By: Liz, Slow Fog

Background

最近、詐欺師（CYBER RESCUE）が、Slow Fogの創設者であるCosのセキュリティアラートのツイートに対し、「盗まれた資金の回復/復元を助ける」という名目で被害者をフィッシングしています。詐欺師(CYBER RESCUE)は、スローフォグの創設者Cos.のセキュリティ・アラートのツイートに対し、「盗まれた資金の回復/復元を支援する」と称して被害者をフィッシングしている。これに対し、SlowFogのセキュリティ・チームは、詐欺師をリバース・フィッシングし、ユーザーが詐欺に引っかからないよう用心深くなることを願い、詐欺のプロセスを公開しました。

騙されるプロセス

私たちはフィッシングの被害者に連絡しました。私たちは被害者であるCYBER RESCUEに連絡を取りました。CYBER RESCUEは盗まれた資金の100％を取り戻すことができると主張しました。CYBER RESCUEはまず、いつ、どのウォレットで、なぜ資金が盗まれたのかを被害者に尋ね、USDT経由で取引を処理し、盗まれた資金をBNBスマートチェーンネットワーク下の被害者のウォレットにリダイレクトすることで、盗まれた資金の100％を取り戻すことができると述べています。被害者はMathWalletをダウンロードする必要があり、詐欺師は、ユーザー設定を転送し、被害者のウォレットに資金をリダイレクトするプロセスを通じて被害者を誘導すると説明している。

2. 詐欺師は次に、被害者にホームページの「カスタム資産を追加」をクリックするよう求め、ユーザーはUSDTコントラクトを入力するよう促された。0x55d398326f99059ff775485246999027b3197955 (コントラクトアドレスは正しい)、この時点でMathWalletは自動的にトークンの精度を18と認識する。

この時点で、詐欺師は次のように強調します：契約アドレスを貼り付ける際、小数を18から0に変更する。 被害者は、契約は正しいが精度が間違っているUSDTトークンを追加します。 小数とは何かについて説明します。トークンでは、Decimalsはトークンの割り切れる最小単位の数を表し、取引や計算におけるトークンの精度を決定します。Decimalsの値が高いほど、トークンの精度は高くなります。

被害者がそれに応じた後、詐欺師はこう言った。は、盗んだ資金を凍結して被害者の口座に返したいと言い、今度は被害者がMetaMaskウォレット（MetaMask wallet）を提供する必要があると言う。翻訳ソフトがMetaMaskウォレットをMetaMaskウォレットに翻訳するため、被害者は混乱し、詐欺師はあなたが MetaMaskウォレットを持っていないことにショックを受ける？

3.この時点で、詐欺師は盗まれた資金の「回収」を開始しました：

詐欺師は、私たちが提供した盗まれた取引について問い合わせ、お金の回収しかできないと言いました。

詐欺師は、私たちが提供した盗まれた取引を確認し、盗まれた資金のうち8万9589ドルしか回収できないと言い、その理由として、残りの資金はすでに外国為替市場に送金され、現地通貨に換金されているからだと言いました。

詐欺師はその後、被害者に自分のMathWalletアカウントのスクリーンショットを送るよう求め、オンラインを維持するよう念を押した。被害者はすでにお金を失っており、詐欺師がこの時点で促すことで、被害者はお金を取り戻すことに集中し、別の罠にはまろうとしていることに気づかなくなる。

詐欺師は被害者に、財布の管理で秘密鍵のエクスポートをクリックするよう求め、被害者に秘密鍵をコピーするよう誘導します。秘密鍵が必要だという詐欺師の説明は、アプリを接続して取引を被害者のウォレットにリダイレクトするためだ。もし詐欺師のこれまでの行動に不審を抱かなかったにもかかわらず、今度はあなたの秘密鍵を要求してきたら、逃げましょう！

被害者は詐欺師に秘密鍵を送る。ほどなくして、詐欺師は、操作の準備ができたので、財布を確認できると言った。被害者が自分のウォレットを確認したところ、USDTの金額は確かに89,589に変わっていました。

ブロックブラウザを確認すると、詐欺師が実際に0.000000000000089589 USDTを被害者に送金したことが判明しました。これは、被害者が詐欺師によってウォレットから被害者のウォレットにカスタマイズされたトークンを送金するよう誘導されたためです。

(https://bscscan.com/tx/0x00901c40073dc1ec64041a3aee689874406fdb1bf7b112a6c380ec3839d6a8e5)

詐欺師は秘密鍵を詐取し、次にどうやって利益を得るのか？彼は被害者に、他のアカウントに取引を実行するのに十分なBNB利用可能残高が必要で、それはBNBスマートチェーンネットワークの初期残高の10%であるべきだと言います。被害者がこれを信じ、要求通りに約8,968ドル相当のBNBをウォレットに送金すると、詐欺師はそれを盗む。

Block Browserを使って詐欺師のアドレス(0xe27126d1c17B42Eb42783655D339a782f779BABA)を調べたところ、アドレスは以下のようになっていました。他のアドレスへの頻繁な少額の転送は、この詐欺師がこの詐欺で活動を続けていることを示しています。

(https://bscscan.com/txs?a=0xe27126d1c17B42Eb42783655D339a782f779BABA&p=1)

MistTrack(https://misttrack.io/) でアドレスを照会すると、このアドレスの手数料の出所がBinanceであることがわかります。MistTrackは問題のアドレスをブラックアウトしており、今後も資金の変動を監視していきます。

MathWallet update

MathWallet はこの件に関するフィードバックを受け取るとすぐに、MistTrack の新バージョンを修正し、リリースしました。新しいバージョンでは、ユーザーが手動で精度を修正する機能を無効にしています。すでにMathWalletをインストールしているユーザーは、App StoreまたはGoogle Playからアップグレードしてください。

Summary

ブロックチェーンの暗い森には詐欺があふれており、この記事の詐欺師はオンチェーン追跡の専門家を装って窃盗の被害者をフィッシングすることさえありました。この記事に登場する詐欺師は、チェーン追跡の専門家を装って、盗まれた被害者をフィッシングしているほどで、その詐欺の手口は、被害者に秘密鍵を渡す方法を手取り足取り教えているとも言えます。Slow Mistセキュリティチームは、盗難を防ぐため、近づいてくる相手の身元にかかわらず、警戒を怠らず、秘密鍵を教えないようユーザーに呼びかけたい。不幸にも暗号通貨を盗まれてしまった場合、分類ガイドライン（資金が盗まれた/詐欺に遭った/身代金を要求された）に従ってフォームを送信していただくだけで、ケース評価のためのコミュニティ支援サービスを無料で提供いたします。同時に、提出されたハッカーのアドレスはInMist Threat Intelligence Partner Networkと同期され、リスク管理が行われます。(注：中国語のフォームは https://aml.slowmist.com/cn/recovery-funds.html に、英語のフォームは https://aml.slowmist.com/recovery-funds.html に送信されます）