Chainalysis:2023年定向批准網絡釣魚詐騙疑似被盜至少3.74億美元
來源:Chainalysis;編譯:松雪,金色財經
批准網絡釣魚是一種已經存在多年的詐騙策略。 但是,盡管批准網絡釣魚詐騙者歷來通過虛假加密應用程序的擴散來針對廣泛的加密用戶,但殺豬盤詐騙者近年來似乎採用了這種技術,並取得了巨大的效果。
批准網絡釣魚與其他加密貨幣詐騙有一個雖小但很重要的不同之處。 通常,詐騙者通過虛假投資機會或冒充其他人,欺騙受害者向他們發送加密貨幣。 但在批准網絡釣魚騙局中,詐騙者誘騙用戶籤署惡意區塊鏈交易,該交易允許詐騙者的地址批准在受害者錢包內使用特定代幣,從而允許詐騙者隨意耗盡受害者地址中的這些代幣。 一些受害者因這些詐騙而損失了數千萬美元。
值得注意的是,一般來說,批准網絡釣魚者會將受害者的資金發送到與被批准代表受害者進行交易的錢包不同的錢包中。 鏈上模式通常如下進行:
受害者地址籤署交易批准第二個地址花費其資金;
第二個地址(我們將其稱爲批准的支出地址)執行交易以將資金轉移到新的目的地地址。
一般來說,如果交易以這種方式展开,並且批准的支出者地址是耗盡交易的發起者,而不是我們在非惡意交易中預期的受害者地址,那么這很可能是批准網絡釣魚的實例。 不過,還需要進一步調查才能確定。
審批網絡釣魚騙局剖析
許多在啓用智能合約的區塊鏈上運行的去中心化應用(dApp),如以太坊,需要用戶籤署批准交易,允許dApp的智能合約移動用戶地址中的資金。授予安全dApp的批准通常是安全的,因爲正確設計的智能合約只有在用戶指示時,或者在dApp正常運行且需要此批准時才能使用該批准。在這些情況下,我們通常期望dApp用戶的地址是發起交易以使用資金的地址。但是,批准釣魚者可以利用這樣一個事實,即許多加密用戶習慣於籤署批准交易——訣竅在於給予了什么權限,以及接收該權限的一方的可信度。例如,一個批准釣魚騙局中,騙子宣傳了一個虛假的Uniswap批准釣魚騙局,並設置了一個虛假的Etherscan頁面,用戶可以通過連接他們的錢包並籤署批准交易來檢查他們的交易批准,以查看是否成爲受害者——最後一筆交易是實際的批准釣魚騙局的核心。
然而,研究表明,批准釣魚者現在越來越多地針對特定的受害者,與他們建立關系,並使用與殺豬盤騙局相關的策略,說服受害者籤署批准交易。Metamask首席產品經理Taylor Monahan(又名@tayvano_)在一個自定義的Dune Analytics儀表板上追蹤了類似殺豬盤騙局的批准釣魚。
我們通過從一個較小的批准釣魚地址列表开始,該列表的所有者據信正在使用殺豬盤騙局手法,識別出一組涉及目標批准釣魚的1,013個地址。然後,我們確定與初始列表中的地址相關聯的其他地址,這些地址執行了類似的交易,有效地讓我們建立起一個更完整的互相連接的批准釣魚者的鏈上活動網絡。我們估計,從我們起始的地址的受害者,以及根據其獨特活動模式確定的那些地址,自2021年5月我們的數據集开始以來,已經損失了大約10億美元,是由於批准釣魚騙局。需要注意的是,這10億美元的總額是基於鏈上模式的估算,其中一些可能代表了騙子已經控制的資金的洗錢,這個數字可能只是一個更大冰山的冰山一角。殺豬盤騙局因報告不足而臭名昭著,我們的分析是從有限的報告實例开始的。
2023年5月-2023年11月因涉嫌網絡釣魚詐騙而被盜的價值
我們追蹤的可疑批准網絡釣魚詐騙者的收入在 2022 年 5 月達到頂峰。總體而言,2022 年受害者因批准網絡釣魚損失估計爲 5.168 億美元,而 2023 年至 11 月僅爲 3.746 億美元。 與許多形式的基於加密貨幣的犯罪一樣,絕大多數批准網絡釣魚盜竊都是由少數非常成功的參與者驅動的。 我們可以在下面的分布圖上看到這一點,該圖顯示了我們研究的時間段內 1,013 個地址的批准網絡釣魚收入,以及我們樣本中的地址通過批准網絡釣魚竊取的所有價值的累計份額(按降序排列)。
2022年5月-2023年11月疑似審批釣魚地址收入分布
最成功的批准網絡釣魚地址可能從數千個受害者地址中竊取了 4430 萬美元,佔研究期間估計被盜總額的 4.4%。 十大經批准的網絡釣魚地址合計佔研究期間所有被盜價值的 15.9%,而 73 個最大的釣魚地址佔所有被盜價值的一半。
我們相信,業界可以通過多種方式解決審批網絡釣魚詐騙問題,從用戶教育到採用類似於我們用來編譯這些數據的模式識別策略。 一般來說,審批型釣魚詐騙中的相關地址和錢包有:
批准的支出錢包受害者被欺騙指定爲批准支出其錢包中的資金;
受害者資金被耗盡的目標地址;
整合地址,收集許多受害者流失的資金。
資金通常從整合地址轉移到兌現點(主要是中心化交易所),如下圖所示。
識別批准網絡釣魚的模式
根據上述模式,交易所合規團隊可以監控區塊鏈,以查找可疑的批准網絡釣魚整合錢包,這些錢包大量暴露於目標地址。 然後,他們可以實時看到這些錢包何時將資金轉移到他們的平台,然後可以採取自動凍結資金或向執法部門報告等措施。 更廣泛地說,該行業可以努力教育用戶不要籤署批准交易,除非他們絕對確定自己信任對方的個人或公司,或者了解他們授予的訪問級別。
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。