更新於 2022/12/23閱讀時間約 5 分鐘

區塊鏈大盜四個月內盜竊總價高達七千萬,Monkey Drainer零元詐騙手法深入剖析

誰是Monkey Drainer

Monkey Drainer在十月底時被幣圈知名偵探ZachXBT highlight,當時提到此詐騙者偷取了超過三千萬台幣(一百萬美金),筆者利用區塊鏈數據探勘追蹤此大盜行蹤,統計至十二月中總共盜取的數字高達七千萬台幣,究竟這位區塊鏈大盜是如何騙到如此大筆的金額,本文將帶大家一起深入研究此大盜的詐騙手法,與了解事件始末。
此詐騙者名為 monkey-drainer.eth 是由於在以太鏈名稱系統(ENS) 將自己的地址0x9FC8265F2b376084423A1A348a89Ecd894a9d106 與域名monkey-drainer.eth綁定,可在ENS查到細節。在以下章節,我們會再深入剖析這個地址

慣用手法 - 零元詐騙

Monkey Drainer騙取NFT的最常使用的方式是最近流行的零元詐騙,如果受害者簽署了這個區塊鏈下的交易(gasless transaction),則詐騙者可以到NFT市場OpenSea將受害者的多個NFT打包轉走,下面是一個實際的零元詐騙交易,可以看到 Monkey Drainer(地址0x9fc82...d106) 是交易的買家,將受害者 0x02ade...bc50的NFT轉到詐騙同夥的地址 0xce7cb10938fd6d379cfaf26d75a0db0a9642159b,而此同夥(接收代幣者) 會負責處理這個贓物
通常一個詐騙者買家可能會搭配多個詐騙代幣接手者,而這個交易中的接手者地址就是0xce7cb....159b ,我們也可以在推特上找到一些關於這個地址的詐騙討論

犯罪事蹟

透過區塊鏈的資料探勘搜索相關的可疑零元購買事件,我們可以發現此種手法相當盛行,有多個地址都利用此種交易盜取NFT, Monkey Drainer總共發動了1295次,在排行榜上排名第一 (也可以在推特找到關於第二名 0x00000....4582跟第三名 0x10fe8...f1e7的詐騙討論)
下圖統計了Monkey Drainer發動的可疑的零元購買紀錄,其地址第一次發動此詐騙是在2022/08/11 ,最後一次則是在2022/10/27,期間平均每天會執行約16次零元詐騙,而近兩個月沒有再發動類似攻擊
下圖展示了Monkey Drainer用零元詐騙取得的前十名高價NFT,無聊猿BAYC共有三隻(#8096 #8973 #9982) ,變異猴MAYC 有四隻(#525 #4178 #6104 #12340)
在這一千多次的詐騙中共偷取了超過兩千個NFT,單純用目前地板價估算價值超過八百ETH
另外值得一提的是此詐騙不只會騙NFT,也可以奪取受害者的ERC20貨幣,下圖展示了其中一個 Monkey Drainer盜取封裝以太幣(weth)的交易,總計在141個交易盜取了42封裝以太幣

大盜怎麼失蹤了

上一個章節提到Monkey Drainer(地址0x9fc82...d106) 最後一次發動零元詐騙是在2022/10/27,他去哪裡了? 我們可以利用他常用負責接手NFT的詐騙地址來找到他的蹤跡,下圖顯示了 Monkey Drainer合作過的同夥地址共有96個
深入追查後我們發現,有至少9個曾經與Monkey Drainer合作的NFT詐騙同夥地址也與詐騙排行榜的第二名0x00000....4582有合作,下面的兩個交易是實際的案例
可推測第二名0x00000....4582跟其實跟 Monkey Drainer (地址0x9fc82...d106)是同個詐騙集團,且第二名0x00000....4582很巧地開始活動的第一天10/27就是 Monkey Drainer 原本地址0x9fc82...d106最後做零元詐騙的那一天,下圖藍色是 Monkey Drainer 原本地址,綠色是第二名0x00000....4582,可看出兩者幾乎是無縫接軌
兩者接手的日子10/26剛好是幣圈知名偵探ZachXBT 發文的時間,不知是不是在推特上受到矚目所以 Monkey Drainer 想換個地址避鋒頭,而這個新地址0x00000....4582 從十月底到十二月詐騙了兩千多個NFT,價值一千兩百以太幣,下圖列出了這個地址盜取的前十高價NFT以及個數

總結

Monkey Drainer這四個月竊取了超過四千個NFT,以十二月中的地板價以及以太幣價格估算,約等於七千萬台幣(兩千以太幣),前後使用的帳號分別高居詐騙排行榜一二名,加上負責接手NFT的詐騙地址,相關的地址超過一百個,比起個人行動,更像是背後有一個集團在有計畫的進行這樣的詐騙活動。
NFT的玩家需要密切看管自己的錢包,不要輕易相信來途不明的網站,取消非必要的授權,且在做交易前必須看清楚你要簽署的交易,以免鏈上資產遭詐騙.
作者傑哥目前任職於趨勢科技區塊鏈安全研究小組,專注於區塊鏈詐騙分析、地址行為檢測。如果喜歡我的文章,或是想獲得更多區塊鏈詐騙事件懶人包,歡迎關注我的帳號
另外,我已經加入由趨勢科技防詐達人所成立的方格子專題-《區塊鏈生存守則》,在那裡我會跟其他優質的創作者一起帶大家深入瞭解區塊鏈,並隨時向大家更新區塊鏈資安事件
> 追蹤《區塊鏈生存守則》學習如何在區塊鏈的世界保護自己
> 關注防詐達人獲得其他最新詐騙情報
> 跟隨我的推特帳號來得知我的最新研究
分享至
成為作者繼續創作的動力吧!
從 Google News 追蹤更多 vocus 的最新精選內容從 Google News 追蹤更多 vocus 的最新精選內容

防詐達人的沙龍 的其他內容

你可能也想看

發表回應

成為會員 後即可發表留言
© 2024 vocus All rights reserved.