By: Lisa
背景
據合作夥伴 imToken 回報,近期出現了一種新型的加密貨币騙局。這種騙局一般以線下實物交易為主要場景,采用 USDT 作為付款方式,利用修改以太坊節點的 Remote Procedure Call(RPC) 進行欺詐活動。
作惡流程
慢霧安全團隊對這類騙局展開分析,騙子的具體作惡流程如下:
首先,騙子會誘導目标使用者下載下傳正版的 imToken 錢包,并用 1 USDT 以及少量 ETH 為誘餌來取得使用者的信任。然後,騙子會引導使用者将其 ETH 的 RPC 網址重定向到騙子自己的節點(https://rpc.tenderly.co/fork/34ce4192-e929-4e48-a02b-d96180f9f748)。
這個節點實際上已被騙子用 Tenderly 的 Fork 功能修改過,使用者的 USDT 餘額被造假,使其看起來就像騙子已經将款項打入使用者錢包一樣。于是,使用者看到餘額就會誤以為已經到賬。但當使用者試圖轉入礦工費以變現賬戶中的 USDT 時,便會意識到自己上當了。而這時,騙子早已消聲匿迹。
實際上,除了餘額顯示可以被修改,Tenderly 的 Fork 功能甚至可以改合約資訊,對使用者構成更大威脅。
(https://docs.tenderly.co/forks)
這裡就得提一個問題 —— RPC 是什麼?為了與區塊鍊互動,我們需要通過合适的通用選項通路網絡伺服器的方法,RPC 就是一種連接配接和互動的方式,使我們能夠通路網絡伺服器并執行檢視餘額、建立交易或與智能合約互動等操作。通過嵌入 RPC 功能,使用者能夠執行請求并與區塊鍊進行互動。例如,如果使用者通過連接配接錢包(如 imToken)使用去中心化交易所,其實就是在通過 RPC 與區塊鍊伺服器進行通信。一般來說,所有類型的錢包預設都會連接配接到安全的節點,使用者無需進行任何調整。但是,若輕易相信他人,将錢包連結到不信任的節點,可能會導緻錢包中顯示的餘額和交易資訊被惡意修改,進而帶來财産損失。
MistTrack 分析
我們使用鍊上追蹤工具 MistTrack 對其中一個已知的受害者錢包位址(0x9a7…Ce4) 進行分析,可以看到該受害者位址收到了位址(0x4df…54b) 轉入的小額 1 USDT 和 0.002 ETH。
檢視位址(0x4df…54b) 的資金情況,發現該位址分别轉出 1 USDT 到 3 個位址,看來這個位址目前已行騙三次。
再往上追溯,位址與多個交易平台關聯,同時與被 MistTrack 标記為“Pig Butchering Scammer”的位址有互動。
總結
此類騙局的狡猾之處在于利用了使用者的心理弱點。使用者往往隻關注其錢包中是否有款項到賬,而忽視了背後可能存在的風險。騙子正是利用這種信任和疏忽,通過一系列如轉賬小額資金等讓人信以為真的操作,對使用者進行欺詐。是以,慢霧安全團隊建議廣大使用者在進行交易時,一定要保持警惕,提高自我保護意識,不要輕信他人,避免自身财産受損。