Nền tảng：

Phản hồi từ đối tác của chúng tôi imToken đã tiết lộ một loại lừa đảo tiền điện tử mới. Lừa đảo này chủ yếu nhắm vào các giao dịch vật lý ngoại tuyến bằng cách sử dụng USDT làm phương thức thanh toán. Nó liên quan đến việc sửa đổi một cách độc hại các liên kết nút Ethereum Remote Procedure Call (RPC) để thực hiện các hoạt động gian lận.

Quy trình lừa đảo

Đội an ninh Slowmist đã phân tích vụ lừa đảo này, và quy trình độc hại của kẻ tấn công như sau:

Đầu tiên, kẻ lừa đảo lôi kéo người dùng mục tiêu tải về ví imToken chính thức và giành được sự tin tưởng của họ bằng cách gửi cho họ 1 USDT và một lượng ETH nhỏ như mồi câu. Sau đó, kẻ lừa đảo hướng dẫn người dùng chuyển hướng địa chỉ nút RPC của họ sang nút của kẻ lừa đảo (https://rpc.tenderly.co/fork/34ce4192-e929-4e48-a02b-d96180f9f748).

Nút này đã được kẻ lừa đảo sửa đổi bằng cách sử dụng tính năng Fork của Tenderly, làm giả số dư USDT của người dùng để làm cho nó trông như như kẻ lừa đảo đã gửi tiền vào ví của người dùng. Nhìn thấy số dư, người dùng tin rằng thanh toán đã được nhận. Tuy nhiên, khi người dùng cố gắng chuyển phí của thợ mỏ để rút USDT từ tài khoản của họ, họ nhận ra rằng họ đã bị lừa. Đến lúc đó, kẻ lừa đảo đã biến mất.

Trong thực tế, ngoài việc sửa đổi hiển thị số dư, chức năng Fork của Tenderly thậm chí có thể thay đổi thông tin hợp đồng, đe dọa lớn hơn đến người dùng.

(https://docs.tenderly.co/forks)

Ở đây, chúng tôi cần phải giải quyết vấn đề RPC là gì. Để tương tác với blockchain, chúng ta cần một phương pháp phù hợp để truy cập vào máy chủ mạng thông qua một giao diện tiêu chuẩn. RPC đóng vai trò là một phương pháp kết nối và tương tác, cho phép chúng ta truy cập vào máy chủ mạng và thực hiện các hoạt động như xem số dư, tạo giao dịch hoặc tương tác với hợp đồng thông minh. Bằng cách nhúng chức năng RPC, người dùng có thể thực hiện các yêu cầu và tương tác với blockchain. Ví dụ, khi người dùng truy cập vào các sàn giao dịch phi tập trung thông qua kết nối ví (như imToken), họ đang giao tiếp với máy chủ blockchain thông qua RPC. Thông thường, tất cả các loại ví đều được kết nối với các nút an toàn theo mặc định, và người dùng không cần phải thực hiện bất kỳ điều chỉnh nào. Tuy nhiên, nếu người dùng mơ hồ tin tưởng người khác và liên kết ví của họ với các nút không đáng tin cậy, số dư hiển thị và thông tin giao dịch trong ví của họ có thể bị sửa đổi một cách độc hại, dẫn đến thiệt hại tài chính.

Phân tích MistTrack

Chúng tôi đã sử dụng công cụ theo dõi trên chuỗi MistTrack để phân tích một trong các địa chỉ ví nạn nhân đã biết (0x9a7…Ce4). Chúng ta có thể thấy rằng địa chỉ của nạn nhân này đã nhận số tiền nhỏ là 1 USDT và 0.002 ETH từ địa chỉ (0x4df…54b).

Bằng cách kiểm tra quỹ của địa chỉ (0x4df…54b), chúng tôi đã phát hiện rằng nó đã chuyển 1 USDT đến ba địa chỉ khác nhau, cho thấy rằng địa chỉ này đã bị lừa ba lần.

Theo dõi thêm, địa chỉ này liên quan đến nhiều nền tảng giao dịch và đã tương tác với các địa chỉ được đánh dấu là “Pig Butchering Scammer” bởi MistTrack.

Tóm tắt

Bản chất tinh vi của vụ lừa đảo này nằm ở việc khai thác các yếu điểm tâm lý của người dùng. Người dùng thường tập trung hoàn toàn vào việc xem xét xem có tiền đã được ghi nhận vào ví của họ hay không, bỏ qua các nguy cơ tiềm ẩn. Kẻ lừa đảo tận dụng sự tin tưởng và sự cẩu thả này bằng cách sử dụng một loạt các hoạt động có vẻ như là chính xác, như chuyển khoản số tiền nhỏ, để đánh lừa người dùng. Do đó, nhóm An ninh Slowmist khuyên tất cả người dùng nên duy trì sự cảnh giác trong giao dịch, nâng cao nhận thức tự bảo vệ và tránh tin tưởng người khác một cách mù quáng để ngăn chặn thiệt hại tài chính.

Disclaimer：

1. Bài viết này được sao chép từCông nghệ Slowmist, với tiêu đề gốc là “Bóc rào một Chiêu Lừa Mới: Sửa Đổi Độc Hại Liên Kết Nút RPC để Đánh Cắp Tài Sản”. Bản quyền thuộc về tác giả gốc [Lisa]. Nếu có bất kỳ ý kiến phản đối nào về việc sao chép, vui lòng liên hệĐội học Gate, ai sẽ xử lý vấn đề theo các quy trình liên quan.

2. Thông báo: Các quan điểm và ý kiến được thể hiện trong bài viết này chỉ là của tác giả và không cấu thành bất kỳ lời khuyên đầu tư nào.

3. Các phiên bản ngôn ngữ khác của bài viết này được dịch bởi đội ngũ Gate Learn và không được sao chép, phổ biến hoặc đạo văn mà không đề cậpGate.io.