Baru-baru ini, jenis penipuan phishing baru telah menjadi perhatian kami.
Penipuan semacam ini biasanya terjadi pada perangkat lunak obrolan (seperti Telegram), dimulai dengan transaksi setoran over-the-counter, sebelum melakukan transaksi formal, scammer meminta korban untuk mentransfer 0,1 USDT untuk melihat apakah alamat korban berisiko, dan kemudian mengirimkan alamat "rantai publik" kepada korban untuk transfer, dan juga mengingatkan korban bahwa alamat rantai publik harus dimasukkan di browser dompet untuk melakukan transfer. Akibatnya, setelah korban memasukkan alamat "rantai publik" di browser, ia menemukan bahwa semua token di akun telah dicuri.
Apa yang terjadi?
Analisis modus operandi
Berdasarkan analisis informasi yang diberikan oleh korban, kami menemukan bahwa itu bukan transfer sederhana yang dicuri (alamatnya dikaburkan untuk melindungi informasi korban).
Dalam pengalaman kami, ini harus menjadi pencurian phishing yang disebabkan oleh lisensi. Penelepon Kontrak (TK... Gh) dengan memanggil fungsi transferFrom, alamat korban (TX... 1W) ditransfer ke alamat penjahat (TR... 8v)。
Saat ini, kami akan fokus pada alamat "rantai publik" di mulut scammers: 0x2e16edc742de42c2d3425ef249045c5c.in
Sekilas, tidak ada yang salah dengan alamatnya. Tetapi jika Anda melihat lebih dekat, itu masalah besar! Pertama-tama, ini adalah transfer di TRON, tetapi ini adalah alamat yang dimulai dengan 0x; Kedua, jika Anda melihat lebih dekat, Anda dapat melihat bahwa itu bukan alamat, tetapi URL dengan .in di bagian akhir.
Menganalisis URL, ternyata URL dibuat sebulan yang lalu (11 Oktober) dan memiliki alamat IP 38.91.117.26:
Ada juga URL serupa di bawah IP ini, yang semuanya dibuat pada bulan lalu:
0x2e16edc742de42c2d3425ef249045c5b.in
tgsfjt8m2jfljvbrn6apu8zj4j9ak7erad.in
Saat ini, hanya 0x2e16edc742de42c2d3425ef249045c5b.in yang dapat dibuka, dan mencari alamat melalui browser dompet akan menemukan bahwa halaman tersebut hanya dapat memilih jaringan TRON.
Setelah memasukkan jumlah, klik Next, yang akan ditampilkan sebagai Interaksi kontrak:
Kami menerjemahkan data di bagian Data dan menemukan bahwa scammer (TYiMfUXA9JcJEaiZmn7ns2giJKmToCEK2N) menipu pengguna untuk menandatangani increaseApproval, dan setelah pengguna mengklik Konfirmasi, token pengguna dicuri oleh scammer melalui metode transferFrom.
Menganalisis alamat scammer, ditemukan bahwa beberapa pengguna telah tertipu:
Sebagian besar USDT korban ditransfer ke alamat TLdHGHB8HDtPeUXPxiwU6bed6wQEH25ZKQ:
Menggunakan MistTrack untuk memeriksa alamat ini, kami menemukan bahwa alamat ini menerima lebih dari 3.827 USDT:
Analisis alamat lain tidak akan diulang.
Ringkasan
Artikel ini dimulai dengan kasus pencurian yang sebenarnya dan memperkenalkan jenis penipuan baru yang menyamarkan URL phishing sebagai alamat transfer. Tim keamanan SlowMist dengan ini mengingatkan bahwa karena teknologi blockchain tidak dapat diubah dan operasi on-chain tidak dapat diubah, pastikan untuk memeriksa alamat dengan cermat sebelum melakukan operasi apa pun, dan pada saat yang sama, perlu untuk memahami risiko alamat target terlebih dahulu sebelum melakukan operasi on-chain, seperti memasukkan alamat target di MistTrack dan memeriksa skor risiko dan label berbahaya, yang dapat menghindari jatuh ke dalam situasi kehilangan dana sampai batas tertentu. Jika Anda menemukan bahwa ada transfer yang tidak normal di alamat tersebut, harap waspada dan periksa dengan tenang, dan jika perlu, Anda dapat menghubungi kami atau mengirimkan formulir di sini
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Penipuan Baru | Berhati-hatilah terhadap URL phishing yang menyamar sebagai alamat transfer
Latar Belakang
Baru-baru ini, jenis penipuan phishing baru telah menjadi perhatian kami.
Penipuan semacam ini biasanya terjadi pada perangkat lunak obrolan (seperti Telegram), dimulai dengan transaksi setoran over-the-counter, sebelum melakukan transaksi formal, scammer meminta korban untuk mentransfer 0,1 USDT untuk melihat apakah alamat korban berisiko, dan kemudian mengirimkan alamat "rantai publik" kepada korban untuk transfer, dan juga mengingatkan korban bahwa alamat rantai publik harus dimasukkan di browser dompet untuk melakukan transfer. Akibatnya, setelah korban memasukkan alamat "rantai publik" di browser, ia menemukan bahwa semua token di akun telah dicuri.
Apa yang terjadi?
Analisis modus operandi
Berdasarkan analisis informasi yang diberikan oleh korban, kami menemukan bahwa itu bukan transfer sederhana yang dicuri (alamatnya dikaburkan untuk melindungi informasi korban).
Dalam pengalaman kami, ini harus menjadi pencurian phishing yang disebabkan oleh lisensi. Penelepon Kontrak (TK... Gh) dengan memanggil fungsi transferFrom, alamat korban (TX... 1W) ditransfer ke alamat penjahat (TR... 8v)。
Saat ini, kami akan fokus pada alamat "rantai publik" di mulut scammers: 0x2e16edc742de42c2d3425ef249045c5c.in
Sekilas, tidak ada yang salah dengan alamatnya. Tetapi jika Anda melihat lebih dekat, itu masalah besar! Pertama-tama, ini adalah transfer di TRON, tetapi ini adalah alamat yang dimulai dengan 0x; Kedua, jika Anda melihat lebih dekat, Anda dapat melihat bahwa itu bukan alamat, tetapi URL dengan .in di bagian akhir.
Menganalisis URL, ternyata URL dibuat sebulan yang lalu (11 Oktober) dan memiliki alamat IP 38.91.117.26:
Ada juga URL serupa di bawah IP ini, yang semuanya dibuat pada bulan lalu:
0x2e16edc742de42c2d3425ef249045c5b.in
tgsfjt8m2jfljvbrn6apu8zj4j9ak7erad.in
Saat ini, hanya 0x2e16edc742de42c2d3425ef249045c5b.in yang dapat dibuka, dan mencari alamat melalui browser dompet akan menemukan bahwa halaman tersebut hanya dapat memilih jaringan TRON.
Setelah memasukkan jumlah, klik Next, yang akan ditampilkan sebagai Interaksi kontrak:
Kami menerjemahkan data di bagian Data dan menemukan bahwa scammer (TYiMfUXA9JcJEaiZmn7ns2giJKmToCEK2N) menipu pengguna untuk menandatangani increaseApproval, dan setelah pengguna mengklik Konfirmasi, token pengguna dicuri oleh scammer melalui metode transferFrom.
Menganalisis alamat scammer, ditemukan bahwa beberapa pengguna telah tertipu:
Sebagian besar USDT korban ditransfer ke alamat TLdHGHB8HDtPeUXPxiwU6bed6wQEH25ZKQ:
Menggunakan MistTrack untuk memeriksa alamat ini, kami menemukan bahwa alamat ini menerima lebih dari 3.827 USDT:
Analisis alamat lain tidak akan diulang.
Ringkasan
Artikel ini dimulai dengan kasus pencurian yang sebenarnya dan memperkenalkan jenis penipuan baru yang menyamarkan URL phishing sebagai alamat transfer. Tim keamanan SlowMist dengan ini mengingatkan bahwa karena teknologi blockchain tidak dapat diubah dan operasi on-chain tidak dapat diubah, pastikan untuk memeriksa alamat dengan cermat sebelum melakukan operasi apa pun, dan pada saat yang sama, perlu untuk memahami risiko alamat target terlebih dahulu sebelum melakukan operasi on-chain, seperti memasukkan alamat target di MistTrack dan memeriksa skor risiko dan label berbahaya, yang dapat menghindari jatuh ke dalam situasi kehilangan dana sampai batas tertentu. Jika Anda menemukan bahwa ada transfer yang tidak normal di alamat tersebut, harap waspada dan periksa dengan tenang, dan jika perlu, Anda dapat menghubungi kami atau mengirimkan formulir di sini