MAS:假錢包全景追蹤：深入揭秘假錢包釣魚產業鏈

前言

小A最近收到了交易所活動的短信，于是小A在瀏覽器輸入“xx錢包官方”，點進排在首位的鏈接，下載App-創建錢包-轉入資產，一氣呵成。沒一會，小A收到了轉賬成功的通知，他錢包App里的余額——價值1000萬美元的ERC20-USDT——都化為零了。小A后來才意識到，這個App是假的，自己下載到釣魚App了。

慢霧于去年11月24日發布了關于假錢包黑產的分析報告——慢霧：假錢包App已致上萬人被盜，損失高達十三億美元，可想而知，隨著時間流逝，直到今天的被盜損失會是多么令人驚訝。

分析

今天我們從大數據側分析，到底有多少假錢包。

1、MetaMask是目前全球最大的瀏覽器插件錢包。2021年4月，MetaMask母公司?ConsenSys?表示，MetaMask錢包的月活用戶量超過500萬，在6個月內增長了5倍，而2020年MetaMask官方也曾宣布其較2019年的月活同比增長了4倍，用戶量超8000萬。

MetaMask如此海量的用戶數自然是黑產的第一目標，我們來看看有多少冒牌MetaMask：

首先，通過專業的瀏覽器搜索：

Vitalik Buterin正在拋售部分“shitcoin”:金色財經報道，據鏈上分析師Lookonchain披露，“V神”Vitalik Buterin正在拋售一些持有的“shitcoin”，目前已經售出500億枚MOPS獲得1.25 ETH（約2000美元）、100億枚CULT獲得58 ETH（約合9.1萬美元）、以及500萬億枚SHIK獲得380 ETH（約合60萬美元）。[2023/3/7 12:46:52]

查找結果顯示有20,000+?的相關結果，其中98%的IP/域名都是虛假詐騙鏈接。

進一步追蹤，比如查找MetaMaskDownload：

?微軟推出基于ChatGPT的高端版Teams:2月2日消息，微軟推出由ChatGPT支持的高端Teams消息服務，以簡化會議。微軟表示，該服務月費7美元，7月將漲價至10美元。（鞭牛士）[2023/2/2 11:42:28]

一眼看去，都是釣魚網站，而且熟悉安全的人應該都知道，888/HTTP、8888/HTTP這類端口和服務是寶塔系統的默認配置，而寶塔的簡單易部署屬性導致大量黑灰產使用。以上相關的IP/域名都是誘導用戶訪問、下載的虛假詐騙鏈接。

我們再進一步來看點有意思的。

首先搜索：MetaMask授權管理

Genesis欠Gemini 7.65億美元，欠Mirana Corp、貝寶金融母公司各約1.5億美元:1月20日消息，據公開的破產申請文件顯示，Genesis前幾大債權人包括Gemini Trust Company（7.65億美元）、Mirana Ventures實體公司Mirana Corp（1.51億美元）、貝寶金融母公司Moonalpha Financial Services Limited（1.5億美元），以及加密貨幣對沖基金Coincident Capital實體公司Coincident CapitalInternational,Ltd.（1.12億美元）。[2023/1/20 11:23:11]

這些全都是黑產管理后臺相關域名，我們順手把域名也一起梭，部分抓到的域名及相關解析時間展示如下：

Vue+PHP環境，部署方式如下：

美國銀行：不要用加密交易投機玷污區塊鏈技術:金色財經報道，美國銀行（Bank Of American）最新發布報告稱，將投機性加密貨幣交易和 Token 價格與底層區塊鏈技術分開非常重要。該機構分析師 Alkesh Shah 和 Andrew Moss 指出，盡管 FTX 和 Alameda Research 倒閉引發市場擔憂，但依然應該繼續推動“利用分布式賬本和區塊鏈技術的應用程序開發”。

據此前消息，紐約聯儲已經和美國銀行、花旗集團 (C)、匯豐銀行 (HSBC)、紐約梅隆銀行 (BK) 和富國銀行 (WFC) 以及支付巨頭萬事達卡 (MA) 開始測試“數字代幣”的使用。（雅虎財經）[2022/11/19 13:23:15]

2、imToken授權管理也是同樣的方式：

TokenPocket授權管理：

納米比亞大學將于2024年提供區塊鏈技術碩士學位:金色財經報道，納米比亞大學IT系主任塞繆爾·努古魯(Samuel Nuungulu)表示，納米比亞高等教育機構納米比亞大學(UNAM)將于2024年開始提供與區塊鏈技術相關的課程。UNAM區塊鏈技術碩士指導委員會主席表示，通過引入學位課程，該大學希望“利用該課程將創造的技能，為科技初創企業的孵化奠定基礎。主席還透露，該大學已經將基于區塊鏈技術的內容“注入”到UNAM的8級項目中，該機構希望明年在參議院任職。（news.bitcoin）[2022/6/24 1:28:53]

釣魚后臺：

后臺相關的服務產業鏈：

3、后臺獲取到相關的受害人信息后，攻擊者通過提幣API接口進行操作：

我們來看一下代碼：

涉及到基礎Web服務的JS、配置JS、轉賬JS。

再看這條：var_0xodo='jsjiami.com.v6'，不得不說，黑灰產已經超過大多數正規Web站點，人家已經在實施JS全加密技術。

配置：

此處sc0vu/web3.php:"dev-master"是用于與以太坊和區塊鏈生態系統交互的php接口系統。

分析后發現，攻擊者獲取到私鑰等相關信息后，通過api.html調用，轉移相關盜竊資產。此處不再贅述。

你以為這樣就結束了？

你以為他們的目標只是偽造MetaMask、imToken、TokenPocket等錢包的釣魚網站？

其實他們除了偽造市面上這些知名錢包外，他們還仿造并搭建了相關交易平臺進行釣魚，我們來看下：

比如這個IP下，我們發現除了釣魚頁面、后臺，還有其他信息：

偽造的交易平臺釣魚站，而且還不止一個：

使用Laravel框架搭建的加密貨幣釣魚平臺：

使用ThinkPHP框架搭建的仿?FTX?平臺釣魚站點：

再來看下SaaS版直接在線售賣的釣魚詐騙模版：

騙子平臺支持大部分主流的錢包

針對加密貨幣、NFT?的釣魚詐騙產業鏈已十分完備，專業SaaS服務，快速部署，立馬上線。?

進一步偵查發現相關的后臺管理系統，如下圖是云桌面式的管理后臺，用來控制交易平臺相關信息：

分類清晰功能齊全，黑灰產的先進與專業度已經遠超想象。

總結

本文主要是從技術手段分析了詐騙錢包的全景，錢包釣魚網站層出不窮，制作成本非常低，已經形成流程化專業化的產業鏈，這些騙子通常直接使用一些工具去copy比較出名的錢包項目網站，誘騙用戶輸入私鑰助記詞或者是誘導用戶去授權。建議大家在嘗試下載或輸入之前，務必驗證正在使用網站的URL。同時，不要點擊不明鏈接，盡量通過官方網頁或者官方的媒體平臺下載，避免被釣魚。

Tags：MASmetamaskMETATAMA小狐貍metamaskmetamask官方下載安卓版UnityMetaTamadoge

狗狗幣最新價格