Scam Sniffer 年度报告:32万用户的3亿美元资产因恶意钓鱼被盗

过去这年的钓鱼活动每月都在逐步增长,恶意钓鱼者操作手法更加老练,更隐蔽地逃避安全验证,Scam Sniffer 有这些关于「Wallet Drainer」的发现,值得全行业重视。

介绍

Wallet Drainer作为一种加密货币相关的恶意软件,在过去的一年里取得了显著的”成功”。这些软件被部署在钓鱼网站上,骗取用户签署恶意交易,进而盗取其加密货币钱包中的资产。这些钓鱼活动以多种形式不断地攻击普通用户,导致许多人在无意识地签署恶意交易后遭受了重大财产损失。

被盗统计

在过去一年,Scam Sniffer监控到这些Wallet Drainers已经从大约324K受害者中盗取了将近2.95亿美金的资产。

被盗趋势

值得一提的是,3月11号这一天有接近700万美金被盗。大部分是因为USDC汇率波动,遭遇了假冒Circle的钓鱼网站。也有大量的被盗临近3月24号Arbitrum的Discord被黑以及后续的空投。

每次波峰都伴随着关联群体性事件。可能是空投,也可能是黑客事件。

值得注意的Wallet Drainers

DrainerTotal StolenVictimsStart Date
Inferno Drainer$81 million134kMarch, 2023
MS Drainer$59 million63kMarch, 2023
Angel Drainer$20 million30kMarch, 2023
Monkey Drainer$16 million18kAugust, 2022
Venom Drainer$27 million15kJanuary, 2023
Pink Drainer$18 million9kMarch, 2023
Pussy Drainer$15 million4kJanuary, 2023

随着ZachXBT揭露Monkey Drainer后,他们在活跃了6个月后宣布退出,。然后Venom接替了他们的大部分客户。随后MS, Inferno, Angel, Pink也都在3月份左右出现。随着Venom在4月份左右停止服务,大部分的钓鱼团伙转向了使用其他的服务。

规模和速度都在惊人地升级。 例如,「Monkey」在 6 个月内了 1600 万美元,而「Inferno Drainer」则明显超过这一数字,在短短 9 个月内盗取了 8100 万美元。

按照20%的Drainer费用, 他们通过出售服务获利至少4700万美金。

Wallet Drainers趋势

通过分析趋势可以发现,钓鱼活动相对来讲一直在持续增长。而且在每一个Drainer退出后都会有新的Drainer替代他们,比如近期在Inferno宣布退出后,Angel似乎成为了新的替代品。

他们都是如何发起钓鱼活动的?

这些钓鱼网站其主要获取流量的方式可以大致主要分为几类:

  • 黑客攻击
    • 官方项目Discord和Twitter被黑
    • 官方项目前端或使用的库被攻击
  • 自然流量
    • 空投NFT或Token
    • Discord链接失效被占用
    • Twitter垃圾提醒和评论
  • 付费流量
    • Google搜索广告
    • Twitter广告

黑客攻击虽然影响面大,但往往反应足够及时,一般10-50分钟整个社区都有所行动。而空投、自然流量、付费广告、以及Discord链接失效被占用,这些则更加的不容易察觉。

除此之外,还有更加针对性的对个人的私信钓鱼等。

常见的钓鱼签名

针对不同的资产类型也有着不同的方式来发起恶意钓鱼签名,以上是一些不同类资产所常见的钓鱼签名方式。受害者钱包所拥有的资产类型会决定发起什么样的恶意钓鱼签名。

从利用GMX的signalTransfer盗取Reward LP token的案例中,可以发现他们对特定资产的钓鱼利用方式已经到了很精细化的研究。

最严重的13个被盗受害者

VictimTotal StolenPhishing Signature
0x13e382dfe53207e9ce2eeeab330f69da2794179e$24.05mIncrease Allowance
0xea69653e6dd19789ac15ce5752547a94da8dd4cf$4.47mIncrease Approval
0x82287cdda3d1b5d26d49ce03280d07b86d54fe54$4.08mERC20 Permit
0xf6b6f07862a02c85628b3a9688beae07fea9c863$3.83mApprove
0x1963ad313f41044a9a48397f31d21bc6a3b4c643$3.22mApprove
0x36b793f774aa4657109e11a2b47f758dabee7b42$2.29mERC20 Permit
0xfab576ff46bd27b095a4eee4a293ecb0c41d5a85$2.25mApprove
0xdbecdbd53ff10183a0f9ddfb4eab1e52e806a4b3$1.49mERC20 Permit, Approve
0xc0819e1e01204bcb9cb5a0a3be826afedad6edef$1.28mUniswap Permit2
0xc53f38ae0b009bea9c96fd32767f4e4cbf10ffb6$1.24mERC20 Permit
0x5197da90fb01040a1896a92616ecdfb5765b1134$1.19mApprove
0x5242dc2114bb40ed7482adcfab07384d069408cc$1.04mERC20 Permit
0x0e7a6b3b5ee4a1228a0334fa8170347a31538c49$1.03mClaimRewards

以上是被盗最多的受害者,这些受害者累计损失5000万美金。 可以看到主要是一些是因为签署Permit, Approve, Increase Allowance等钓鱼签名。

更多的使用智能合约

Multicall

从Inferno开始,他们也开始更多的利用智能合约。比如在拆分手续费需要分两笔交易进行。而这有可能速度不够快导致在第二笔转账的时候被受害者提前撤销授权,为了提高效率他们便使用 multilcall 来进行更高效的资产转移。

CREATE2 & CREATE

同样为了绕过一些钱包的安全验证,他们也开始尝试使用create2或create动态生成临时地址。这将导致钱包端的黑名单失去作用,同样对钓鱼研究也产生更大的麻烦。因为你不签名就不知道资产会被转移到什么地址,而临时地址不具备分析意义。

这比起去年来说有着很大的变化。

钓鱼网站

通过分析钓鱼网站的数量趋势,可以明显看到钓鱼活动每个月都在逐步增长,这跟有利可图和稳定的Wallet Drainer服务有很大关系。

以上是这些钓鱼网站的主要使用的域名注册商。通过分析服务器地址也可以发现,他们大都使用了Cloudflare等来隐藏真实的服务器地址。

Scam Sniffer做了些什么?

在过去的一年中,Scam Sniffer扫描了近1200万条URL,发现了将近145,000个恶意URL, 每天服务了400百万的查询。Scam Sniffer的开源黑名单目前包含了近100,000个恶意域名,并持续向Chainabuse等平台推送这些恶意网站域名。

Scam Sniffer连续报道了多个知名的Wallet Drainers,并在社交平台持续分享有关大额盗窃案例,以提醒和增强大众对钓鱼的认知。

目前Scam Sniffer已经协助了一些知名平台保护其用户,并致力于为下一个十亿用户提供安全的Web3环境。

加入打击网络钓鱼的行列

如您所见,加密货币网络钓鱼涉及多方、加密货币和非加密货币平台。安全需要大家共同努力,如果您希望增强您产品在这方面的能力,请通过邮箱 [email protected] 与我们联系。

最后,感谢各位Scam Sniffer的支持者!你们的支持是我们坚持下去的动力。

Recent Articles

Related Stories