如何使用 MetaSleuth 分析网络钓鱼攻击

本博客详细介绍了使用 MetaSleuth 分析网络钓鱼攻击的过程。

如何使用 MetaSleuth 分析网络钓鱼攻击

本博客将展示如何使用 MetaSleuth (@MetaSleuth) 分析网络钓鱼攻击。

涉及的地址

为便于说明,我们在下文列出涉及的地址及其缩写。

  • 0x46fbe491614e1ab6623e505e5e031ebf321cb522 (0x46fb…b522) - 可能的匿名交易所 (无需 KYC 的交易所)
  • 0xc40a8a6763969e88c8bf58a6e7a5adc61b8ebe11 (0xc40a…be11) - 攻击者控制的地址
  • 0xc75368c5054d883a1923fc2d07cd2033e05a524b (0xc753…524b) - 攻击者控制的地址
  • 0xcc2015d66d95a3f58d8ab0c8d8bcb968212f9ebe (0xcc20…9ebe) - 可能的匿名交易所

网络钓鱼如何运作?

网络钓鱼网站是 https://leverj-cake.com。这是一个简单的授权钓鱼。

它要求用户授权 USDT 给 EOA 地址 0xc40a8a6763969e88c8bf58a6e7a5adc61b8ebe11。

智能分析

然后,我们使用 MetaSleuth 的智能分析功能对 0xc40a…be11 进行分析。

https://metasleuth.io/result/eth/0xc40a8a6763969e88c8bf58a6e7a5adc61b8ebe11

地图看起来很奇怪!钓鱼地址 0xc40a…be11 只有一个来自 0x46fb…b522 的入站转账。它没有任何出站交易。

然后我们查看 Etherscan 的交易。此图与实际交易一致。

  • 首先,由于钓鱼地址 0xc40a…be11 被授予了受害者地址的授权权限,它会将 USDT 从受害者地址转移到另一个地址 0xc753…524b,而不是它自己。因此,没有来自钓鱼地址或流出钓鱼地址的代币转账。

  • 其次,来自 0x46fb…b522 的以太币是用于支付转账受害者 USDT 的 Gas 费用。

添加新地址

然后,我们将此地址 (0xc753…524b) 添加到图中并单击“分析”按钮对该地址执行分析。图变得复杂。如果在图中找不到某个地址,我们可以使用“搜索”按钮来搜索该地址。找到的地址将被高亮显示。

过滤地址

由于节点太多,我们可以过滤地图。我们可以删除钓鱼地址的大部分入站交易,因为它们是受害者。但我们仍然保留两个入站交易,因为它们与 0x46fb…b522 和 0xc40a…be11 相关。

问题 1:0x46fb…b522 是否由攻击者控制?

我们怀疑 0x46fb…b522 可能是某个匿名交易所。这是因为我们可以看到该节点有许多入站/出站交易,其中一些来自 CEX 交易所。

如果此地址 0x46fb…b522 是匿名交易所,那么到 0xc40a…be11 的 Gas 费用就来自匿名交易所,以隐藏其真实身份。我们可以为该地址添加自定义标签。

问题 2:0xcc20…9ebe 是否是攻击者控制的地址?

我们发现攻击者 0xc753…524b 将大部分利润转移到 0xcc20…9ebe。请注意,在图中,我们将相同方向的相同代币转账合并为一条边。边上显示的时间是第一次代币转账日期。我们可以单击该边以显示 0xc753…524b 和 0xcc20…9ebe 之间的详细交易信息。

点击更多:

最新的交易发生在 2023 年 1 月 12 日,涉及 13,000 USDT。

我们还发现 0xcc20…9ebe 有 83 个交互地址,其中大部分是 CEX 地址。我们强烈怀疑 0xcc20…9ebe 是匿名交易所地址,而不是攻击者控制的地址。

问题 3:如何获取有关受害者的更多信息

现在,我们可以通过单击 0xc753…524b 并使用 From 来定位所有入站交易,从而在图中添加更多受害者。

有趣的是,我们发现 0xc753…524b 还从匿名交易所地址 0x46fb…b522 接收了 0.15 Ether。我们认为这是支付转出利润的 Gas 费用。

总结

从本次分析中,我们可以得出结论:

  • 攻击者使用钓鱼地址 0xc40a…be11 诱骗用户授予其授权权限。

  • 钓鱼地址 0xc40a…be11 将受害者的 USDT 转移到 0xc753…524b。

  • 攻击者定期将利润转移到一个匿名交易所地址 0xcc20…9ebe。

MetaSleuth 提供了一种快速分析地址之间交易的方法。我们可以使用地址搜索、自定义标签和智能分析来全面了解地址之间的关系。

未来我们将提供更多分析示例。敬请关注。

关于 MetaSleuth

MetaSleuth 是由 BlockSec 开发的一个综合平台,旨在帮助用户有效跟踪和调查所有加密活动。借助 MetaSleuth,用户可以轻松跟踪资金、可视化资金流、监控实时资金动向、保存重要信息,并通过与他人分享发现来协作。目前,我们支持 13 种不同的区块链,包括比特币 (BTC)、以太坊 (ETH)、波场 (TRX)、Polygon (MATIC) 等。

网站:https://metasleuth.io/

推特:@MetaSleuth

电报:https://t.me/MetaSleuthTeam

Sign up for the latest updates
Web3 Smart Contract & EVM Chain Audits | BlockSec

Web3 Smart Contract & EVM Chain Audits | BlockSec

BlockSec secures Web3 with attacker-driven audits, chain reviews, and zero-day detection - battle-tested, blocking 20+ hacks and $20M+ losses.

BlockSec Web3 Security: Smart Contract & EVM Chain Audits

BlockSec Web3 Security: Smart Contract & EVM Chain Audits

BlockSec delivers advanced smart contract audits and EVM chain audits, combining deep research with real attack insights to secure Web3 systems.

Agent-Native Crypto Compliance: Build KYA/KYT with X402

Agent-Native Crypto Compliance: Build KYA/KYT with X402

Discover how BlockSec enables AI agents to run KYA/KYT checks with X402—a stateless, pay-per-call crypto compliance protocol.