MAS:假錢包全景追蹤：深入揭秘假錢包釣魚產業鏈

前言

小A最近收到了交易所活動的短信，于是小A在瀏覽器輸入“xx錢包官方”，點進排在首位的鏈接，下載App-創建錢包-轉入資產，一氣呵成。沒一會，小A收到了轉賬成功的通知，他錢包App里的余額——價值1000萬美元的ERC20-USDT——都化為零了。小A后來才意識到，這個App是假的，自己下載到釣魚App了。慢霧于去年11月24日發布了關于假錢包黑產的分析報告——慢霧：假錢包App已致上萬人被盜，損失高達十三億美元，可想而知，隨著時間流逝，直到今天的被盜損失會是多么令人驚訝。分析

今天我們從大數據側分析，到底有多少假錢包。1、MetaMask是目前全球最大的瀏覽器插件錢包。2021年4月，MetaMask母公司ConsenSys表示，MetaMask錢包的月活用戶量超過500萬，在6個月內增長了5倍，而2020年MetaMask官方也曾宣布其較2019年的月活同比增長了4倍，用戶量超8000萬。MetaMask如此海量的用戶數自然是黑產的第一目標，我們來看看有多少冒牌MetaMask：首先，通過專業的瀏覽器搜索：

Yuga Labs發布HV-MTL Forge官方游戲指南，總計包含6個賽季:6月29日消息，Yuga Labs發布HV-MTL Forge官方游戲指南，玩家需將HV-MTL機甲進化為EVO2。該游戲總計包含6個賽季，對應6次升級機會，第一季將于6月30日上線，前三個游戲季結束后會啟動新游戲門戶，但該門戶只會對特定用戶開放。[2023/6/29 22:07:04]

查找結果顯示有20,000+的相關結果，其中98%的IP/域名都是虛假詐騙鏈接。進一步追蹤，比如查找MetaMaskDownload：

一眼看去，都是釣魚網站，而且熟悉安全的人應該都知道，888/HTTP、8888/HTTP這類端口和服務是寶塔系統的默認配置，而寶塔的簡單易部署屬性導致大量黑灰產使用。以上相關的IP/域名都是誘導用戶訪問、下載的虛假詐騙鏈接。我們再進一步來看點有意思的。首先搜索：MetaMask授權管理

Coinbase正考慮將阿聯酋作為其潛在的國際中心:金色財經報道，加密貨幣交易所Coinbase(COIN.O)正在考慮將阿聯酋作為其潛在的國際中心。Coinbase CEO Brian Armstrong表示，美國在監管方面落后了，阿聯酋在加密貨幣領域處于地區領先地位。我們將在任何地方以法律允許的形式擴大業務，加密經濟需要吸納更多的資本。

此前報道，Armstrong稱與SEC的糾紛是一個澄清的機會，Coinbase不會離開美國。[2023/5/8 14:50:15]

這些全都是黑產管理后臺相關域名，我們順手把域名也一起梭，部分抓到的域名及相關解析時間展示如下：

FTT短時漲超20%，現報價1.675美元:金色財經報道，FTX Token FTT短時漲幅超20%，現報價1.675美元。行情波動較大，請做好風險控制。

此前消息，SBF支持重啟FTX并發行新FTT分配給債權人。[2022/12/9 21:33:45]

Vue+PHP環境，部署方式如下：

2、imToken授權管理也是同樣的方式：

Snap實驗支持用Snap Tokens購買建立帶有數字商品的Lenses:金色財經報道，在Lens Fest年度活動上，Snap宣布它正在與一小群AR創作者和開發者進行實驗，以建立帶有數字商品的Lenses，這些商品可以用Snap Token購買。作為這項實驗的一部分，用戶將能夠在選定的Lenses中解鎖電源、AR物品和額外工具。Snap Tokens 于 2020 年首次推出，可以在 Snapchat 應用程序中購買，方法是單擊您的個人資料圖標并向下滾動到“我的 Snap Tokens”。[2022/12/7 21:26:45]

TokenPocket授權管理：

釣魚后臺：

后臺相關的服務產業鏈：

法國央行等8家新機構加入區塊鏈開放生態Hyperledger基金會:9月12日消息，全球企業級區塊鏈開放生態Hyperledger基金會宣布8家新成員機構加入，包括法國央行法蘭西銀行、尼日利亞中央銀行、CasperLabs、加拿大數字身份實驗室和DSR Corperation、BCW Group、Realto Group、以及國際可信區塊鏈應用協會 (INATBA)。

此前報道，Hyperledger是一個開源協作項目，旨在完善跨行業區塊鏈技術，進而實現商業用途。它是通過全球協作實現的，由Linux基金會托管。（Prnewswire）[2022/9/12 13:24:20]

3、后臺獲取到相關的受害人信息后，攻擊者通過提幣API接口進行操作：

我們來看一下代碼：

涉及到基礎Web服務的JS、配置JS、轉賬JS。再看這條：var_0xodo='jsjiami.com.v6'，不得不說，黑灰產已經超過大多數正規Web站點，人家已經在實施JS全加密技術。

配置：

此處sc0vu/web3.php:"dev-master"是用于與以太坊和區塊鏈生態系統交互的php接口系統。分析后發現，攻擊者獲取到私鑰等相關信息后，通過api.html調用，轉移相關盜竊資產。此處不再贅述。你以為這樣就結束了？

你以為他們的目標只是偽造MetaMask、imToken、TokenPocket等錢包的釣魚網站？其實他們除了偽造市面上這些知名錢包外，他們還仿造并搭建了相關交易平臺進行釣魚，我們來看下：

比如這個IP下，我們發現除了釣魚頁面、后臺，還有其他信息：

偽造的交易平臺釣魚站，而且還不止一個：

使用Laravel框架搭建的加密貨幣釣魚平臺：

使用ThinkPHP框架搭建的仿FTX平臺釣魚站點：

再來看下SaaS版直接在線售賣的釣魚詐騙模版：

騙子平臺支持大部分主流的錢包

針對加密貨幣、NFT的釣魚詐騙產業鏈已十分完備，專業SaaS服務，快速部署，立馬上線。進一步偵查發現相關的后臺管理系統，如下圖是云桌面式的管理后臺，用來控制交易平臺相關信息：

分類清晰功能齊全，黑灰產的先進與專業度已經遠超想象。總結

本文主要是從技術手段分析了詐騙錢包的全景，錢包釣魚網站層出不窮，制作成本非常低，已經形成流程化專業化的產業鏈，這些騙子通常直接使用一些工具去copy比較出名的錢包項目網站，誘騙用戶輸入私鑰助記詞或者是誘導用戶去授權。建議大家在嘗試下載或輸入之前，務必驗證正在使用網站的URL。同時，不要點擊不明鏈接，盡量通過官方網頁或者官方的媒體平臺下載，避免被釣魚。

Tags：MASMETMETAMMETAMasternetMETAM價格MetaMonkey AICMETA

Filecoin