Monkey Drainer, uma gangue de bandidos multimilionários: técnicas de pesca, rastreamento de dinheiro e retratos de equipe

Original: "Slow Mist: “Desvendando” o mistério da gangue multimilionária Monkey Drainer

Autor: Slowmist Security Team

Fundo do Evento

Em 8 de fevereiro de 2023, a SlowMist recebeu informações de segurança de seu parceiro ScamSniffer de que uma vítima havia perdido mais de US$ 1.200.000 em USDC devido a um endereço de phishing de longa data.

• Endereço do hacker: 0x69420e2b4ef22d935a4e2c194bbf3a2f02f27be1;
• Endereço de lucro: 0x9cdce76c8d7962741b9f42bcea47b723c593efff.

()

Em 24 de dezembro de 2022, a SlowMist Technology divulgou a “North Korean APT Large-scale NFT Phishing Analysis” pela primeira vez globalmente, e este incidente de phishing está ligado a outra gangue de phishing NFT que rastreamos, a Monkey Drainer. Devido a alguns requisitos de confidencialidade, este artigo analisa apenas alguns dos materiais de phishing e endereços de carteira de phishing da gangue.

Análise de phishing

Após análise, descobrimos que o principal método de phishing é postar sites falsos relacionados a NFT com hortelãs maliciosas por meio de contas falsas do Twitter de influenciadores, grupos do Discord, etc., que são vendidos em plataformas como OpenSea, X2Y2 e Rarible. A organização Monkey Drainer teve como alvo mais de 2.000 domínios em phishing para usuários de criptografia e NFT.

Uma pesquisa de informação sobre o registo destes domínios revelou que a data de registo remonta a 4 meses atrás:

Inicialmente, o grupo Monkey Drainer promoveu phishing através de contas falsas no Twitter:

Ao mesmo tempo, o primeiro phishing na direção NFT começou a aparecer: mechaapesnft[.] arte:

Vamos dar uma olhada em duas características correlacionais específicas:

O rastreamento é então associado a uma combinação de recursos:

Após a classificação, rastreamos mais de 2.000 phishing NFT e outros URLs com as mesmas características de 2022 até o presente.

Usamos o ZoomEye para realizar uma pesquisa global para ver quantos sites de phishing estavam sendo executados e implantados ao mesmo tempo:

Entre eles, os sites mais recentes têm aqueles disfarçados de airdrops Arbitrum:

**Ao contrário do grupo de hackers norte-coreano, a organização de phishing Monkey Drainer não tem um site especial para cada site para contar os registros de acesso das vítimas, mas usa uma maneira simples e grosseira de pescar e implantar diretamente em lotes, então adivinhamos que a organização de phishing Monkey Drainer usa um modelo de phishing para implantar automaticamente em lotes. **

Continuamos a rastrear a cadeia de suprimentos e descobrimos que a cadeia de suprimentos usada pela organização de phishing NFT da Monkey Drainer é um modelo fornecido pela cadeia da indústria cinza existente, como a descrição de vendas de anúncios:

Recursos de suporte à cadeia de suprimentos de phishing:

A julgar pela introdução, o preço é favorável e as funções são perfeitas. Devido a limitações de espaço, não vou entrar em detalhes aqui.

Análise de Técnicas de Phishing

Combinado com o anterior “NFT zero-yuan purchase phishing” lançado pela Slowfog, analisamos o código principal deste evento de phishing.

A análise descobriu que o código principal usava ofuscação para induzir as vítimas a assinar Seaport, Permit, etc., e ao mesmo tempo usava o mecanismo de assinatura de autorização offline do Permit usdc, etc., para atualizar o mecanismo de phishing original.

Encontre um site aleatório para testar e ele aparecerá como phishing “SecurityUpdate”:

Em seguida, observe a visualização de dados:

By the way, a carteira plugin Rabby faz um bom trabalho de visualização e torná-lo legível. Mais análises não se repetirão.

Vista aérea on-chain

Com base na análise dos mais de 2.000 URLs de phishing acima e do banco de dados de endereços maliciosos Slowmist AML associado, analisamos um total de 1.708 endereços maliciosos relacionados à gangue de phishing NFT Monkey Drainer, dos quais 87 endereços eram endereços de phishing iniciais. Os endereços maliciosos relevantes foram inseridos na plataforma MistTrack () e no banco de dados de endereços maliciosos SlowMist AML ().

Usando os 1708 endereços maliciosos associados ao conjunto de dados de análise on-chain, podemos obter as seguintes conclusões da gangue de phishing:

• Exemplos de ofertas de phishing:

• Prazo: A data ativa mais antiga para o conjunto de endereços on-chain é 19 de agosto de 2022, e ainda está ativa em um futuro próximo.

• Tamanho do lucro: Aproximadamente US $ 12,972 milhões em lucros totais de phishing. Entre eles, o número de NFTs de phishing foi de 7.059, com um lucro de 4.695,91 ETH, ou cerca de US$ 7,61 milhões, representando 58,66% dos fundos obtidos; O Token ERC20 teve um lucro de cerca de US$ 5,362 milhões, representando 41,34% dos fundos obtidos, dos quais os principais tipos de Token ERC20 lucrativos são USDC, USDT, LINK, ENS e stETH. (Nota: Os preços ETH são baseados em 2023/02/09, fonte de dados CryptoCompare.) ）

Os detalhes do token Take Profit ERC20 são os seguintes:

(Tabela de detalhes do token ERC20 de lucro para endereços de gangues de phishing)

Análise de rastreabilidade

A equipe MistTrack do SlowMist conduziu a análise de rastreabilidade on-chain do conjunto de endereços maliciosos, e o fluxo de fundos foi o seguinte:

De acordo com o gráfico Sanky, rastreamos um total de 3876,06 ETH dos fundos lucrativos transferidos para endereços físicos, dos quais 2452,3 ETH foram depositados no Tornado Cash, e o restante foi transferido para algumas exchanges.

As fontes de taxas para os 87 endereços de phishing iniciais são as seguintes:

De acordo com o histograma da fonte das taxas, 2 endereços têm taxas do Tornado Cash, 79 endereços têm transferências de endereços pessoais, e os 6 endereços restantes não aceitaram fundos.

Exemplo típico de rastreamento

Em 8 de fevereiro, o endereço hackeado que perdeu mais de US $ 1.200.000:

0x69420e2b4ef22d935a4e2c194bbf3a2f02f27be1 Obter acesso ao endereço da vítima via phishing e transferir 1,244,107.0493 USDC para ele

0x9cdce76c8d7962741b9f42bcea47b723c593efff, depois que o USDC é trocado por ETH através do MetaMask Swap, parte do ETH é transferido para o Tornado Cash, e os fundos restantes são transferidos para o endereço de phishing usado anteriormente.

Análise de retratos de gangues

Finalmente, graças ao ScamSniffer e NFTScan pelo seu suporte de dados.

Resumo

Este artigo explora principalmente um método de phishing NFT relativamente comum, descobre o grupo de estações de phishing NFT em grande escala organizado pela Monkey Drainer, e extrai algumas das características de phishing da organização Monkey Drainer. À medida que a Web3 continua a inovar, o mesmo acontece com as formas de direcionar o phishing da Web3.

Para os usuários, é necessário entender o risco do endereço alvo com antecedência antes de realizar operações on-chain, como inserir o endereço alvo no MistTrack e visualizar a pontuação de risco e rótulos maliciosos, o que pode evitar cair na situação de perder fundos até certo ponto.

Para a equipe do projeto wallet, em primeiro lugar, é necessário realizar uma auditoria de segurança abrangente, com foco em melhorar a parte de segurança da interação do usuário, fortalecer o mecanismo WYSIWYG e reduzir o risco de phishing dos usuários, como:

Alertas de sites de phishing: reúna todos os tipos de sites de phishing através do poder da ecologia ou da comunidade e forneça lembretes e avisos atraentes de riscos quando os usuários interagem com esses sites de phishing.

Identificação e lembrete de assinaturas: identifique e lembre solicitações de assinaturas, como eth_sign, personal_sign e signTypedData, e destaque os riscos da assinatura cega de eth_sign.

O que você vê é o que você assina: a carteira pode executar um mecanismo de análise detalhado para chamadas de contrato para evitar Aprovar phishing e informar os usuários sobre os detalhes da construção da transação DApp.

Mecanismo de pré-execução: O mecanismo de pré-execução pode ajudar os usuários a entender o efeito da transação após a execução da transmissão e ajudar o usuário a prever a execução da transação.

Lembrete de golpe com o mesmo número de cauda: Ao exibir o endereço, o usuário é lembrado de verificar o endereço de destino completo para evitar fraudes com o mesmo número de cauda. O mecanismo de lista branca permite que os usuários adicionem endereços comumente usados à lista branca para evitar ataques com o mesmo número de cauda.

Lembrete de conformidade com AML: Ao transferir dinheiro, o mecanismo AML lembra aos usuários se o endereço de destino da transferência acionará as regras de AML.