作者:Lisa
原文:《慢雾:警惕相同尾号空投局》
本文主要介绍了子利用用户复制交易记录中过往地址的这个习惯,生成相同尾号的地址作为伪装地址,并利用伪装地址向用户不断空投小额的 Token,使得子的地址出现在用户的交易记录中,用户稍不注意就复制错误地址,导致资产损失。
近期,有多个用户向我们反映资产被盗。
根据多名中招用户的反馈,似乎是攻击者针对交易规模较大频率较高的用户不断空投小额数量的 Token(例如 0.01 USDT 或0.001 USDT 等),攻击者地址尾数和用户地址尾数几乎一样,通常为后几位,用户去复制历史转账记录中的地址时一不小心就复制错,导致资产损失。
LG集团旗下NFT市场LG Art Lab推出iOS应用Wallypto,允许用户购买NFT:10月5日消息,韩国科技巨头LG集团旗下NFT市场LG Art Lab推出适用于iOS的Wallypto应用程序,iOS用户现在可以通过LG Art Lab的Wallypto应用程序购买NFT。[2022/10/5 18:40:11]
攻击者地址 1:TX...dWfKz
用户地址 1:TW...dWfKz
攻击者地址 2:TK...Qw5oH
用户地址 2:TW...Qw5oH
先看看两个攻击者地址大致的交易情况。
万事达卡为初创企业推出最新“StartPath”加密货币和区块链计划:7月27日,万事达卡今天宣布了一项新的StartPath全球创业参与计划,致力于支持快速增长的数字资产、区块链和加密货币公司。共有七家加密货币初创公司加入该计划中,分别是:GK8、DomainMoney、Mintable、SupraOracles、STACS、Taurus和Uphold。
新StartPath计划旨在解决一系列难点,包括:资产代币化、数据准确性、数字安全以及传统和数字经济之间的无缝访问。每个初创公司都专注于解决一个独特的行业挑战,在整个项目中,将利用万事达的专业知识来支持其解决方案的持续增长和发展。[2021/7/27 1:18:50]
可以看到,攻击者地址 1(TX...dWfKz)与用户地址(TW...dWfKz)尾数都是 dWfKz,在用户损失了 115,193 USDT 后,攻击者又先后使用两个新的地址分别对用户地址空投 0.01 USDT 和 0.001 USDT,尾数同样是 dWfKz。
动态 | 应对Agharta硬分叉 bitFlyer将于1月10日起暂停ETC存提:以太经典(ETC)计划在1月12日进行Agharta硬分叉升级,bitFlyer官方宣布,将于1月10日(星期五)下午5点左右起暂停ETC存、提款业务。[2020/1/7]
同样,攻击者地址 2(TK...Qw5oH)与用户地址(TW...Qw5oH)尾数都是 Qw5oH,在用户损失了 345,940 USDT 后,攻击者又使用新的地址(尾数为 Qw5oH)对用户地址空投 0.01 USDT。
Memeland船长NFT“CaptainZ”12分钟内完成发售,团队收入约为9801枚ETH:1月5日消息,Memeland船长NFT项目“The CaptainZ”发文称,开启铸造后669秒收到超过9,999笔存款,并因此停止了Waitlist资格的铸造。“The CaptainZ”已于北京时间今日00:00开启铸造,铸造时间48小时,铸造价格1.069ETH,拥有铸造资格的用户包括:Memelist、PotatoZ或者Waitlist持有者。截止发稿,已有14546名用户参与。
“The CaptainZ”是Memeland生态体系中的第三个项目。根据项目官网信息,实际仅有9169个船长NFT可供铸造,其余未被铸造的CaptainZ将被归入Memeland Treasury,预计团队收入为9801.661枚ETH。[2023/1/5 9:54:05]
接下来,我们使用 MistTrack 来分析攻击者地址 1(TX...dWfKz)。如下图,攻击者地址 1 将 0.01 USDT、0.02 USDT 不断空投到各目标地址,而这些目标地址都曾与尾号为 dWfKz 的地址有过交互。
往上追溯看看该地址的资金来源。最早一笔来自地址 TF...J5Jo8 于 10 月 10 日转入的 0.5 USDT。
初步分析下地址 TF...J5Jo8:
该地址对将近 3300 个地址分别转入 0.5 USDT,也就是说,这些接收地址都有可能是攻击者用来空投的地址,我们随机选择一个地址验证。
使用 MistTrack 对上图最后一个地址 TX...4yBmC 进行分析。如下图显示,该地址 TX...4yBmC 就是攻击者用来空投的地址,对多个曾与尾号为 4yBmC 地址有过交互的地址空投 0.01 USDT。
我们再来看看攻击者地址 2(TK...Qw5oH)的情况:空投 0.01 USDT 到多个地址,且初始资金来自地址 TD...psxmk 转入的 0.6 USDT。
这次往下追踪,攻击者地址 2 将 0.06 USDT 转到地址 TD...kXbFq,而地址 TD...kXbFq 也曾与尾号为 Qw5oH 的 FTX 用户充币地址有过交互。
那我们反向猜想下,其他与 TD...kXbFq 交互过的地址,是否也有相同尾号的地址对它们进行空投?随机选择两个地址验证一下(例如上图的 Kraken 充币地址 TU...hhcWoT 和 Binance 充币地址 TM...QM7me)。
不出所料,攻击者布了一个巨大的网,只钓粗心人。
其他地址情况这里不再赘述。
本文主要介绍了子利用用户复制交易记录中过往地址的这个习惯,生成相同尾号的地址作为伪装地址,并利用伪装地址向用户不断空投小额的 Token,使得子的地址出现在用户的交易记录中,用户稍不注意就复制错误地址,导致资产损失。慢雾在此提醒,由于区块链技术是不可篡改的,链上操作是不可逆的,所以在进行任何操作前,请务必仔细核对地址,同时建议使用钱包的地址簿转账功能,可直接通过选择地址转账。
慢雾科技
个人专栏
阅读更多
比推 Bitpush News
蜂巢Tech
Block unicorn
Chainlink
金色早8点
PANews
DeFi之道
蓝狐笔记
半月谈
白话区块链
PingWest品玩
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。