谁惹的“祸”?》。文章表示,Facebook的Libra计划披露的时候,整个世界的央行如临大敌,恰恰因为连旧有的央行体系的金本位制,都已岌岌可危,人们通过区块链技术,进入的是以信用本身所产生的货币体系,而非绑定在国家占有的稀有资源作为货币体系的基础。[2019/12/11]
这些全都是黑产管理后台相关域名,我们顺手把域名也一起梭,部分抓到的域名及相关解析时间展示如下:
声音 | 王永利:JPM Coin只是一种网络代币不可能取代法定货币体系:中国国际期货有限公司副董事长王永利对摩根大通发行的JPM Coin发表评论称,大型金融机构或专业组织积极探索利用区块链等技术改进支付清算体系是值得鼓励的,但无论如何,在国家继续存在,很长时间内都难以消亡的情况下,要通过网络数字货币取代国家主权货币或法定货币,都是不现实的;以法定货币做支撑和完全锚定的“网络稳定币”,无论其具体设计如何变化,都只能是特定网络平台上的专用代币,更不可能取代或颠覆法定货币;需要下大力气解决的是网络平台的实际效能和流量问题,而不应把主要精力放在专用代币的设计、包装和炒作上。[2019/2/21]
Vue+PHP环境,部署方式如下:
2、imToken授权管理也是同样的方式:
声音 | 王永利:网络加密币不可能颠覆取代法定货币体系:以“防范金融风险,维护金融安全”为主题的首届北京金融安全论坛在北京召开。中国银行原行长王永利表示:“表示像比特币、以太币网络加密币不可能颠覆取代法定货币体系,只要国家存在就不可能取代它。它的定位应该是网络社区的专用币,或者叫商圈币。像饭菜票、饭菜卡、商场的购物卡、电商平台上的积分或者token,这些东西都是在法定货币体系下在一定范围里面赋予特殊权利义务的一种专用币或者代币,它是有价值的,但是一旦给它定位为是一种社区币或者商圈币的话,就必须要有一定的流通范围约束,而不能随便出了这个圈自由流通,否则就是在挑战法定货币的地位,影响法定货币的监管,那么监管一定会来约束。”[2018/12/5]
TokenPocket授权管理:
钓鱼后台:
后台相关的服务产业链:
3、后台获取到相关的受害人信息后,攻击者通过提币API接口进行操作:
我们来看一下代码:
涉及到基础Web服务的JS、配置JS、转账JS。
再看这条:var_0xodo='jsjiami.com.v6',不得不说,黑灰产已经超过大多数正规Web站点,人家已经在实施JS全加密技术。
配置:
此处sc0vu/web3.php:"dev-master"是用于与以太坊和区块链生态系统交互的php接口系统。
分析后发现,攻击者获取到私钥等相关信息后,通过api.html调用,转移相关盗窃资产。此处不再赘述。
你以为这样就结束了?
你以为他们的目标只是伪造MetaMask、imToken、TokenPocket等钱包的钓鱼网站?
其实他们除了伪造市面上这些知名钱包外,他们还仿造并搭建了相关交易平台进行钓鱼,我们来看下:
比如这个IP下,我们发现除了钓鱼页面、后台,还有其他信息:
伪造的交易平台钓鱼站,而且还不止一个:
使用Laravel框架搭建的加密货币钓鱼平台:
使用ThinkPHP框架搭建的仿?FTX?平台钓鱼站点:
再来看下SaaS版直接在线售卖的钓鱼模版:
子平台支持大部分主流的钱包
针对加密货币、NFT?的钓鱼产业链已十分完备,专业SaaS服务,快速部署,立马上线。?
进一步侦查发现相关的后台管理系统,如下图是云桌面式的管理后台,用来控制交易平台相关信息:
分类清晰功能齐全,黑灰产的先进与专业度已经远超想象。
总结
本文主要是从技术手段分析了钱包的全景,钱包钓鱼网站层出不穷,制作成本非常低,已经形成流程化专业化的产业链,这些子通常直接使用一些工具去copy比较出名的钱包项目网站,诱用户输入私钥助记词或者是诱导用户去授权。建议大家在尝试下载或输入之前,务必验证正在使用网站的URL。同时,不要点击不明链接,尽量通过官方网页或者官方的媒体平台下载,避免被钓鱼。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。