Back to Blog

Cómo usar MetaSleuth para analizar un ataque de phishing

MetaSleuth
December 13, 2023
4 min read

Este blog mostrará cómo usar MetaSleuth (@MetaSleuth) para analizar un ataque de phishing.

Direcciones Involucradas

Para una mejor ilustración, mostramos las direcciones involucradas y sus abreviaciones a continuación.

  • 0x46fbe491614e1ab6623e505e5e031ebf321cb522 (0x46fb…b522) - Posible intercambio anónimo (intercambio sin requisito de KYC)
  • 0xc40a8a6763969e88c8bf58a6e7a5adc61b8ebe11 (0xc40a…be11) - Dirección controlada por el atacante
  • 0xc75368c5054d883a1923fc2d07cd2033e05a524b (0xc753…524b) - Dirección controlada por el atacante
  • 0xcc2015d66d95a3f58d8ab0c8d8bcb968212f9ebe (0xcc20…9ebe) - Posible intercambio anónimo

¿Cómo Funciona el Phishing?

El sitio web de phishing es https://leverj-cake.com. Es un phishing de aprobación simple.

Le pide al usuario que apruebe USDT a una dirección EOA 0xc40a8a6763969e88c8bf58a6e7a5adc61b8ebe11.

Análisis Inteligente

Luego usamos la función de análisis inteligente de MetaSleuth para realizar un análisis sobre 0xc40a…be11.

https://metasleuth.io/result/eth/0xc40a8a6763969e88c8bf58a6e7a5adc61b8ebe11

¡El mapa parece extraño! La dirección de phishing 0xc40a…be11 solo tiene una transferencia entrante desde 0x46fb…b522. No tiene transacciones salientes.

Luego consultamos las transacciones en Etherscan. Esta figura es consistente con las transacciones reales.

  • Primero, dado que a la dirección de phishing 0xc40a…be11 se le otorgó el permiso de aprobación de las direcciones de las víctimas, transferirá USDT desde las direcciones de las víctimas a otra dirección 0xc753…524b, no a sí misma. Por lo tanto, no hay transferencias de tokens entrantes ni salientes hacia la dirección de phishing.

  • Segundo, el Ether entrante desde 0x46fb…b522 es para la tarifa de gas para transferir el USDT de las víctimas.

Agregar Nueva Dirección

Luego agregamos esta dirección (0xc753…524b) al mapa y hacemos clic en el botón Analizar para realizar el análisis sobre esta dirección. El mapa se vuelve complicado. Si no podemos encontrar una dirección en la figura, podemos usar el botón Buscar para buscar una dirección. La dirección encontrada se resaltará.

Filtrar Direcciones

Podemos filtrar el mapa ya que hay demasiados nodos. Podemos eliminar la mayoría de las transacciones entrantes desde la dirección de phishing ya que son víctimas. Pero dejamos dos transacciones entrantes porque están relacionadas con 0x46fb…b522 y 0xc40a…be11.

Pregunta 1: ¿0x46fb…b522 está controlada por el atacante?

Sospechamos que 0x46fb…b522 podría ser algún intercambio anónimo. Esto se debe a que podemos ver muchas transacciones entrantes/salientes de este nodo, algunas de las cuales provienen de intercambios CEX.

Si esta dirección 0x46fb…b522 es el intercambio anónimo, entonces la tarifa de gas hacia 0xc40a…be11 proviene de un intercambio anónimo para ocultar su identidad real. Podemos agregar una etiqueta personalizada para esta dirección.

Pregunta 2: ¿0xcc20…9ebe es la dirección controlada por el atacante?

Encontramos que el atacante 0xc753…524b transfiere la mayoría de las ganancias a 0xcc20…9ebe. Tenga en cuenta que, en el mapa, fusionamos todas las transferencias del mismo token en la misma dirección en un solo borde. Y la fecha que se muestra en el borde es la fecha de la primera transferencia de tokens. Podemos hacer clic en el borde para mostrar información detallada de las transacciones entre 0xc753…524b y 0xcc20…9ebe.

Haga clic en más:

La última transacción fue el 12 de enero de 2023, con 13,000 USDT.

También encontramos que 0xcc20…9ebe tiene 83 direcciones con las que ha interactuado, la mayoría de las cuales son direcciones CEX. Sospechamos altamente que 0xcc20…9ebe es una dirección de intercambio anónimo, no una controlada por el atacante.

Pregunta 3: Cómo obtener más información sobre las víctimas

Ahora podemos agregar más víctimas al mapa haciendo clic en 0xc753…524b y usando Desde para localizar todas las transacciones entrantes.

Curiosamente, encontramos que 0xc753…524b también recibe 0.15 Ether desde la dirección del intercambio anónimo 0x46fb…b522. Creemos que es para la tarifa de gas para transferir las ganancias.

Resumen

De este análisis, podemos concluir que:

  • El atacante usa una dirección de phishing 0xc40a…be11 para atraer a los usuarios a otorgarle el permiso de aprobación

  • La dirección de phishing 0xc40a…be11 transferirá el USDT de las víctimas a 0xc753…524b

  • El atacante transfiere periódicamente las ganancias a una dirección de intercambio anónimo 0xcc20…9ebe

MetaSleuth proporciona una forma rápida de analizar transacciones entre direcciones. Podemos usar la búsqueda de direcciones, etiquetas personalizadas y análisis inteligente para obtener una comprensión completa de la relación entre direcciones.

Proporcionaremos más ejemplos de análisis en el futuro. Estén atentos.

Acerca de MetaSleuth

MetaSleuth es una plataforma integral desarrollada por BlockSec para ayudar a los usuarios a rastrear e investigar eficazmente todas las actividades cripto. Con MetaSleuth, los usuarios pueden rastrear fondos fácilmente, visualizar flujos de fondos, monitorear movimientos de fondos en tiempo real, guardar información importante y colaborar compartiendo sus hallazgos con otros. Actualmente, admitimos 13 blockchains diferentes, incluyendo Bitcoin (BTC), Ethereum (ETH), Tron (TRX), Polygon (MATIC) y más.

Sitio web: https://metasleuth.io/

Twitter: @MetaSleuth

Telegram: https://t.me/MetaSleuthTeam

Go Deeper with MetaSleuth Investigation

Extend your crypto compliance capabilities with Blocksec's MetaSleuth Investigation, the first platform for tracing funds, mapping transaction networks and revealing hidden on-chain relationships.

Move from detection to resolution faster with clear visual insights and evidence-ready workflows across the digital assets ecosystem.

MetaSleuth Investigation