揭秘新型骗局:恶意修改 RPC 节点链接骗取资产

By: Lisa


背景


据合作伙伴 imToken 反馈,近期出现了一种新型的加密货币骗局。这种骗局一般以线下实物交易为主要场景,采用 USDT 作为付款方式,利用修改以太坊节点的 Remote Procedure Call(RPC) 进行欺诈活动。


作恶流程


慢雾安全团队对这类骗局展开分析,骗子的具体作恶流程如下:


首先,骗子会诱导目标用户下载正版的 imToken 钱包,并用 1 USDT 以及少量 ETH 为诱饵来取得用户的信任。然后,骗子会引导用户将其 ETH 的 RPC 网址重定向到骗子自己的节点(https://rpc.tenderly.co/fork/34ce4192-e929-4e48-a02b-d96180f9f748)。


这个节点实际上已被骗子用 Tenderly 的 Fork 功能修改过,用户的 USDT 余额被造假,使其看起来就像骗子已经将款项打入用户钱包一样。于是,用户看到余额就会误以为已经到账。但当用户试图转入矿工费以变现账户中的 USDT 时,便会意识到自己上当了。而这时,骗子早已消声匿迹。


揭秘新型骗局:恶意修改 RPC 节点链接骗取资产


实际上,除了余额显示可以被修改,Tenderly 的 Fork 功能甚至可以改合约信息,对用户构成更大威胁。


揭秘新型骗局:恶意修改 RPC 节点链接骗取资产

(https://docs.tenderly.co/forks)


这里就得提一个问题 —— RPC 是什么?为了与区块链交互,我们需要通过合适的通用选项访问网络服务器的方法,RPC 就是一种连接和交互的方式,使我们能够访问网络服务器并执行查看余额、创建交易或与智能合约交互等操作。通过嵌入 RPC 功能,用户能够执行请求并与区块链进行交互。例如,如果用户通过连接钱包(如 imToken)使用去中心化交易所,其实就是在通过 RPC 与区块链服务器进行通信。一般来说,所有类型的钱包默认都会连接到安全的节点,用户无需进行任何调整。但是,若轻易相信他人,将钱包链接到不信任的节点,可能会导致钱包中显示的余额和交易信息被恶意修改,进而带来财产损失。


MistTrack 分析


我们使用链上追踪工具 MistTrack 对其中一个已知的受害者钱包地址(0x9a7…Ce4) 进行分析,可以看到该受害者地址收到了地址(0x4df…54b) 转入的小额 1 USDT 和 0.002 ETH。


揭秘新型骗局:恶意修改 RPC 节点链接骗取资产


查看地址(0x4df…54b) 的资金情况,发现该地址分别转出 1 USDT 到 3 个地址,看来这个地址目前已行骗三次。


揭秘新型骗局:恶意修改 RPC 节点链接骗取资产


再往上追溯,地址与多个交易平台关联,同时与被 MistTrack 标记为“Pig Butchering Scammer”的地址有交互。


揭秘新型骗局:恶意修改 RPC 节点链接骗取资产


总结


此类骗局的狡猾之处在于利用了用户的心理弱点。用户往往只关注其钱包中是否有款项到账,而忽视了背后可能存在的风险。骗子正是利用这种信任和疏忽,通过一系列如转账小额资金等让人信以为真的操作,对用户进行欺诈。因此,慢雾安全团队建议广大用户在进行交易时,一定要保持警惕,提高自我保护意识,不要轻信他人,避免自身财产受损。


往期回顾

慢雾(SlowMist) 的专业追踪结果被「联合国安理会」引用

Web3 安全入门避坑指南|钱包分类及风险

Web3 的蜕变 —— 2024 香港 Web3 嘉年华完美谢幕!

AssangeDAO 资金转移引发疑问 —— 高调募捐背后潜在的 Rug Pull

每月动态 | Web3 安全事件总损失约 1.39 亿美元

揭秘新型骗局:恶意修改 RPC 节点链接骗取资产

慢雾导航


慢雾科技官网

https://www.slowmist.com/


慢雾区官网

https://slowmist.io/


慢雾 GitHub

https://github.com/slowmist


Telegram

https://t.me/slowmistteam


Twitter

https://twitter.com/@slowmist_team


Medium

https://medium.com/@slowmist


知识星球

https://t.zsxq.com/Q3zNvvF

原文始发于微信公众号(慢雾科技):揭秘新型骗局:恶意修改 RPC 节点链接骗取资产

版权声明:admin 发表于 2024年4月23日 下午3:39。
转载请注明:揭秘新型骗局:恶意修改 RPC 节点链接骗取资产 | CTF导航

相关文章