Недавно несколько пользователей сообщили, что их активы были украдены. Сначала они не были уверены в том, как были украдены их средства, но при ближайшем рассмотрении мы обнаружили, что это новый тип мошенничества с воздушными сбросами.
На адреса многих жертв постоянно пересылались небольшие суммы токенов (0,01 USDT, 0,001 USDT и т. д.), и они, скорее всего, были атакованы, поскольку их адреса были задействованы в крупных транзакциях и объёмах торговли. Последние несколько цифр адреса злоумышленника практически идентичны последним нескольким цифрам адреса пользователя. Это сделано для того, чтобы обманом заставить пользователя случайно скопировать неверный адрес из истории транзакций и отправить средства на неправильный адрес.
Связанная информация
Адрес злоумышленника 1: TX…dWfKz
Адрес пользователя 1: TW…dWfKz
Адрес злоумышленника 2: TK…Qw5oH
Адрес пользователя 2: TW…Qw5oH
Анализ туманного трека
Начнем с обзора двух адресов злоумышленников:
Адрес злоумышленника (TX…..dWfKz) и адрес пользователя (TW…..dWfKz) заканчиваются на dWfKz. Даже после того, как пользователь по ошибке отправил 115 193 USDT на неправильный адрес, злоумышленник все равно пересылает 0,01 USDT и 0,001 USDT на адрес жертвы, используя два новых адреса, которые также заканчиваются на dWfKz.
То же самое произошло и с нашей второй жертвой. Адрес злоумышленника (TK….Qw5oH) и адрес пользователя ((TW….Qw5oH) заканчиваются на Qw5oH. Жертва по ошибке отправила 345 940 долларов США на неверный адрес, а злоумышленник продолжает пересылать 0,01 доллара США на адрес жертвы. используя новые адреса, которые также заканчиваются на Qw5oH.
Далее мы проверим адрес злоумышленника 1 с помощью нашей платформы AML MistTrack (tx.. .dWfKz). Как показано на рисунке ниже, адрес злоумышленника 1 передает 0,01 USDT и 0,02 USDT на различные целевые адреса, каждый из которых взаимодействовал с адресом, который заканчивается на dWfKz.
Оглядываясь назад, мы видим, что первоначальные переводы для этих раздач поступали с адреса TF…. J5Jo8 10 октября, когда на него было переведено 0,5 USDT.
Предварительный анализ ТФ… .J5Jo8:
С этого адреса было отправлено 0,5 доллара США почти на 3300 адресов, что указывает на то, что каждый из этих адресов приема мог быть адресом, используемым злоумышленником для раздачи. Поэтому мы решили наугад выбрать один адрес, чтобы проверить нашу теорию.
MistTrack использовался для анализа последнего адреса на графике выше: TX…..4yBmC. Как показано на рисунке ниже, адрес TX….4yBmC используется злоумышленником для пересылки 0,01 USDT на несколько адресов, оканчивающихся на 4yBmC.
Давайте посмотрим на адрес злоумышленника 2 (TK…..Qw5oH): 0,01 USDT было переброшено по нескольким адресам, а первоначальное финансирование в размере 0,6 USDT было отправлено с TD…. .psxmk.
Как видно из графика ниже, злоумышленник отправил 0,06 USDT на TD…. .kXbFq, а также взаимодействовал с депозитным адресом пользователя FTX, который заканчивается на Qw5oH.
Итак, давайте обратим процесс и посмотрим, взаимодействовали ли другие адреса с TD… .kXbFq. Существуют ли какие-либо другие адреса с такими же конечными символами, как те, которые им были переданы по воздуху?
Еще раз мы случайным образом выберем два адреса и проверим нашу теорию. (например, адрес депозита Kraken TU… .hhcWoT и адрес депозита Binance TM….QM7me).
К сожалению, мошеннику удалось обманом заставить ничего не подозревающего пользователя отправить ему свои средства.
Краткое содержание
В этой статье основное внимание уделяется тому, как мошенник эксплуатирует пользователей, которые копируют адрес из истории транзакций, не проверяя весь адрес. Они достигают этого, генерируя аналогичный адрес, который заканчивается так же, как адрес пользователя, и регулярно передавая небольшие суммы средств на адрес пользователя. Все это делается в надежде, что пользователи в следующий раз скопируют фейковый адрес и отправят свои средства мошеннику.
SlowMist хотел бы напомнить всем, что из-за неизменности технологии блокчейна и необратимости операций в цепочке, пожалуйста, дважды проверьте адрес, прежде чем продолжить. Пользователям также рекомендуется использовать функцию адресной книги в своем кошельке, чтобы им не приходилось каждый раз копировать и адресовать адрес.
