SlowMist

Non molto tempo dopo l'ultimo annuncio di "Un'altra truffa Airdrop, ma con una svolta", abbiamo identificato una truffa molto simile sulla base delle segnalazioni delle vittime.

Secondo i resoconti di molte vittime, i trasferimenti di 0 USDT da indirizzi non riconosciuti continuavano a comparire nella cronologia delle transazioni degli indirizzi degli utenti della rete TRON, e ogni volta veniva richiamata la funzione TransferFrom.

Facendo clic su una transazione casuale per visualizzarne i dettagli, come illustrato nella Figura 1 per la transazione con tx 701e7 nel riquadro rosso.

Questa serie è un caso di studio del servizio di indagine MistTrack.

Panoramica

Gli hacker hanno attaccato un progetto e trasferito tutti i fondi rubati a TornadoCash, spingendo la parte del progetto a chiedere assistenza a MistTrack. Abbiamo scoperto l'indirizzo di prelievo impostato eseguendo un'analisi delle transazioni TornadoCash e separando i fondi da altri utenti. Dopo alcuni giorni di attesa, una parte dei fondi rubati è stata finalmente trasferita su un exchange. Abbiamo inviato un messaggio on-chain all'indirizzo di prelievo dell'hacker, richiedendo la restituzione dei fondi rubati o affrontando azioni legali. I fondi rubati sono stati restituiti alla squadra entro nove ore.

Recentemente diversi utenti hanno segnalato che i loro beni erano stati rubati. Inizialmente non erano sicuri di come fossero stati rubati i loro fondi, ma dopo un esame più attento abbiamo scoperto che si trattava di un nuovo tipo di truffa tramite airdrop.

Molti degli indirizzi delle vittime venivano costantemente trasferiti con piccole quantità di token (0,01 USDT, 0,001 USDT, ecc.) e molto probabilmente venivano presi di mira perché i loro indirizzi erano coinvolti in transazioni e volumi di scambi di alto valore. Le ultime cifre dell’indirizzo dell’aggressore sono quasi identiche alle ultime cifre dell’indirizzo dell’utente. Questo viene fatto per indurre l'utente a copiare accidentalmente l'indirizzo sbagliato dalla cronologia delle transazioni e a inviare i fondi all'indirizzo sbagliato.

Sfondo

I funzionari di Celer Network hanno dichiarato il 18 agosto che tra le 3:45 e le 6:00, ora di Pechino, alcuni utenti di cBridge sono stati indirizzati a contratti intelligenti dannosi. Inizialmente si sospettava che l'interfaccia front-end di cBridge fosse stata compromessa da un attacco DNS.

Completamente diverso dai precedenti episodi di hacking di bridge cross-chain come Nomad, Wormhole, Ronin, Harmony, ecc., questo attacco non è stato causato da bug negli smart contract e nei protocolli cross-chain o dall'intrusione dei server correlati e dal cross-chacking Anche le risorse della catena bloccate in cBridge sono state mantenute al sicuro. In questo attacco gli hacker hanno preso di mira direttamente l'infrastruttura sottostante dell'architettura Internet al di fuori del sistema Celer e hanno consentito agli utenti cross-chain di accedere entro un certo periodo di tempo a un'interfaccia utente front-end di "phishing" ingannando il protocollo di routing sottostante di Internet ( BGP). La rete Celer è stata in grado di limitare i danni grazie alla loro pronta risposta. Questo perché il team di Celer Network dispone di un sistema di monitoraggio 24 ore su 24. Il loro team di assistenza clienti è stato in grado di identificare il problema e avvisare la comunità in modo tempestivo. Il team di Celer Network ha autorizzato il team di sicurezza di SlowMist a rispondere a questa emergenza e a condurre un'indagine approfondita.