SlowMist: ще одна афера з роздачею, але із родзинкою
Дата: 2023-07-12 Категорії: КРИПТО ПЛАТЕЖІ
Адреси багатьох жертв постійно розкидалися з невеликою кількістю токенів (0,01 USDT, 0,001 USDT і т. д.), і вони, швидше за все, стали мішенню, тому що їхні адреси були залучені до транзакцій з високою вартістю та обсягом торгів. Останні кілька цифр адреси зловмисника майже ідентичні останнім цифрам адреси користувача. Це робиться для того, щоб обманом змусити користувача випадково скопіювати неправильну адресу з історії транзакцій та надіслати кошти на неправильну адресу.
Адрес користувача 1: TW... dWfKz
Адреса зловмисника 2: TK... Qw5oH
Адреса користувача 2: TW... Qw5oH
Аналіз MistTrack
Почнемо з огляду двох адрес зловмисників:
Адреса зловмисника (TX.....dWfKz) та адреса користувача (TW.....dWfKz) закінчуються на dWfKz. Навіть після того, як користувач помилково відправив 115 193 USDT на неправильну адресу, зловмисник все одно розкидає 0,01 USDT і 0,001 USDT на адресу жертви, використовуючи дві нові адреси, які також закінчуються на dWfKz.
Те саме сталося і з другою нашою жертвою. Адреса зловмисника (TK.... . Qw5oH) та адреса користувача ( (TW.... . Qw5oH) обидва закінчуються на Qw5oH. Жертва помилково відправила 345 940 USDT на неправильну адресу, а зловмисник продовжує розкидати 0,01 USDT на адресу жертви, використовуючи нові адреси, які також закінчуються Qw5oH.
Далі ми розглянемо адресу зловмисника 1 за допомогою нашої AML-платформи MistTrack (tx..dWfKz). Як показано на малюнку нижче, зловмисник звертається до 1 аірдроп 0,01 USDT і 0,02 USDT на різні цільові адреси, кожен з яких взаємодіяв з адресою, що закінчується на dWfKz.
Озираючись назад, бачимо, що початкові переклади цих аирдропов надходили з адреси TF.... J5Jo8 10 жовтня, коли було переведено 0,5 USDT.
Попередній аналіз ТФ. J5Jo8:
MistTrack був використаний для аналізу останньої адреси на наведеному вище графіку, TX...4yBmC. Як показано на малюнку нижче, адреса TX....4yBmC використовується зловмисником для роздачі 0,01 USDT на кілька адрес, які закінчуються на 4yBmC.
Давайте подивимося на адресу зловмисника 2 (ТЗ .... Qw5oH): 0,01 USDT було розкинуто на кілька адрес, а початкове фінансування в розмірі 0,6 USDT було відправлено з TD.... . ПСГМК.
Як очевидно з графіка нижче, зловмисник відправив TD 0,06 USDT.... . kXbFq, а також взаємодіяв з депозитною адресою користувача FTX, який закінчується Qw5oH.
Ще раз виберемо навмання дві адреси та перевіримо нашу теорію. (наприклад, адреса депозиту Kraken TU... . hhcWoT та Binance депозитна адреса TM.... . QM7me).
Зведення
Ця стаття присвячена тому, як шахрай експлуатує користувачів, які копіюють адресу з історії транзакцій, не перевіряючи всю адресу. Вони досягають цього, генеруючи аналогічну адресу, яка закінчується так само, як адресу користувача, і регулярно скидаючи невеликі суми коштів на адресу користувача. Все це робиться в надії, що користувачі скопіюють підроблену адресу і надішлють свої кошти шахраю наступного разу
CRYPTOblog.TV хотів би нагадати всім, що через незмінність технології блокчейн та незворотності операцій у мережі, будь ласка, двічі перевірте адресу, перш ніж продовжити. Користувачам також рекомендується використовувати функцію адресної книги у своєму гаманці, щоб їм не потрібно було копіювати та адресувати кожного разу.
