By:Liz

背景

近期有騙子(CYBER RESCUE) 在慢霧創始人Cos 的安全提醒推文下打著「可以幫忙追回/恢復被盜資金」的幌子對受害者進行釣魚。針對該情況,慢霧安全團隊反向釣魚該騙子並披露其行騙過程,希望廣大用戶提高警惕,避免上當。

Web3安全警示丨揭露利用token精準度釣魚騙局

行騙過程

我們以受害者的身分聯絡上了自稱可以百分之百追回被盜資金的CYBER RESCUE,以下為騙子的行騙過程:

Web3安全警示丨揭露利用token精準度釣魚騙局

1. CYBER RESCUE 首先詢問受害者被盜時間、使用的錢包及被盜原因,隨後表示可以100% 追回被盜資金,方式則是在BNB 智能鍊網絡下,通過USDT 處理交易並將被盜資金重定向到受害者的錢包。受害者需要下載MathWallet,騙子解釋說這是為了指導受害者進行轉帳用戶設定並將資金重定向至受害者的錢包。

Web3安全警示丨揭露利用token精準度釣魚騙局

2. 騙子接著讓受害者在首頁點擊“添加自訂資產”,引導用戶輸入USDT 合約0x55d398326f99059ff775485246999027b3197955(該合約位址是正確的),此時MathWallet 會自動識別出該合約。

Web3安全警示丨揭露利用token精準度釣魚騙局

到了這一步,騙子強調:在貼合約地址的時候要將Decimals 從18 更改為0。從而受害者添加了一個合約正確但精度錯誤的USDT token。這裡解釋下什麼是Decimals(小數位數),在代幣中,Decimals 表示代幣的最小可分割單位的數量,它決定了代幣在交易和計算中的精度。 Decimals 的值越高,代幣的精確度越高。

Web3安全警示丨揭露利用token精準度釣魚騙局

Web3安全警示丨揭露利用token精準度釣魚騙局

受害者照做後,騙子表示這樣就可以了,他要凍結被盜資金然後退回到受害者的帳戶,現在需要受害者提供元掩碼錢包(MetaMask 錢包)。因為翻譯軟體將MetaMask 錢包翻譯成了元掩碼錢包,這把受害者整懵了,騙子也很震驚,你居然沒有MetaMask 錢包?

Web3安全警示丨揭露利用token精準度釣魚騙局

3. 至此,騙子開始了他「收回」被盜資金的神操作:

騙子查詢我們提供給他的被盜交易後,表示只能追回$89,589 的被盜資金,他給出的理由是:剩餘資金已經進入了外匯市場並被兌換成當地貨幣了。

Web3安全警示丨揭露利用token精準度釣魚騙局

接著騙子讓受害者發送MathWallet Account 的截圖,並提醒受害者:請保持在線,成敗在此一舉。這句話多少有點搞人心態了,受害者已經丟了錢,騙子此時的督促會讓受害者一心想著要抓住這次機會把錢追回來,哪裡會意識到即將落入另一個圈套。

Web3安全警示丨揭露利用token精準度釣魚騙局

騙子請受害者點擊Manage Wallet 裡的Export Private Key,引導受害者將私鑰複製給他。騙子對需要私鑰的解釋是為了連接應用程式以重新導向交易至受害者的錢包。如果騙子之前的操作都沒讓你起疑心,但現在他都管你要私鑰了啊,快跑!

Web3安全警示丨揭露利用token精準度釣魚騙局

受害者將私鑰發給了騙子。很快,騙子表示操作好了,可以查看下錢包。受害者查看錢包發現USDT 的數量確實變為騙子剛剛保證能追回的89589,這是怎麼回事?

Web3安全警示丨揭露利用token精準度釣魚騙局

在區塊瀏覽器上查詢,結果發現騙子實際轉帳給受害者的數量是0.000000000000089589 USDT。這是因為之前受害者在騙子的誘導下將錢包內自訂token 的Decimals 從18 手動改為0,所以雖然騙子給受害者轉賬的數量是0.000000000000089589 USDT,但是受害者的錢包會顯示收到89589 USDT 。

Web3安全警示丨揭露利用token精準度釣魚騙局

 (https://bscscan.com/tx/0x00901c40073dc1ec64041a3aee689874406fdb1bf7b112a6c380ec3839d6a8e5)

騙子已經騙到私鑰了,接下來又是如何獲利的呢?他告訴受害者需要擁有足夠的BNB 可用餘額才能向其他帳戶執行交易,這個可用餘額應該是BNB 智慧鍊網路中初始餘額的10%。如果受害者相信了,就依要求往錢包裡轉入價值約$8968 的BNB,便會被騙子偷走。

Web3安全警示丨揭露利用token精準度釣魚騙局

我們使用區塊瀏覽器查看騙子的地址(0xe27126d1c17B42Eb42783655D339a782f779BABA),發現該地址頻繁小額轉帳給別的地址,說明這個騙子持續用這個騙術作案。

Web3安全警示丨揭露利用token精準度釣魚騙局

 (https://bscscan.com/txs?a=0xe27126d1c17B42Eb42783655D339a782f779BABA&p=1)

用MistTrack(https://misttrack.io/)查詢該地址,可以看到這個地址的手續費來源是Binance。 MistTrack 已封鎖相關地址,並將持續監控資金異動。

Web3安全警示丨揭露利用token精準度釣魚騙局

MathWallet 更新

MathWallet 在收到該案件回饋後,立即修復並發布了新的版本,禁止了使用者對精確度的手動修改功能。已經安裝過MathWallet 的用戶請在App Store 或Google Play 中進行升級。

Web3安全警示丨揭露利用token精準度釣魚騙局

總結

區塊鏈黑暗森林中的騙術層出不窮,本文中的騙子甚至冒充鏈上追蹤專家,對被盜的受害者實施釣魚,行騙過程中可以說是手把手地教受害者怎麼把私鑰給出去。慢霧安全團隊在此提醒廣大用戶要保持警惕,不論對方以什麼身分接近你,一定不要給私鑰,謹防被盜。如果您的加密貨幣不幸被盜,我們將免費提供案件評估的社區協助服務,僅需要您按照分類指引(資金被盜/遭遇詐騙/遭遇勒索)提交表單即可。同時,您提交的駭客地址也將同步至InMist 威脅情報合作網路進行風控。 (註:中文表單投稿至https://aml.slowmist.com/cn/recovery-funds.html,英文表單投稿至https://aml.slowmist.com/recovery-funds.html)