Фон:

Повідомлення від нашого партнера imToken розкрило новий тип криптовалютної шахрайства. Ця шахрайська діяльність в основному спрямована на офлайн-фізичні транзакції за допомогою USDT в якості методу оплати. Вона включає зловмисне модифікування ланок вузла віддаленого виклику процедур Ethereum (RPC) для здійснення шахрайської діяльності.

Шахрайський процес

Команда з безпеки Slowmist проаналізувала цей шахрайський випадок, і зловмисний процес нападника виглядає наступним чином:

Спочатку аферист змушує цільового користувача завантажити офіційний гаманець imToken та здобуває їх довіру, надсилаючи їм 1 USDT та невелику суму ETH як приманка. Потім аферист керує користувачем, щоб перенаправити адресу своєї вузла ETH RPC на вузол афериста.https://rpc.tenderly.co/fork/34ce4192-e929-4e48-a02b-d96180f9f748).

Ця нода була змінена шахраєм за допомогою функції Fork компанії Tenderly, фальсифікуючи баланс USDT користувача, щоб зробити його таким, ніби шахрай вже вніс кошти на гаманець користувача. Побачивши баланс, користувач вважає, що платіж отримано. Однак, коли користувач намагається перерахувати комісію майнера, щоб зняти USDT зі свого рахунку, він усвідомлює, що його обманули. До цього часу шахрай вже зник.

Фактично, крім того, що баланс відображення змінено, функція Fork в Tenderly навіть може змінювати інформацію про контракт, що становить більшу загрозу для користувачів.

(https://docs.tenderly.co/forks)

Тут нам потрібно розглянути, що таке RPC. Для взаємодії з блокчейном нам потрібен відповідний метод доступу до мережевих серверів через стандартний інтерфейс. RPC служить методом з'єднання та взаємодії, дозволяючи нам отримувати доступ до мережевих серверів і виконувати такі операції, як перегляд балансів, створення транзакцій або взаємодія зі смарт-контрактами. Вбудовуючи функціональність RPC, користувачі можуть виконувати запити та взаємодіяти з блокчейном. Наприклад, коли користувачі отримують доступ до децентралізованих бірж через підключення гаманців (наприклад, imToken), вони спілкуються з блокчейн-серверами через RPC. Як правило, всі типи гаманців за замовчуванням підключені до захищених вузлів, і користувачам не потрібно вносити жодних коригувань. Однак, якщо користувачі недбало довіряють іншим і пов'язують свої гаманці з ненадійними вузлами, відображені баланси та інформація про транзакції в їхніх гаманцях можуть бути зловмисно змінені, що призведе до фінансових втрат.

Аналіз MistTrack

Ми використали інструмент відстеження на ланцюжку MistTrack, щоб проаналізувати одну з відомих адрес жертв (0x9a7…Ce4). Ми бачимо, що адреса цієї жертви отримала невелику суму 1 USDT та 0,002 ETH від адреси (0x4df…54b).

Шляхом аналізу коштів адреси (0x4df…54b) ми виявили, що вона переказала 1 USDT трьом різним адресам, що свідчить про те, що ця адреса вже була обманута тричі.

Подальший відстеження показує, що ця адреса пов'язана з кількома торговими платформами і взаємодіяла з адресами, позначеними як "Шахрай з розбою свиней" за допомогою MistTrack.

Огляд

Хитрість цього шахрайства полягає в тому, що воно використовує психологічні слабкості користувачів. Користувачі часто зосереджуються лише на тому, чи були кошти зараховані на їх гаманці, не приділяючи уваги потенційним базовим ризикам. Шахраї використовують це довіру та недбалість, застосовуючи серію видимо справжніх операцій, таких як переклад невеликих сум, щоб обдурити користувачів. Тому команда безпеки Slowmist радить усім користувачам залишатися бджолами під час транзакцій, підвищувати свідомість самозахисту та уникати сліпої довіри до інших, щоб запобігти фінансовим втратам.

Відмова від відповідальності：

1. Ця стаття є перепублікована зSlowmist Технологія, з оригінальною назвою «Розкриття нового шахрайства: злоякісне змінювання посилань на вузол RPC для крадіжки активів». Авторське право належить оригінальному автору [Ліза]. У разі яких-небудь зауважень щодо перепублікації, будь ласка, зв'яжіться зКоманда Gate Learn, хто буде вирішувати питання згідно з відповідними процедурами.

2. Відмова від відповідальності: Погляди та думки, висловлені в цій статті, є виключно тими, що належать автору і не становлять жодної інвестиційної поради.

3. Інші мовні версії цієї статті перекладені командою Gate Learn та не можуть бути скопійовані, розповсюджені або плагіатовані без зазначення джерела.Gate.io.