Récemment, un nouveau type d’escroquerie par hameçonnage a attiré notre attention.
Ce type d’escroquerie se produit généralement dans les logiciels de chat (tels que Telegram), en commençant par les transactions de dépôt de gré à gré, avant d’effectuer une transaction formelle, l’escroc demande à la victime de transférer 0,1 USDT pour voir si l’adresse de la victime est à risque, puis envoie à la victime une adresse de « chaîne publique » pour le transfert, et rappelle également à la victime que l’adresse de la chaîne publique doit être saisie dans le navigateur du portefeuille pour effectuer le transfert. Par conséquent, après avoir entré l’adresse de la « chaîne publique » dans le navigateur, la victime a constaté que tous les jetons du compte avaient été volés.
Que se passe-t-il?
Analyse du modus operandi
Sur la base de l’analyse des informations fournies par la victime, nous avons constaté qu’il ne s’agissait pas d’un simple transfert qui avait été volé (l’adresse a été masquée pour protéger les informations de la victime).
D’après notre expérience, il devrait s’agir d’un vol d’hameçonnage causé par une licence. Appelant contractuel (TK... Gh) en appelant la fonction transferFrom, l’adresse de la victime (TX... 1W) transféré à l’adresse de l’escroc (TR... 8v)。
À ce stade, nous allons nous concentrer sur l’adresse de la « chaîne publique » dans la bouche des escrocs : 0x2e16edc742de42c2d3425ef249045c5c.in
À première vue, il n’y a rien de mal avec l’adresse. Mais si vous regardez bien, c’est un gros problème ! Tout d’abord, il s’agit d’un transfert sur TRON, mais il s’agit d’une adresse commençant par 0x ; Deuxièmement, si vous regardez attentivement, vous pouvez voir qu’il ne s’agit pas d’une adresse, mais d’une URL avec un .in à la fin.
En analysant l’URL, il s’avère que l’URL a été créée il y a un mois (11 octobre) et a une adresse IP de 38.91.117.26 :
Il existe également des URL similaires sous cette adresse IP, qui ont toutes été créées au cours du mois dernier :
0x2e16edc742de42c2d3425ef249045c5b.in
tgsfjt8m2jfljvbrn6apu8zj4j9ak7erad.in
À l’heure actuelle, seules 0x2e16edc742de42c2d3425ef249045c5b.in peuvent être ouvertes, et la recherche de l’adresse via le navigateur du portefeuille constatera que la page ne peut sélectionner que le réseau TRON.
Après avoir saisi le montant, cliquez sur Suivant, qui s’affichera en tant qu’interaction avec le contrat :
Nous avons décodé les données dans la section Données et avons constaté que l’escroc (TYiMfUXA9JcJEaiZmn7ns2giJKmToCEK2N) a trompé l’utilisateur pour qu’il signe increaseApproval, et une fois que l’utilisateur a cliqué sur Confirmer, les jetons de l’utilisateur ont été volés par l’escroc via la méthode transferFrom.
En analysant l’adresse de l’escroc, il s’est avéré que certains utilisateurs avaient été trompés :
La majeure partie de l’USDT de la victime a été transférée à l’adresse TLdHGHB8HDtPeUXPxiwU6bed6wQEH25ZKQ :
En utilisant MistTrack pour vérifier cette adresse, nous avons constaté que cette adresse a reçu plus de 3 827 USDT :
L’analyse des autres adresses ne sera pas répétée.
Résumé
Cet article commence par un cas réel de vol et présente un nouveau type d’escroquerie qui déguise une URL d’hameçonnage en adresse de transfert. L’équipe de sécurité de SlowMist rappelle par la présente que la technologie blockchain étant immuable et que les opérations on-chain sont irréversibles, assurez-vous de vérifier soigneusement l’adresse avant d’effectuer toute opération, et en même temps, il est nécessaire de comprendre le risque de l’adresse cible à l’avance avant d’effectuer des opérations on-chain, telles que la saisie de l’adresse cible dans MistTrack et la vérification du score de risque et des étiquettes malveillantes, ce qui peut éviter de tomber dans la situation de perdre des fonds dans une certaine mesure. Si vous constatez qu’il y a un transfert anormal à l’adresse, soyez vigilant et vérifiez calmement, et si nécessaire, vous pouvez nous contacter ou soumettre un formulaire ici
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Nouvelles escroqueries | Méfiez-vous des URL d’hameçonnage déguisées en adresses de transfert
Contexte
Récemment, un nouveau type d’escroquerie par hameçonnage a attiré notre attention.
Ce type d’escroquerie se produit généralement dans les logiciels de chat (tels que Telegram), en commençant par les transactions de dépôt de gré à gré, avant d’effectuer une transaction formelle, l’escroc demande à la victime de transférer 0,1 USDT pour voir si l’adresse de la victime est à risque, puis envoie à la victime une adresse de « chaîne publique » pour le transfert, et rappelle également à la victime que l’adresse de la chaîne publique doit être saisie dans le navigateur du portefeuille pour effectuer le transfert. Par conséquent, après avoir entré l’adresse de la « chaîne publique » dans le navigateur, la victime a constaté que tous les jetons du compte avaient été volés.
Que se passe-t-il?
Analyse du modus operandi
Sur la base de l’analyse des informations fournies par la victime, nous avons constaté qu’il ne s’agissait pas d’un simple transfert qui avait été volé (l’adresse a été masquée pour protéger les informations de la victime).
D’après notre expérience, il devrait s’agir d’un vol d’hameçonnage causé par une licence. Appelant contractuel (TK... Gh) en appelant la fonction transferFrom, l’adresse de la victime (TX... 1W) transféré à l’adresse de l’escroc (TR... 8v)。
À ce stade, nous allons nous concentrer sur l’adresse de la « chaîne publique » dans la bouche des escrocs : 0x2e16edc742de42c2d3425ef249045c5c.in
À première vue, il n’y a rien de mal avec l’adresse. Mais si vous regardez bien, c’est un gros problème ! Tout d’abord, il s’agit d’un transfert sur TRON, mais il s’agit d’une adresse commençant par 0x ; Deuxièmement, si vous regardez attentivement, vous pouvez voir qu’il ne s’agit pas d’une adresse, mais d’une URL avec un .in à la fin.
En analysant l’URL, il s’avère que l’URL a été créée il y a un mois (11 octobre) et a une adresse IP de 38.91.117.26 :
Il existe également des URL similaires sous cette adresse IP, qui ont toutes été créées au cours du mois dernier :
0x2e16edc742de42c2d3425ef249045c5b.in
tgsfjt8m2jfljvbrn6apu8zj4j9ak7erad.in
À l’heure actuelle, seules 0x2e16edc742de42c2d3425ef249045c5b.in peuvent être ouvertes, et la recherche de l’adresse via le navigateur du portefeuille constatera que la page ne peut sélectionner que le réseau TRON.
Après avoir saisi le montant, cliquez sur Suivant, qui s’affichera en tant qu’interaction avec le contrat :
Nous avons décodé les données dans la section Données et avons constaté que l’escroc (TYiMfUXA9JcJEaiZmn7ns2giJKmToCEK2N) a trompé l’utilisateur pour qu’il signe increaseApproval, et une fois que l’utilisateur a cliqué sur Confirmer, les jetons de l’utilisateur ont été volés par l’escroc via la méthode transferFrom.
En analysant l’adresse de l’escroc, il s’est avéré que certains utilisateurs avaient été trompés :
La majeure partie de l’USDT de la victime a été transférée à l’adresse TLdHGHB8HDtPeUXPxiwU6bed6wQEH25ZKQ :
En utilisant MistTrack pour vérifier cette adresse, nous avons constaté que cette adresse a reçu plus de 3 827 USDT :
L’analyse des autres adresses ne sera pas répétée.
Résumé
Cet article commence par un cas réel de vol et présente un nouveau type d’escroquerie qui déguise une URL d’hameçonnage en adresse de transfert. L’équipe de sécurité de SlowMist rappelle par la présente que la technologie blockchain étant immuable et que les opérations on-chain sont irréversibles, assurez-vous de vérifier soigneusement l’adresse avant d’effectuer toute opération, et en même temps, il est nécessaire de comprendre le risque de l’adresse cible à l’avance avant d’effectuer des opérations on-chain, telles que la saisie de l’adresse cible dans MistTrack et la vérification du score de risque et des étiquettes malveillantes, ce qui peut éviter de tomber dans la situation de perdre des fonds dans une certaine mesure. Si vous constatez qu’il y a un transfert anormal à l’adresse, soyez vigilant et vérifiez calmement, et si nécessaire, vous pouvez nous contacter ou soumettre un formulaire ici