By: Lisa

事件背景

自2022 年以來，各種以Drainer 為名的釣魚團夥逐漸冒出頭，例如透過社工取得Discord Token 並進行釣魚的Pink Drainer；例如透過Permit 或Approve 獲得用戶批准並盜取資產的釣魚服務提供商Venom Drainer；例如透過虛假KOL 推特帳號、Discord 等發布虛假NFT 相關的帶有惡意Mint 的誘餌網站進行釣魚，竊取了數千萬美元網路釣魚組織Monkey Drainer (https://aml.slowmist.com/events /monkey_Drainer_statistics/)；例如專門從事多鏈詐騙的廠商Inferno Drainer 等。

而隨著時間的推移，一些Drainer 已經退出加密貨幣的大舞台，但最近的兩起事件令一個多次暗中活動的釣魚團夥—— Angel Drainer 逐漸出現在大眾的視野中。

事件一：Balancer DNS 劫持攻擊

2023 年9 月19 日，Balancer 發出緊急警告，要求用戶停止訪問其官網，因為DNS 被劫持導致其介面已受到惡意行為者的破壞，訪問該網站的連結後，錢包會遭受釣魚攻擊。根據MistTrack 分析，攻擊者的費用來自網路釣魚組織Angel Drainer，目前受害者被盜金額至少為35 萬美元。

也就是說，攻擊者（Angel Drainer）通過攻擊Balancer 的網站後，誘導用戶“Approve”，並透過“transferFrom” 將資金轉移給攻擊者（Angel Drainer）。根據我們收集的相關情報，攻擊者可能與俄羅斯駭客有關。經過分析，發現app.balancer.fi 的前端有惡意的JavaScript 程式碼(https://app.balancer.fi/js/overchunk.js)。

用戶使用錢包連接app.balancer.fi 網站後，惡意腳本會自動判斷連接用戶的餘額並進行釣魚攻擊。

事件二：Galxe DNS 劫持攻擊

2023 年10 月6 日，據多位社群用戶稱，使用錢包簽署授權Web3 憑證資料網路Galxe 平台後，資產被盜。隨後，Galxe 官方發佈公告稱，其網站已關閉，正在修復該問題。根據MistTrack 分析，Galxe Hacker 地址與Angel Drainer 地址存在多次交互，似乎是同一個駭客。

10 月7 日，Galxe 發文表示，該網站現已完全恢復，事情的詳細過程為：10 月6 日，一名身份不明的人聯繫域名服務提供商Dynadot，冒充授權的Galxe 會員，並使用偽造的文件繞過安全流程。然後冒充者獲得了對網域帳戶DNS 的未經授權的存取權限，他們用該存取權限將使用者重定向到虛假網站並簽署盜用其資金的交易。約1120 名與該惡意網站互動的用戶受到影響，被盜金額約27 萬美元。

以下僅針對該團體的部分釣魚素材及釣魚錢包地址進行分析：

釣魚網站及手法分析

經過分析，我們發現該團夥主要的攻擊方式是對域名服務提供者進行社會工程學攻擊，在獲取了域名帳戶相關權限後，修改DNS 解析指向，並將用戶重定向到虛假網站。根據慢霧合作夥伴ScamSniffer 提供的數據顯示，該團體針對加密產業進行的釣魚攻擊涉及3000 多個網域。

透過查詢這些網域的相關信息，發現註冊日期最早可追溯到2023 年1 月：

該網站仿冒了一個Web3 遊戲項目Fight Out，目前已無法開啟。有趣的是，在Fight Out 官方社交平台下，多個用戶反映該項目也是一個騙局。

透過MistTrack 查看該釣魚網站相關的地址0x00002644e79602F056B03235106A9963826d0000，顯示該地址於5 月7 日進行首次交易。

我們發現該地址與107 個釣魚網站相關聯，不僅包括NFT 專案、授權管理工具RevokeCash、交易所Gemini，還包括跨鏈橋Stargate Finance 等等。

在此地址基礎上，再往前追溯到2023 年3 月16 日，被標記為Fake_Phishing76598 的地址0xe995269255777303Ea6800bA0351C055C0C264b8，該地址與17 個釣魚網站相關聯，主要圍繞著公鏈網影響項目都已無法打開。

我們查看該團體最近部署的釣魚網站blur[.]app-io.com.co：

透過查詢Access Key，關聯到了另一個釣魚網站unsiwap[.]app.se.net，正確寫法是Uniswap，攻擊者透過調換字母s 和i 的順序混淆視聽。

這個網站也存在於我們的數據中，8 月才開始使用：

下面顯示了連接到該網域的一系列網站的螢幕截圖：

使用ZoomEye 進行全球搜索，發現該網域下有73 個釣魚站點同時運行與部署：

繼續追踪，發現Angel Drainer 使用英語和俄語進行銷售，內容包括24/7 的支持，押金為$40,000，收取20% 的費用，支持多條鏈以及NFT，提供自動站點克隆器。

這是銷售者的簡介：

順著頁面給的聯絡方式，發現一個Bot。下圖中所涉及的地址暫無交易記錄，猜測是一個假冒Angel Drainer 的Bot。

隨機找一個網站查看，點擊Claim，網站會判斷你是否有餘額，根據每個受害者地址持有的代幣和餘額使用攻擊組合拳：Approve – Permit/Permit2 簽名- transferFrom。

對安全意識較低的用戶來說，一不小心就會將自己地址的許可無限授予給攻擊者，如果有新的資金轉移到用戶地址，攻擊者就會立刻轉走這些資金。

由於篇幅限制，此處不再過度分析。

MistTrack 分析

透過分析上述3000 多個釣魚網址及關聯慢霧AML 惡意地址庫，我們共分析到36 個與Angel Drainer 釣魚團夥有關的惡意地址（ETH 鏈上），其中Angel Drainer 熱錢包地址有兩個，涉及多條鏈，其中ETH 鍊和ARB 鏈涉及資金較多。

以關聯到的36 個惡意位址為鏈上分析資料集，我們得到關於該釣魚團伙的以下結論（ETH 鏈）：

• 鏈上地址集最早的活躍時間為2023 年4 月14 日。 (0x664b157727af2ea75201a5842df3b055332cb69fe70f257ab88b7c980d96da3)

• 獲利規模：據不完全統計，該團夥透過釣魚的方式共獲利約200 萬美元，包括獲利708.8495 ETH，約合1,093,520.8976 美元；涉及303 個ERC20 Token，約合100 萬美元，類型主要為LINK , STETH, DYDX, RNDR, VRA, WETH, WNXM, APE, BAL。 （註：價格均取2023/10/13 價格，資料來源CoinMarketCap）

• 透過分析相關惡意位址自2023 年4 月14 日後的前兩層ETH 數據，獲利資金中共計有1652.67 ETH 轉移到Binance，389.29 ETH 轉移到eXch，116.57 ETH 轉移到Bybit，25.839 ETH 轉移到OKX， ETH 轉移到Tornado Cash，剩餘資金則轉移到其他實體地址。

在此感謝ScamSniffer 提供的數據支援。

總結

本文基於Balancer Hack、Galxe Hack 事件，聚焦在釣魚團夥Angel Drainer，並提煉出該組織的部分特徵。在Web3 不斷創新的同時，針對Web3 釣魚的方式也越來越多樣，令人措手不及。

對使用者來說，在進行鏈上操作前，提前了解目標地址的風險情況是十分必要的，例如在MistTrack 中輸入目標地址並查看風險評分及惡意標籤，一定程度上可以避免陷入資金損失的境地。

對錢包專案方來說，首先是需要進行全面的安全審計，重點提升用戶互動安全部分，加強所見即所簽機制，減少用戶被釣魚風險，具體措施如下：

• 釣魚網站提醒：透過生態或社群的力量匯集各類釣魚網站，並在使用者與這些釣魚網站互動的時候對風險進行醒目地提醒和告警；

• 簽章的辨識與提醒：辨識並提醒eth_sign、personal_sign、signTypedData 這類簽章的請求，並重點提醒eth_sign 盲簽的風險；

• 所見即所簽：錢包中可以對合約呼叫進行詳盡解析機制，避免Approve 釣魚，讓使用者知道DApp 交易建構時的詳細內容；

• 預執行機制：透過交易預執行機制幫助使用者了解到交易廣播執行後的效果，有助於使用者對交易執行進行預判；

• 尾號相同的詐騙提醒：在展示地址的時候醒目的提醒用戶檢查完整的目標地址，避免尾號相同的詐騙問題。設定白名單位址機制，使用戶可以將常用的位址加入白名單中，避免類似尾號相同的攻擊；

• AML 合規提醒：在轉帳的時候透過AML 機制提醒使用者轉帳的目標位址是否會觸發AML 的規則。

慢霧(SlowMist) 身為業界領先的區塊鏈安全公司，在威脅情報方面深耕多年，主要透過安全審計及反洗錢追蹤溯源等服務廣大客戶，並建構了紮實的威脅情報合作網絡。其中，安全審計不僅讓使用者安心，更是降低攻擊發生的手段之一。同時，各家機構由於資料孤島，難以關聯識別出跨機構的洗錢團夥，為反洗錢工作帶來巨大挑戰。而作為專案方，及時封鎖阻斷惡意地址的資金轉移也是重中之重。 MistTrack 反洗錢追蹤系統累積了2 億多個地址標籤，能夠識別全球主流交易平台的各類錢包地址，包含1 千多個地址實體、超10 萬個威脅情報數據和超9 千萬個風險地址，如有需要可聯絡我們接取API。最後希望各方共同努力，一起讓區塊鏈生態更美好。