解析新型空投局：警惕相同尾号伪装地址

作者：Lisa

原文：《慢雾：警惕相同尾号空投局》

本文主要介绍了子利用用户复制交易记录中过往地址的这个习惯，生成相同尾号的地址作为伪装地址，并利用伪装地址向用户不断空投小额的 Token，使得子的地址出现在用户的交易记录中，用户稍不注意就复制错误地址，导致资产损失。

近期，有多个用户向我们反映资产被盗。

根据多名中招用户的反馈，似乎是攻击者针对交易规模较大频率较高的用户不断空投小额数量的 Token（例如 0.01 USDT 或0.001 USDT 等），攻击者地址尾数和用户地址尾数几乎一样，通常为后几位，用户去复制历史转账记录中的地址时一不小心就复制错，导致资产损失。

ENS将推出区块链原生的、可通过域名解析系统路由的顶级域名.box:6月7日消息，ENS开发者nick.eth发推称，ENS将推出区块链原生的、可通过域名解析系统路由的顶级域名.box。该域名系统中所有注册和转移都将在链上进行，NFT的所有者将同时拥有DNS和ENS域名。

据悉，.box域名可用于DID配置文件和钱包、去中心化的网站和消息传递、Web2网站和电子邮件、收藏与交易等。[2023/6/7 21:21:43]

攻击者地址 1：TX...dWfKz

用户地址 1：TW...dWfKz

攻击者地址 2：TK...Qw5oH

用户地址 2：TW...Qw5oH

WalletConnect 发布钱包开源解决方案 Web3Modal v2.0 版本，新增 ENS 域名解析等功能:9月17日消息，Web3 基础设施 WalletConnect 发布钱包开源解决方案Web3Modal v2.0版本，新功能包括可自定义的UI、支持上百个钱包、最终用户登陆、可定制的条款和条件、ENS域名解析，未来几周内也计划添加和增强更多功能，包括支持React和Vanilla等多种框架、为账户地址和实时余额等功能预建组件、支持非EVM链等。[2022/9/17 7:02:59]

先看看两个攻击者地址大致的交易情况。

可以看到，攻击者地址 1（TX...dWfKz）与用户地址（TW...dWfKz）尾数都是 dWfKz，在用户损失了 115,193 USDT 后，攻击者又先后使用两个新的地址分别对用户地址空投 0.01 USDT 和 0.001 USDT，尾数同样是 dWfKz。

安全团队：Reaper Farm项目遭到攻击事件解析，项目方损失约170万美元:据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示，Reaper Farm项目遭到黑客攻击，成都链安安全团队发现由于_withdraw中owner地址可控且未作任何访问控制，导致调用withdraw或redeem函数可提取任意用户资产。攻击者(0x5636e55e4a72299a0f194c001841e2ce75bb527a)利用攻击合约(0x8162a5e187128565ace634e76fdd083cb04d0145)通过漏洞合约(0xcda5dea176f2df95082f4dadb96255bdb2bc7c7d)提取用户资金，累计获利62ETH，160万 DAI，约价值170万美元，目前攻击者(0x2c177d20B1b1d68Cc85D3215904A7BB6629Ca954)已通过跨链将所有获利资金转入Tornado.Cash，成都链安链必追平台将对被盗资金进行实时监控和追踪。[2022/8/2 2:54:19]

欧科云链张超：目前已累计解析超1.5亿地址标签，成全球最大链上地址标签库服务商:4月27日消息，欧科云链副总裁、欧科云链控股执行董事张超在出席“甲子引力X数字经济高峰论坛”时表示，截至目前欧科云链已解析链上超1.5亿地址标签（实体标签、行为标签、属性标签）、数十亿交易记录、超1万条结构化指标，成为全球最大的链上地址标签库服务商。

会上张超表示，未来欧科云链将继续探索区块链底层技术，加强对链上数据的分析、治理，为更多上层的区块链应用添砖加瓦，服务于更多实体的应用层。[2022/4/27 2:33:56]

同样，攻击者地址 2（TK...Qw5oH）与用户地址（TW...Qw5oH）尾数都是 Qw5oH，在用户损失了 345,940 USDT 后，攻击者又使用新的地址（尾数为 Qw5oH）对用户地址空投 0.01 USDT。

接下来，我们使用 MistTrack 来分析攻击者地址 1（TX...dWfKz）。如下图，攻击者地址 1 将 0.01 USDT、0.02 USDT 不断空投到各目标地址，而这些目标地址都曾与尾号为 dWfKz 的地址有过交互。

往上追溯看看该地址的资金来源。最早一笔来自地址 TF...J5Jo8 于 10 月 10 日转入的 0.5 USDT。

初步分析下地址 TF...J5Jo8：

该地址对将近 3300 个地址分别转入 0.5 USDT，也就是说，这些接收地址都有可能是攻击者用来空投的地址，我们随机选择一个地址验证。

使用 MistTrack 对上图最后一个地址 TX...4yBmC 进行分析。如下图显示，该地址 TX...4yBmC 就是攻击者用来空投的地址，对多个曾与尾号为 4yBmC 地址有过交互的地址空投 0.01 USDT。

我们再来看看攻击者地址 2（TK...Qw5oH）的情况：空投 0.01 USDT 到多个地址，且初始资金来自地址 TD...psxmk 转入的 0.6 USDT。

这次往下追踪，攻击者地址 2 将 0.06 USDT 转到地址 TD...kXbFq，而地址 TD...kXbFq 也曾与尾号为 Qw5oH 的 FTX 用户充币地址有过交互。

那我们反向猜想下，其他与 TD...kXbFq 交互过的地址，是否也有相同尾号的地址对它们进行空投？随机选择两个地址验证一下（例如上图的 Kraken 充币地址 TU...hhcWoT 和 Binance 充币地址 TM...QM7me）。

不出所料，攻击者布了一个巨大的网，只钓粗心人。

其他地址情况这里不再赘述。

本文主要介绍了子利用用户复制交易记录中过往地址的这个习惯，生成相同尾号的地址作为伪装地址，并利用伪装地址向用户不断空投小额的 Token，使得子的地址出现在用户的交易记录中，用户稍不注意就复制错误地址，导致资产损失。慢雾在此提醒，由于区块链技术是不可篡改的，链上操作是不可逆的，所以在进行任何操作前，请务必仔细核对地址，同时建议使用钱包的地址簿转账功能，可直接通过选择地址转账。

慢雾科技

个人专栏

阅读更多

比推 Bitpush News

蜂巢Tech

Block unicorn

Chainlink

金色早8点

PANews

DeFi之道

蓝狐笔记

半月谈

白话区块链

PingWest品玩

标签：USDTSDTUSD区块链USDT币提现判多久YSDTUSDT币提现微信如何使用区块链技术

MANA热门资讯