原文:《慢霧:“揭開” 數千萬美金大盜團伙Monkey Drainer 的神秘面紗》
作者:慢霧安全團隊
事件背景
2023 年2 月8 日,慢霧科技(SlowMist)從合作夥伴ScamSniffer 收到安全情報,一名受害者因一個存在已久的網絡釣魚地址損失超過1,200,000 美元的USDC。
- 黑客地址:0x69420e2b4ef22d935a4e2c194bbf3a2f02f27be1;
- 獲利地址:0x9cdce76c8d7962741b9f42bcea47b723c593efff。
(https://twitter.com/realScamSniffer/status/1623148125623029760)
2022 年12 月24 日,慢霧科技首次全球披露“朝鮮APT 大規模NFT 釣魚分析” ,而本次釣魚事件與我們追踪的另一個NFT 釣魚團伙Monkey Drainer 關聯。由於一些保密要求,本篇文章僅針對該團伙的部分釣魚素材及釣魚錢包地址進行分析。
釣魚網站分析
經過分析,我們發現主要的釣魚方式是通過虛假大V 推特賬號、Discord 群等發布虛假NFT 相關的帶有惡意Mint 的誘餌網站,這些NFT 在OpenSea、X2Y2 和Rarible 等平台上均有出售。此次Monkey Drainer 組織針對Crypto 和NFT 用戶進行釣魚涉及2000 多個域名。
通過查詢這些域名的註冊相關信息,發現註冊日期最早可追溯到4 個月前:
最初Monkey Drainer 組織是通過虛假推特賬號進行推廣釣魚:
同時開始出現第一個NFT 方向的釣魚:mechaapesnft[.]art:
我們來看下兩個具體的關聯特徵:
然後通過特徵組合關聯追踪:
經過整理,我們追踪到從2022 年到現在有2000 多個同特徵的NFT 釣魚等網址。
我們使用ZoomEye 來進行全球搜索,統計看看黑客有多少釣魚站點同時運行與部署:
其中,最新的站點有偽裝成Arbitrum 空投的:
與朝鮮黑客組織不同,Monkey Drainer 釣魚組織沒有每個站點採用專門網站去統計受害者訪問記錄這種功能,而是使用簡單粗暴的方式,直接釣魚,批量部署,所以我們猜測Monkey Drainer 釣魚組織是使用釣魚模版批量化自動部署。
我們繼續追踪供應鏈,發現Monkey Drainer NFT 釣魚組織使用的供應鍊是現有灰色產業鏈提供的模版,如廣告售賣說明:
釣魚供應鏈支持功能:
從介紹來看,價格優惠、功能完善。由於篇幅有限,此處不再贅述。
釣魚手法分析
結合之前慢霧發布的“NFT 零元購釣魚”,我們對此釣魚事件的核心代碼進行了分析。
分析發現,核心代碼都使用混淆、誘導受害者進行Seaport、Permit 等簽名,同時使用Permit usdc 的離線授權簽名機制等等,升級了原來的釣魚機制。
隨機找一個站點進行測試,顯示為“SecurityUpdate” 騙簽釣魚:
再通過可視化數據查看:
順便提一句,Rabby 插件錢包的數據解析可視化、可讀化做的很好。更多分析不再贅述。
鏈上鳥瞰
根據分析上述2000 多個釣魚網址及關聯慢霧AML 惡意地址庫,我們共計分析到1708 個與Monkey Drainer NFT 釣魚團伙有關的惡意地址,其中87 個地址為初始釣魚地址。相關惡意地址都已經錄入MistTrack 平台(https://misttrack.io/)及慢霧AML 惡意地址庫(https://aml.slowmist.com/maliciousWallet.html)。
以關聯到的1708 個惡意地址為鏈上分析數據集,我們能夠得到該釣魚團伙以下結論:
- 示例釣魚交易:https://etherscan.io/tx/0x3f2ac9758a6c91b08406082b65be6f2758a9b37c7626b11f24ce214181cbcd99
https://etherscan.io/tx/0x18bed0d26634f7856ce75b0d25dd9652d94f705fcdcbf6b7b1e24787e127aee0
https://etherscan.io/tx/0xc22800042e660c2ac360896fc5de06ed48aa723185c7733099b76d82de37b29c
- 時間範圍:鏈上地址集最早的活躍時間為2022 年8 月19 日,近期仍在活躍中。
- 獲利規模:通過釣魚的方式共計獲利約1297.2 萬美元。其中釣魚NFT 數量7,059 個,獲利4,695.91 ETH,約合761 萬美元,佔所獲資金比例58.66%;ERC20 Token 獲利約536.2 萬美元,佔所獲資金比例41.34%,其中主要獲利ERC20 Token 類型為USDC, USDT, LINK, ENS, stETH。 (注:ETH 價格均取2023/02/09 價格,數據源CryptoCompare。)
獲利ERC20 Token 詳情如下面表格:
(釣魚團伙地址獲利ERC20 Token 詳情表)
追踪溯源分析
慢霧MistTrack 團隊對惡意地址集進行鏈上追踪溯源分析,資金轉移流向如下圖:
根據資金流向Sanky 圖,我們追踪到獲利資金中共計有3876.06 ETH 轉移到實體地址,其中2452.3 ETH 被存款到Tornado Cash,剩餘資金則轉移到一些交易所。
87 個初始釣魚地址的手續費來源情況如下圖:
根據手續費來源直方圖,2 個地址的手續費來自Tornado Cash,79 個地址來自個人地址轉賬,剩餘6 個地址未接受過資金。
典型示例追踪
2 月8 日,損失超過1,200,000 美元的黑客地址:
0x69420e2b4ef22d935a4e2c194bbf3a2f02f27be1 通過釣魚獲取受害者地址的權限,將1,244,107.0493 USDC 轉入
0x9cdce76c8d7962741b9f42bcea47b723c593efff ,後USDC 通過MetaMask Swap 兌換成ETH,部分ETH 轉移到Tornado Cash,剩餘資金轉移到之前使用過的釣魚地址。
團伙畫像分析
最後感謝ScamSniffer、NFTScan 提供的數據支持。
總結
本文主要通過一種較為常見的NFT 釣魚方式順藤摸瓜,發現了Monkey Drainer 組織的大規模NFT 釣魚站群,並提煉出Monkey Drainer 組織的部分釣魚特徵。 Web3 不斷創新的同時,針對Web3 釣魚的方式也越來越多樣,令人措手不及。
對用戶來說,在進行鏈上操作前,提前了解目標地址的風險情況是十分必要的,例如在MistTrack 中輸入目標地址並查看風險評分及惡意標籤,一定程度上可以避免陷入資金損失的境地。
對錢包項目方來說,首先是需要進行全面的安全審計,重點提升用戶交互安全部分,加強所見即所簽機制,減少用戶被釣魚風險,如:
釣魚網站提醒:通過生態或者社區的力量匯聚各類釣魚網站,並在用戶與這些釣魚網站交互的時候對風險進行醒目地提醒和告警。
簽名的識別和提醒:識別並提醒eth_sign、personal_sign、signTypedData 這類簽名的請求,並重點提醒eth_sign 盲籤的風險。
所見即所簽:錢包中可以對合約調用進行詳盡解析機制,避免Approve 釣魚,讓用戶知道DApp 交易構造時的詳細內容。
預執行機制:通過交易預執行機制可以幫助用戶了解到交易廣播執行後的效果,有助於用戶對交易執行進行預判。
尾號相同的詐騙提醒:在展示地址的時候醒目的提醒用戶檢查完整的目標地址,避免尾號相同的詐騙問題。設置白名單地址機制,用戶可以將常用的地址加入到白名單中,避免類似尾號相同的攻擊。
AML 合規提醒:在轉賬的時候通過AML 機制提醒用戶轉賬的目標地址是否會觸發AML 的規則。
