لینک کوتاه مطلب : https://hsgar.com/?p=3142

چگونه یک الگوی “Crypto Drainer” ده ها میلیون دلار سرقت را تسهیل می کند | توسط الیا استاین | ژوئن، 2022

وبلاگ قبلی ما مروری بر تکنیک‌ها و تاکتیک‌های فیشینگ Web3 ارائه می‌کرد که همه آنها علیرغم رکود اقتصادی اخیر در بازارهای رمزنگاری همچنان مرتبط هستند. امروز، ما بررسی عمیق‌تری را در یک دسته خاص از صفحات فیشینگ Web3 به نام «Crypto Drainers» و یکی از بازیگران پرکارتر پشت سر آنها ارائه می‌کنیم. خواهیم دید که چگونه یک قالب Crypto Drainer مسئول بیش از 2000 ETH در مدت زمان کوتاهی بود.

Crypto Drainers صفحات فیشینگ هستند که قربانیان را به امضای تراکنش‌های مخرب می‌کشند که به مهاجم اجازه می‌دهد رمزارز و NFT‌های آنها را مخفی کند. معمولاً این وب‌سایت‌ها پروژه‌های NFT شناخته شده یا نوظهور را پشت سر می‌گذارند. خود وب سایت ها در درجه اول از طریق کمپین های اسپم در شبکه های اجتماعی و Discord تبلیغ می شوند.

روش کار اکثر تخلیه کننده های رمزنگاری نسبتاً مستقیم است:

  • صفحات جعلی ضرب NFT با شمارش معکوس مصنوعی برای ایجاد فوریت.
  • قربانی کیف پول خود را به “مینت” متصل می کند.
  • بررسی کنید که آیا آدرس قربانی دارای NFT های ارزشمندی است یا خیر.
  • قربانی معامله(هایی) را برای انتقال مالکیت NFTها امضا می کند.
  • قربانی یک تراکنش را به ازای هزینه «ضرابخانه» جعلی برای مهاجم ارسال می کند، اما این تراکنش یک تعامل قراردادی نیست.
  • بشویید و تکرار کنید

بیایید به یک مثال واقعی بپردازیم:

hxxps://pandaverse-mint.ml/

در اینجا وب سایت واقعی برای مقایسه است:

وقتی به کد زیر سرپوش سایت مخرب نگاه می‌کنیم، متوجه می‌شویم که کل آن قالب است و شامل دستورالعمل‌های استقرار است، اما بعداً در مورد آن بیشتر توضیح خواهیم داد. در حال حاضر، بیایید به نحوه عملکرد این چیز توجه کنیم.

اول داریم settings.js که به عنوان یک فایل کانفیگ عمل می کند. نظرات مال ما نیست، بلکه بخشی از قالب Crypto Drainer است.

و سپس داریم index.js که شامل کد مسئول تخلیه واقعی است:

ما خط به خط کد را مرور نمی کنیم، اما ارزش آن را دارد که به طور خاص دو بخش را برجسته کنیم. ابتدا این قطعه از تابع mint جعلی وجود دارد که فقط ETH را از قربانی به مهاجم ارسال می کند:

web3.eth.sendTransaction({
from: walletAddress,
to: address,
value: web3.utils.toWei(amount, "ether"),
})

به یاد داشته باشید، برش یک NFT تقریبا همیشه یک تعامل قرارداد هوشمند است و نیازمند فراخوانی حداقل یک تابع است. برای فراخوانی روش قرارداد هوشمند، که به طور کامل در کد بالا وجود ندارد، معمولاً به هماهنگی اضافی فراتر از انتقال ارزش نیاز دارد.

قطعه دومی که می خواهیم برجسته کنیم این است askNfts() عملکرد در کد بالا:

ماهی به نظر می رسد، اینطور نیست؟ ما می‌توانیم ببینیم که مهاجمان چگونه از Moralis API استفاده می‌کنند تا سابقه مالکیت NFT قربانی را به دست آورند و آنها را یکی یکی مرور کنند تا آنها را به یک قرارداد هوشمند منتقل کنند. ناگفته نماند به آن کامنت لعنتی زیبا:

//این یک آدرس قرارداد هوشمند است، جایگزین نکنید وگرنه NFT ها نمی آیند 🙂

نقش آدرس قرارداد هوشمند در اینجا کاملاً مشخص نیست زیرا کد منبع تأیید نشده است و تجزیه و تحلیل بایت کد خارج از محدوده این پست است، علاوه بر این، این صفحه خاص هیچ قربانی نداشته است، بنابراین هیچ تراکنشی برای ردیابی وجود ندارد. اما با این وجود قابل توجه است که ما نمونه‌هایی از الگوهای مشابه داریم که NFTها را مستقیماً به آدرس مهاجم منتقل می‌کنند و نه یک قرارداد پروکسی میانی.

در چند لحظه، خواهیم دید که نمی‌توانیم همه چیز را در دنیای کریپتو درینرها به‌عنوان ارزش اسمی در نظر بگیریم، اما در حال حاضر با آزمایش برخی از جستجوهای OSINT برای دیدن آنچه به دست می‌آید، به بررسی خود ادامه می‌دهیم. واضح است که این یک الگوی بازیافتی است که احتمالاً در اطراف منتشر می شود، بنابراین شاید بتوانیم نمونه های بیشتری از آن را با جستجو در GitHub پیدا کنیم.

ما یک جستجو برای askMint و با گنجینه ای از بازدیدها بیایید:

می بینیم که همان پایگاه کد توسط چندین کاربر گیت هاب استفاده شده و در صفحات گیت هاب میزبانی شده است:

هر نمونه یک پروژه NFT متفاوت را نیز هدف قرار می دهد. به عنوان مثال، صفحه GitHub بالا یک ضرابخانه جعلی METAKAMI است:

با ادامه جستجو در نتایج جستجو و رسیدن به آنچه به نظر می رسد مخزن اصلی باشد، همه چیز داغ می شود:

اورکا!

اما یادتان هست که گفتیم همه چیز در دنیای کریپتو درینرها آنطور که به نظر می رسد نیست؟ اینجاست که چیزها جالب می شوند:

به نظر می رسد ضرب المثل قدیمی “در میان دزدها افتخاری وجود ندارد” به ویژه در مورد جرایم سایبری صادق است زیرا می بینیم که کاربر GitHub اولین نویسنده ای را که در بالا پیدا کردیم به عنوان دزدی که درب پشتی Crypto Drainer می فروشد صدا می کند!

ما پیوند گروه کریپتو دراینرها را در تلگرام دنبال می کنیم:

در اینجا فروشندگانی را می یابیم که این الگوهای Crypto Drainer را به عنوان یک سرویس کامل با پشتیبانی کامل به زبان های انگلیسی و فرانسوی می فروشند:

اتفاقاً یک نسخه نمایشی در YouTube وجود دارد:

و یک پیوند تجارت الکترونیک که در آن می توانید این قالب های میزبانی شده را با سرویس دستکش سفید خریداری کنید:

اکنون هر کسی می تواند با هزینه کم 1499.99 یورو یک دزد NFT و ارزهای دیجیتال باشد!

تاثیر و دامنه

بنابراین واقعاً این کریپتو درینرها چقدر رایج و چقدر مؤثر هستند؟ خوب، این بستگی دارد، زیرا این به مهاجمان بستگی دارد که این وب سایت های مخرب را به طور مؤثر تبلیغ کنند، اما با توجه به اینکه این قالبی است که می بینیم بیشترین استفاده در این حملات فیشینگ است، می توان گفت که این افراد به طور کلی عملکرد بسیار خوبی دارند.

در حالی که نمونه‌های زیادی از وب‌سایت‌های Crypto Drainer داریم که به نظر می‌رسد هرگز حتی یک قربانی را سرقت نکرده‌اند، همچنین موارد زیادی داریم که منجر به درآمدهای بسیار سودآور برای مجرمان شده است.

برای مثال، می‌توانیم به آدرس ETH مرتبط با آن نگاه کنیم mint-moonlanders[.]com که از زمان نوشتن این مقاله بیش از 85 هزار دلار درآمد برای مهاجم در مدت 10 روز ایجاد کرده است:

در حالی که درک تأثیر کامل این حملات به دلیل نحوه انتقال توکن‌های ETH و NFT به سرقت رفته بسیار دشوار است، می‌توانیم با جمع کردن تمام تراکنش‌های ورودی که به آدرس‌های مهاجمان می‌آیند، حدس‌های آموزشی را تدوین کنیم.

برای تجزیه و تحلیل خود، به 227 آدرسی که در طول چند هفته گذشته جمع آوری کردیم، نگاه کردیم.

در اینجا چیزی است که ما پیدا کردیم:

  • میانگین کریپتو دراینر 33 تراکنش ورودی بین ETH و NFT می بیند.
  • مجموع ارزش اتریوم ورودی قابل مشاهده منتقل شده به این آدرس های مهاجم 695 ETH یا تقریباً 12.5 میلیون دلار در زمان نگارش این مقاله است.
  • 29.5 درصد از تمام کریپتو درینرها حتی یک قربانی هم نداشته اند.

و با توجه به NFT های تخلیه شده:

  • متوسط ​​​​کریپتو درینر 9 NFT را به سرقت برده است، اما 10 تخلیه کننده برتر، مسئول 69 درصد از کل سرقت های NFT هستند.
  • 61 درصد از کیف‌پول‌های Crypto Drainer حتی یک انتقال NFT ورودی نداشته‌اند.
  • بر اساس قیمت های کف فعلی، ما ارزش NFT های سرقت شده را 1517 ETH یا تقریباً 27.5 میلیون دلار در زمان نوشتن این مقاله تخمین می زنیم.
  • رایج‌ترین NFT‌هایی که به سرقت می‌روند، نام‌های ENS هستند، که با توجه به اینکه اکثر افراد در فضای NFT از ENS استفاده می‌کنند، منطقی است.
  • در میان NFT های سرقت شده که ما ردیابی کرده ایم، 8 NFT Bored Ape Yacht Club هستند.

هشدارها و ملاحظات

ما می‌خواهیم به صراحت بگوییم که به دلیل تعداد زیادی IOC که باید برای این تحقیق مرتب شوند، یافته‌های ما در بخش بالا باید به عنوان تخمین در نظر گرفته شوند.

روش ما با شناسایی این الگوی خاص شروع می شود و آدرس ETH را که به عنوان آدرس پرداخت توسط مهاجم تنها در زمان کشف مشخص شده است، تجزیه می کنیم. به همین دلیل، چند فکر وجود دارد که ارزش بررسی دقیق دارند:

  • این امکان وجود دارد که آدرس ETH یک نگهدارنده مکان باشد، اگر زمانی که الگو برای اولین بار استقرار می یابد مشاهده شود.
  • برخی از مهاجمان در طول کمپین‌های هرزنامه خود اغلب آدرس ETH را می‌چرخانند تا این وب‌سایت‌ها را تبلیغ کنند، بنابراین نظر ما به موفقیت هر تخلیه‌کننده خاصی است. ممکن جزئی باشد

علاوه بر این، آدرس‌هایی که مشاهده کرده‌ایم در هزاران تراکنش بلاک چین شرکت کرده‌اند که ما را ملزم به توسعه اتوماسیون برای تجزیه داده‌ها برای محاسبه تخمین‌هایمان می‌کند. به دلیل دامنه وسیع، تطبیق همه این تراکنش‌ها به صورت دستی غیرممکن است و در برخی موارد ممکن است تراکنش‌هایی که به سرقت مرتبط نیستند، بخشی از این ترکیب بوده باشند. در حالی که بعید است که اکثر مجرمان باتجربه از یک آدرس برای تراکنش های شخصی و جمع آوری درآمدهای یک Crypto Drainer استفاده کنند، ما مشاهده کرده ایم که برخی از مجرمان دقیقاً این کار را انجام می دهند. با این حال، ما نمی توانیم به صراحت این نوع فعالیت را حذف کنیم.

در نهایت، با توجه به اینکه این الگو تا حد زیادی منبع باز است، نمی‌توانیم با حسن نیت بگوییم که همه این نمونه‌ها توسط بازیگر پشت بازار کریپتو دراینر که در بالا ذکر کردیم به کار گرفته شده‌اند.

ضمیمه A – دامنه های مخرب

ضمیمه B – آدرس های اتریوم

لینک منبع

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.