SharkTeam：典型釣魚攻擊鏈上資產轉移分析

2023-10-10 00:10:57

2023年9月7日，地址（0x13e382）遭遇釣魚攻擊，損失超2,400萬美元。釣魚黑客通過資金盜取、資金兌換和分散式地資金轉移，最終損失資金中3,800ETH被相繼分批次轉移至Tornado.Cash、10,000ETH被轉移至中間地址（0x702350），以及1078,087 DAI至今保留在中間地址（0x4F2F02）。

這是一次典型的釣魚攻擊，攻擊者通過騙取錢包授權或私鑰，竊取用戶資產，已形成了以釣魚+洗錢的黑色產業鏈，目前越來越多的詐騙團夥甚至是國家黑客都採用釣魚的方式在Web3領域為非作歹，非常需要大家關注和警惕。

根據SharkTeam鏈上大數據分析平臺ChainAegis (https://app.chainaegis.com/) 的跟蹤分析，我們將對典型釣魚攻擊的詐騙過程、資金轉移情況以及詐騙者鏈上行為進行相關分析。

1、釣魚詐騙過程

受害者地址（0x13e382）通過‘Increase Allowance’向詐騙者地址1（0x4c10a4）授權rETH和stETH。

詐騙者地址1（0x4c10a4）將受害者地址（0x13e382）账戶中的9,579 stETH轉账至詐騙者地址2（0x693b72），金額約1,532萬美元。
詐騙者地址1（0x4c10a4）將受害者地址（0x13e382）账戶中的4,850 rETH轉账至詐騙者地址2（0x693b72），金額約841萬美元。

2、資金轉移追蹤

2.1 資金兌換

將盜取的stETH和rETH兌換成ETH。自2023-09-07凌晨开始，詐騙者地址2（0x693b72）分別在UniswapV2、UniswapV3、Curve平臺進行多筆兌換交易，將9,579 stETH和 4,850 rETH全部兌換成ETH，兌換合計14,783.9413 ETH。

(1) stETH兌換:

(2)rETH兌換：

部分ETH兌換成DAI。詐騙者地址2（0x693b72）將1,000ETH通過UniswapV3平臺兌換成1,635,047.761675421713685327 DAI。

2.2 資金轉移

詐騙者通過分散式資金轉移手段，將盜用資金轉移至多個中間錢包地址，合計1,635,139 DAI和13,785 ETH。其中1,785 ETH被轉移至中間地址（0x4F2F02），2,000 ETH被轉移至中間地址（0x2ABdC2）以及10,000 ETH被轉移至中間地址（0x702350）。此外，中間地址（0x4F2F02）於次日獲得1,635,139 DAI。

2.2.1 中間錢包地址（0x4F2F02）資金轉移

該地址經一層資金轉移，擁有1,785 ETH和1,635,139 DAI。

(1) 分散轉移資金DAI，以及小額兌換成ETH

首先，詐騙者於2023-09-07日凌晨开始陸續通過10筆交易轉移529,000個DAI。隨後，前7筆共452,000 DAI已由中間地址轉至0x4E5B2e（FixedFloat），第8筆，由中間地址轉至0x6cC5F6（OKX），最後2筆共77,000 DAI由中間地址轉至0xf1dA17（eXch）。
其次在9月10日，通過UniswapV2將28,052 DAI兌換成17.3 ETH。
經過轉移後，該地址最終還剩余盜取資金1078,087 DAI未轉出。

(2)ETH資金轉移

詐騙者從9月8日开始到9月11號，陸續進行18筆交易，將1,800ETH全部轉移至Tornado.Cash。

2.2.2 中間地址（0x2ABdC2）資金轉移

該地址經一層資金轉移，擁有2,000ETH。首先該地址於9月11日將2000ETH轉移至中間地址（0x71C848）。

隨後中間地址（0x71C848）分別在9月11日和10月1日，通過兩次資金轉移，總計20筆交易，每筆轉移100ETH，總計轉移2000ETH至Tornado.Cash。

2.2.3 中間地址（0x702350）資金轉移

該地址經一層資金轉移，擁有10,000 ETH。截至2023年10月08日，10,000 ETH仍在該地址账戶中未被轉移。

3、詐騙資金來源

經過對詐騙者地址1（0x4c10a4）和詐騙者地址2（0x693b72）的歷史交易進行分析，，發現曾有一個EOA地址（0x846317）轉账1.353 ETH至詐騙者地址2（0x693b72），而該EOA地址資金來源涉及與中心化交易所KuCoin和Binance的熱錢包地址。

4、總結

ChainAegis (https://app.chainaegis.com/) 平臺鏈上數據分析，簡單清晰地呈現了釣魚詐騙者在鏈上的詐騙整個過程，以及詐騙資金目前的存留情況。詐騙者盜用受害地址的資金後，進行了一系列資金兌換和資金轉移，如下圖所示。期間總共涉及兩個詐騙地址：詐騙者地址1（0x4c10a4）和詐騙者地址2（0x693b72），4個中間地址：中間地址（0x4F2F02）、中間地址（0x2ABdC2）、中間地址（0x702350）和中間地址（0x71C848）。均被ChainAegis列入黑名單地址庫，並且對中間地址進行實時監測。