區塊鏈大盜四個月內盜竊總價高達七千萬，Monkey Drainer零元詐騙手法深入剖析

更新於 2024/12/22發佈於 2022/12/23閱讀時間約 5 分鐘

誰是Monkey Drainer

Monkey Drainer在十月底時被幣圈知名偵探ZachXBT highlight，當時提到此詐騙者偷取了超過三千萬台幣(一百萬美金)，筆者利用區塊鏈數據探勘追蹤此大盜行蹤，統計至十二月中總共盜取的數字高達七千萬台幣，究竟這位區塊鏈大盜是如何騙到如此大筆的金額，本文將帶大家一起深入研究此大盜的詐騙手法，與了解事件始末。

此詐騙者名為 monkey-drainer.eth 是由於在以太鏈名稱系統(ENS) 將自己的地址0x9FC8265F2b376084423A1A348a89Ecd894a9d106 與域名monkey-drainer.eth綁定，可在ENS查到細節。在以下章節，我們會再深入剖析這個地址

慣用手法 - 零元詐騙

Monkey Drainer騙取NFT的最常使用的方式是最近流行的零元詐騙，如果受害者簽署了這個區塊鏈下的交易(gasless transaction)，則詐騙者可以到NFT市場OpenSea將受害者的多個NFT打包轉走，下面是一個實際的零元詐騙交易，可以看到 Monkey Drainer(地址0x9fc82...d106) 是交易的買家，將受害者 0x02ade...bc50的NFT轉到詐騙同夥的地址 0xce7cb10938fd6d379cfaf26d75a0db0a9642159b，而此同夥(接收代幣者) 會負責處理這個贓物

通常一個詐騙者買家可能會搭配多個詐騙代幣接手者，而這個交易中的接手者地址就是0xce7cb....159b ，我們也可以在推特上找到一些關於這個地址的詐騙討論

犯罪事蹟

透過區塊鏈的資料探勘搜索相關的可疑零元購買事件，我們可以發現此種手法相當盛行，有多個地址都利用此種交易盜取NFT， Monkey Drainer總共發動了1295次，在排行榜上排名第一 (也可以在推特找到關於第二名 0x00000....4582跟第三名 0x10fe8...f1e7的詐騙討論)

下圖統計了Monkey Drainer發動的可疑的零元購買紀錄，其地址第一次發動此詐騙是在2022/08/11 ，最後一次則是在2022/10/27，期間平均每天會執行約16次零元詐騙，而近兩個月沒有再發動類似攻擊

下圖展示了Monkey Drainer用零元詐騙取得的前十名高價NFT，無聊猿BAYC共有三隻(#8096 #8973 #9982) ，變異猴MAYC 有四隻(#525 #4178 #6104 #12340)

在這一千多次的詐騙中共偷取了超過兩千個NFT，單純用目前地板價估算價值超過八百ETH

另外值得一提的是此詐騙不只會騙NFT，也可以奪取受害者的ERC20貨幣，下圖展示了其中一個 Monkey Drainer盜取封裝以太幣(weth)的交易，總計在141個交易盜取了42封裝以太幣

大盜怎麼失蹤了

上一個章節提到Monkey Drainer(地址0x9fc82...d106) 最後一次發動零元詐騙是在2022/10/27，他去哪裡了? 我們可以利用他常用負責接手NFT的詐騙地址來找到他的蹤跡，下圖顯示了 Monkey Drainer合作過的同夥地址共有96個

深入追查後我們發現，有至少9個曾經與Monkey Drainer合作的NFT詐騙同夥地址也與詐騙排行榜的第二名0x00000....4582有合作，下面的兩個交易是實際的案例

0x9fc82...d106 -> 0xb3be9....3a7a

0x00000....4582 -> 0xb3be9....3a7a

可推測第二名0x00000....4582跟其實跟 Monkey Drainer (地址0x9fc82...d106)是同個詐騙集團，且第二名0x00000....4582很巧地開始活動的第一天10/27就是 Monkey Drainer 原本地址0x9fc82...d106最後做零元詐騙的那一天，下圖藍色是 Monkey Drainer 原本地址，綠色是第二名0x00000....4582，可看出兩者幾乎是無縫接軌

兩者接手的日子10/26剛好是幣圈知名偵探ZachXBT 發文的時間，不知是不是在推特上受到矚目所以 Monkey Drainer 想換個地址避鋒頭，而這個新地址0x00000....4582 從十月底到十二月詐騙了兩千多個NFT，價值一千兩百以太幣，下圖列出了這個地址盜取的前十高價NFT以及個數