背景

近期，一種新型的釣魚詐騙手段引起了我們的注意。

這種詐騙通常發生於聊天軟體（如 Telegram）中，起始於場外出入金交易，在進行正式交易前，騙子以“要確認受害者的位址是否存在風險”為由，讓受害者先轉帳 0.1 USDT 看看地址的風險情況，接著給受害者發送了一個進行轉帳的“公鏈”位址，還特別提醒必須在錢包瀏覽器輸入該公鏈位址才能進行轉帳。 結果受害者在瀏覽器輸入該「公鏈」位址后，發現帳戶所有的代幣都被盜了。

究竟是怎麼回事呢？

手法分析

我們根據受害者提供的資訊分析，發現這不是簡單的轉帳被盜（為保護受害者資訊，故位址模糊處理）。

根據我們的經驗來看，這應該是由授權引起的釣魚被盜。 合約呼叫者（TK... Gh） 通過調用 transferFrom 函數，將受害者位址（TX... 1W） 上的 271,739 USDT 轉移到騙子位址（TR... 8v)。

這時，我們將目光落到騙子口中的「公鏈」位址：0x2e16edc742de42c2d3425ef249045c5c.in

乍一看，位址沒什麼問題。 但是細看問題很大啊！ 首先，這是 TRON 上的轉帳，但這是 0x 開頭的位址; 其次，再仔細看，發現這並不是一個位址，而是一個末尾帶著 .in 的網址。

分析該網址，發現該網址創建於一個月前（10 月 11 日），相關 IP 為 38.91.117.26：

該IP下還存在相似的網址，都是近一個月創建的：

0x2e16edc742de42c2d3425ef249045c5b.in

tgsfjt8m2jfljvbrn6apu8zj4j9ak7erad.in

目前只有 0x2e16edc742de42c2d3425ef249045c5b.in 能打開，通過錢包瀏覽器搜索該位址，發現該頁面只能選擇 TRON 網路。

輸入數額后，點擊下一步，顯示為合約交互 Contract interaction：

我們解碼 Data 部分的數據，發現騙子（TYiMfUXA9JcJEaiZmn7ns2giJKmToCEK2N） 誘騙使用者簽署 increaseApproval，一旦用戶點擊 Confirm，使用者的代幣就會被騙子通過 transferFrom 方法盜走。

分析該騙子位址，發現已經有使用者受騙：

受害者的大部分 USDT 都被轉移到位址 TLdHGHB8HDtPeUXPxiwU6bed6wQEH25ZKQ：

使用MistTrack查看該位址發現這個位址接收超3,827 USDT：

其他位址的分析不再贅述。

總結

本文從一個實際被盜案例入手，介紹了一種新型的將釣魚網址偽裝成轉帳地址的騙局。 慢霧安全團隊在此提醒，由於區塊鏈技術是不可篡改的，鏈上操作是不可逆的，所以在進行任何操作前，請務必仔細核對地址，同時，在進行鏈上操作前，提前了解目標地址的風險情況是十分必要的，例如在MistTrack中輸入目標位址並查看風險評分及惡意標籤，一定程度上可以避免陷入資金損失的境地。 如果發現地址出現異常轉賬情況，請務必警惕並冷靜檢查，如有需要可以聯繫我們或在此提交表單