起底數千萬美金大盜團夥Monkey Drainer：釣魚手法、資金追蹤和團隊畫像

原文：《慢霧：“揭開” 數千萬美金大盜團夥 Monkey Drainer 的神秘面紗》

作者：慢霧安全團隊

事件背景

2023 年 2 月 8 日，慢霧科技（SlowMist）從合作夥伴 ScamSniffer 收到安全情報，一名受害者因一個存在已久的網路釣魚地址損失超過 1,200,000 美元的 USDC。

• 駭客位址：0x69420e2b4ef22d935a4e2c194bbf3a2f02f27be1;
• 獲利位址：0x9cdce76c8d7962741b9f42bcea47b723c593efff。

()

2022 年 12 月 24 日，慢霧科技首次全球披露 “朝鮮 APT 大規模 NFT 釣魚分析” ，而本次釣魚事件與我們追蹤的另一個 NFT 釣魚團夥 Monkey Drainer 關聯。 由於一些保密要求，本篇文章僅針對該團夥的部分釣魚素材及釣魚錢包地址進行分析。

釣魚網站分析

經過分析，我們發現主要的釣魚方式是通過虛假大 V 推特帳號、Discord 群等發佈虛假 NFT 相關的帶有惡意 Mint 的誘餌網站，這些 NFT 在 OpenSea、X2Y2 和 Rarible 等平臺上均有出售。 此次 Monkey Drainer 組織針對 Crypto 和 NFT 用戶進行釣魚涉及 2000 多個功能變數名稱。

通過查詢這些功能變數名稱的註冊相關信息，發現註冊日期最早可追溯到 4 個月前：

最初 Monkey Drainer 組織是通過虛假推特賬號進行推廣釣魚：

同時開始出現第一個 NFT 方向的釣魚：mechaapesnft[.] art：

我們來看下兩個具體的關聯特徵：

然後通過特徵組合關聯追蹤：

經過整理，我們追蹤到從 2022 年到現在有 2000 多個同特徵的 NFT 釣魚等網址。

我們使用 ZoomEye 來進行全球搜索，統計看看駭客有多少釣魚網站同時運行與部署：

其中，最新的網站有偽裝成 Arbitrum 空投的：

**與朝鮮駭客組織不同，Monkey Drainer 釣魚組織沒有每個網站採用專門網站去統計受害者訪問記錄這種功能，而是使用簡單粗暴的方式，直接釣魚，批量部署，所以我們猜測 Monkey Drainer 釣魚組織是使用釣魚模版批量化自動部署。 **

我們繼續追蹤供應鏈，發現 Monkey Drainer NFT 釣魚組織使用的供應鏈是現有灰色產業鏈提供的模版，如 廣告售賣說明：

釣魚供應鏈支援功能：

從介紹來看，價格優惠、功能完善。 由於篇幅有限，此處不再贅述。

釣魚手法分析

結合之前慢霧發佈的 「NFT 零元購釣魚」，我們對此釣魚事件的核心代碼進行了分析。

分析發現，核心代碼都使用混淆、誘導受害者進行 Seaport、Permit 等簽名，同時使用 Permit usdc 的離線授權簽名機制等等，升級了原來的釣魚機制。

隨機找一個網站進行測試，顯示為 「SecurityUpdate」 騙簽釣魚：

再通過視覺化資料查看：

順便提一句，Rabby 外掛程式錢包的數據解析可視化、可讀化做的很好。 更多分析不再贅述。

鏈上鳥瞰

根據分析上述 2000 多個釣魚網址及關聯慢霧 AML 惡意位址庫，我們共計分析到 1708 個與 Monkey Drainer NFT 釣魚團夥有關的惡意位址，其中 87 個位址為初始釣魚位址。 相關惡意位址都已經錄入MistTrack平臺（）及慢霧 AML惡意位址庫（）。

以關聯到的 1708 個惡意地址為鏈上分析數據集，我們能夠得到該釣魚團夥以下結論：

• 示例釣魚交易：

• 時間範圍：鏈上位址集最早的活躍時間為 2022 年 8 月 19 日，近期仍在活躍中。

• 獲利規模：通過釣魚的方式共計獲利約1297.2萬美元。 其中釣魚 NFT 數量 7,059 個，獲利 4,695.91 ETH，約合 761 萬美元，佔所獲資金比例 58.66%; ERC20 Token 獲利約 536.2 萬美元，占所獲資金比例 41.34%，其中主要獲利 ERC20 Token 類型為 USDC， USDT， LINK， ENS， stETH。 （注：ETH 價格均取 2023/02/09 價格，數據源 CryptoCompare。 ）

獲利 ERC20 Token 詳情如下面表格：

（釣魚團夥地址獲利 ERC20 Token 詳情表）

追蹤溯源分析

慢霧MistTrack團隊對惡意位址集進行鏈上追蹤溯源分析，資金轉移流向如下圖：

根據資金流向 Sanky 圖，我們追蹤到獲利資金中共計有 3876.06 ETH 轉移到實體位址，其中 2452.3 ETH 被存款到 Tornado Cash，剩餘資金則轉移到一些交易所。

87 個初始釣魚地址的手續費來源情況如下圖：

根據手續費來源直方圖，2 個地址的手續費來自 Tornado Cash，79 個地址來自個人地址轉帳，剩餘 6 個位址未接受過資金。

典型示例追蹤

2 月 8 日，損失超過 1,200,000 美元的駭客位址：

0x69420e2b4ef22d935a4e2c194bbf3a2f02f27be1 通過釣魚獲取受害者地址的許可權，將 1,244,107.0493 USDC 轉入

0x9cdce76c8d7962741b9f42bcea47b723c593efff ，后 USDC 通過 MetaMask Swap 兌換成 ETH，部分 ETH 轉移到 Tornado Cash，剩餘資金轉移到之前使用過的釣魚位址。

團夥畫像分析

最後感謝 ScamSniffer、NFTScan 提供的數據支援。

總結

本文主要通過一種較為常見的 NFT 釣魚方式順藤摸瓜，發現了 Monkey Drainer 組織的大規模 NFT 釣魚站群，並提煉出 Monkey Drainer 組織的部分釣魚特徵。 Web3 不斷創新的同時，針對 Web3 釣魚的方式也越來越多樣，令人措手不及。

對用戶來說，在進行鏈上操作前，提前瞭解目標地址的風險情況是十分必要的，例如在MistTrack中輸入目標位址並查看風險評分及惡意標籤，一定程度上可以避免陷入資金損失的境地。

對錢包專案方來說，首先是需要進行全面的安全審計，重點提升使用者交互安全部分，加強所見即所簽機制，減少使用者被釣魚風險，如：

釣魚網站提醒：通過生態或者社區的力量彙聚各類釣魚網站，並在使用者與這些釣魚網站交互的時候對風險進行醒目地提醒和告警。

簽名的識別和提醒：識別並提醒 eth_sign、personal_sign、signTypedData 這類簽名的請求，並重點提醒 eth_sign 盲簽的風險。

所見即所簽：錢包中可以對合約調用進行詳盡解析機制，避免 Approve 釣魚，讓使用者知道 DApp 交易構造時的詳細內容。

預執行機制：通過交易預執行機制可以説明用戶瞭解到交易廣播執行后的效果，有助於使用者對交易執行進行預判。

尾號相同的詐騙提醒：在展示地址的時候醒目的提醒使用者檢查完整的目標位址，避免尾號相同的詐騙問題。 設置白名單地址機制，用戶可以將常用的位址加入到白名單中，避免類似尾號相同的攻擊。

AML 合規提醒：在轉帳的時候通過 AML 機制提醒使用者轉帳的目標位址是否會觸發 AML 的規則。