Back to Blog

Wie man MetaSleuth zur Analyse eines Phishing-Angriffs verwendet

MetaSleuth
December 13, 2023

Dieser Blogbeitrag zeigt, wie man MetaSleuth (@MetaSleuth) zur Analyse eines Phishing-Angriffs verwendet.

Beteiligte Adressen

Zur besseren Veranschaulichung zeigen wir im Folgenden die beteiligten Adressen und ihre Abkürzungen.

  • 0x46fbe491614e1ab6623e505e5e031ebf321cb522 (0x46fb…b522) - Möglicher anonymer Austausch (Austausch ohne KYC-Anforderung)
  • 0xc40a8a6763969e88c8bf58a6e7a5adc61b8ebe11 (0xc40a…be11) - Vom Angreifer kontrollierte Adresse
  • 0xc75368c5054d883a1923fc2d07cd2033e05a524b (0xc753…524b) - Vom Angreifer kontrollierte Adresse
  • 0xcc2015d66d95a3f58d8ab0c8d8bcb968212f9ebe (0xcc20…9ebe) - Möglicher anonymer Austausch

Wie funktioniert das Phishing?

Die Phishing-Website ist https://leverj-cake.com. Es handelt sich um ein einfaches Approval-Phishing.

Sie fordert den Benutzer auf, USDT an die EOA-Adresse 0xc40a8a6763969e88c8bf58a6e7a5adc61b8ebe11 zu genehmigen.

Intelligente Analyse

Anschließend nutzen wir die intelligente Analysefunktion von MetaSleuth, um eine Analyse der Adresse 0xc40a…be11 durchzuführen.

https://metasleuth.io/result/eth/0xc40a8a6763969e88c8bf58a6e7a5adc61b8ebe11

Die Karte sieht seltsam aus! Die Phishing-Adresse 0xc40a…be11 hat nur eine eingehende Überweisung von 0x46fb…b522. Sie hat keine ausgehenden Transaktionen.

Anschließend suchen wir die Transaktionen auf Etherscan. Diese Abbildung stimmt mit den tatsächlichen Transaktionen überein.

  • Erstens, da die Phishing-Adresse 0xc40a…be11 die Genehmigungsberechtigung von den Adressen der Opfer erhalten hat, wird sie USDT von den Adressen der Opfer an eine andere Adresse 0xc753…524b übertragen, nicht an sich selbst. Daher gibt es keine Token-Überweisungen, die von der Phishing-Adresse ausgehen oder dort eingehen.

  • Zweitens stammt die eingehende Ether von 0x46fb…b522 für die Gasgebühr zur Übertragung des USDT der Opfer.

Neue Adresse hinzufügen

Anschließend fügen wir diese Adresse (0xc753…524b) zur Karte hinzu und klicken auf die Schaltfläche "Analysieren", um die Analyse für diese Adresse durchzuführen. Die Karte wird komplex. Wenn wir eine Adresse auf der Abbildung nicht finden können, können wir die Schaltfläche "Suchen" verwenden, um nach einer Adresse zu suchen. Die gefundene Adresse wird hervorgehoben.

Adressen filtern

Wir können die Karte filtern, da es zu viele Knoten gibt. Wir können die meisten eingehenden Transaktionen von der Phishing-Adresse entfernen, da es sich um Opfer handelt. Wir lassen jedoch zwei eingehende Transaktionen übrig, da sie mit 0x46fb…b522 und 0xc40a…be11 zusammenhängen.

Frage 1: Wird 0x46fb…b522 vom Angreifer kontrolliert?

Wir vermuten, dass 0x46fb…b522 eine Art anonymer Austausch sein könnte. Das liegt daran, dass wir viele eingehende/ausgehende Transaktionen dieses Knotens sehen können, von denen einige von CEX-Börsen stammen.

Wenn diese Adresse 0x46fb…b522 der anonyme Austausch ist, dann stammen die Gasgebühren an 0xc40a…be11 von einem anonymen Austausch, um seine wahre Identität zu verbergen. Wir können dieser Adresse ein benutzerdefiniertes Label hinzufügen.

Frage 2: Ist 0xcc20…9ebe die vom Angreifer kontrollierte Adresse?

Wir fanden heraus, dass der Angreifer 0xc753…524b die meisten Gewinne in 0xcc20…9ebe transferiert. Beachten Sie, dass wir in der Karte alle gleichartigen Token-Transfers in die gleiche Richtung zu einer einzigen Kante zusammenfassen. Und das auf der Kante angezeigte Datum ist das Datum der ersten Token-Überweisung. Wir können auf die Kante klicken, um detaillierte Transaktionsinformationen zwischen 0xc753…524b und 0xcc20…9ebe anzuzeigen.

Mehr klicken:

Die letzte Transaktion fand am 12. Januar 2023 statt und belief sich auf 13.000 USDT.

Wir fanden auch heraus, dass 0xcc20…9ebe 83 interagierende Adressen hat, von denen die meisten CEX-Adressen sind. Wir vermuten stark, dass 0xcc20…9ebe eine Adresse eines anonymen Austauschs ist und nicht die vom Angreifer kontrollierte.

Frage 3: Wie erhält man mehr Informationen über die Opfer?

Nun können wir weitere Opfer auf der Karte hinzufügen, indem wir auf 0xc753…524b klicken und "Von" verwenden, um alle eingehenden Transaktionen zu lokalisieren.

Interessanterweise stellten wir fest, dass 0xc753…524b auch 0,15 Ether von der anonymen Börsenadresse 0x46fb…b522 erhält. Wir glauben, dass dies für die Gasgebühr zur Übertragung der Gewinne gedacht ist.

Zusammenfassung

Aus dieser Analyse können wir Folgendes schließen:

  • Der Angreifer verwendet eine Phishing-Adresse 0xc40a…be11, um Benutzer dazu zu verleiten, ihr die Genehmigungsberechtigung zu erteilen.

  • Die Phishing-Adresse 0xc40a…be11 überträgt die USDT des Opfers an 0xc753…524b.

  • Der Angreifer überweist periodisch Gewinne an eine anonyme Börsenadresse 0xcc20…9ebe.

MetaSleuth bietet eine schnelle Möglichkeit, Transaktionen zwischen Adressen zu analysieren. Wir können Adresssuche, benutzerdefinierte Labels und intelligente Analyse nutzen, um ein vollständiges Verständnis der Beziehung zwischen Adressen zu erhalten.

Wir werden in Zukunft weitere Analysebeispiele bereitstellen. Bleiben Sie dran.

Über MetaSleuth

MetaSleuth ist eine umfassende Plattform, die von BlockSec entwickelt wurde, um Benutzern bei der effektiven Verfolgung und Untersuchung aller Kryptoaktivitäten zu helfen. Mit MetaSleuth können Benutzer ganz einfach Gelder verfolgen, Geldflüsse visualisieren, Echtzeit-Geldflüsse überwachen, wichtige Informationen speichern und durch die gemeinsame Nutzung ihrer Ergebnisse mit anderen zusammenarbeiten. Derzeit unterstützen wir 13 verschiedene Blockchains, darunter Bitcoin (BTC), Ethereum (ETH), Tron (TRX), Polygon (MATIC) und mehr.

Website: https://metasleuth.io/

Twitter: @MetaSleuth

Telegram: https://t.me/MetaSleuthTeam

Sign up for the latest updates
Drift Protocol Incident: Multisig Governance Compromise via Durable Nonce Exploitation
Security Insights

Drift Protocol Incident: Multisig Governance Compromise via Durable Nonce Exploitation

On April 1, 2026 (UTC), Drift Protocol on Solana suffered a $285.3M loss after an attacker exploited Solana's durable nonce mechanism to delay the execution of phished multisig approvals, ultimately transferring administrative control of the protocol's 2-of-5 Squads governance with zero timelock. With full admin privileges, the attacker created a malicious collateral market (CVT), inflated its oracle price, relaxed withdrawal protections, and drained USDC, JLP, SOL, cbBTC, and other assets through 31 rapid withdrawals in approximately 12 minutes. This incident highlights how durable nonce-based delayed execution can decouple signer intent from on-chain execution, bypassing the temporal assumptions that multisig security implicitly relies on.

Weekly Web3 Security Incident Roundup | Mar 23 – Mar 29, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Mar 23 – Mar 29, 2026

This BlockSec weekly security report covers eight DeFi attack incidents detected between March 23 and March 29, 2026, across Ethereum and BNB Chain, with total estimated losses of approximately $1.53M. Incidents include a $679K flawed burn mechanism exploit on the BCE token, a $512K spot-price manipulation attack on Cyrus Finance's PancakeSwap V3 liquidity withdrawal, a $133.5K flash-loan-driven referral reward manipulation on a TUR staking contract, and multiple integer overflow, reentrancy, and accounting error vulnerabilities in DeFi protocols. The report provides detailed vulnerability analysis and attack transaction breakdowns for each incident.

Newsletter - March 2026
Security Insights

Newsletter - March 2026

In March 2026, the DeFi ecosystem experienced three major security incidents. Resolv Protocol lost ~$80M due to compromised privileged infrastructure keys, BitcoinReserveOffering suffered ~$2.7M from a double-minting logic flaw, and Venus Protocol incurred ~$2.15M following a donation attack combined with market manipulation.

Go Deeper with MetaSleuth Investigation

Extend your crypto compliance capabilities with Blocksec's MetaSleuth Investigation, the first platform for tracing funds, mapping transaction networks and revealing hidden on-chain relationships.

Move from detection to resolution faster with clear visual insights and evidence-ready workflows across the digital assets ecosystem.

MetaSleuth Investigation