Back to Blog

MetaSleuth를 사용하여 피싱 공격을 분석하는 방법

MetaSleuth
December 13, 2023
4 min read

이 블로그에서는 MetaSleuth (@MetaSleuth)를 사용하여 피싱 공격을 분석하는 방법을 소개합니다.

관련 주소

더 나은 설명을 위해 관련 주소와 해당 약어를 아래에 표시합니다.

  • 0x46fbe491614e1ab6623e505e5e031ebf321cb522 (0x46fb…b522) - 가능한 익명 거래소 (KYC 요건이 없는 거래소)
  • 0xc40a8a6763969e88c8bf58a6e7a5adc61b8ebe11 (0xc40a…be11) - 공격자 제어 주소
  • 0xc75368c5054d883a1923fc2d07cd2033e05a524b (0xc753…524b) - 공격자 제어 주소
  • 0xcc2015d66d95a3f58d8ab0c8d8bcb968212f9ebe (0xcc20…9ebe) - 가능한 익명 거래소

피싱은 어떻게 작동하나요?

피싱 웹사이트는 https://leverj-cake.com입니다. 이것은 단순한 승인 피싱입니다.

이 사이트는 사용자에게 EOA 주소 0xc40a8a6763969e88c8bf58a6e7a5adc61b8ebe11로 USDT를 승인하도록 요청합니다.

지능형 분석

이후 MetaSleuth의 지능형 분석 기능을 사용하여 0xc40a…be11에 대한 분석을 수행합니다.

https://metasleuth.io/result/eth/0xc40a8a6763969e88c8bf58a6e7a5adc61b8ebe11

맵이 이상해 보입니다! 피싱 주소 0xc40a…be11은 0x46fb…b522로부터의 입금 전송이 하나뿐입니다. 출금 트랜잭션은 없습니다.

이후 Etherscan에서 트랜잭션을 조회합니다. 이 수치는 실제 트랜잭션과 일치합니다.

  • 첫째, 피싱 주소 0xc40a…be11은 피해자 주소의 승인 권한을 부여받았기 때문에, 피해자의 주소에서 자기 자신이 아닌 다른 주소 0xc753…524b로 USDT를 전송합니다. 따라서 피싱 주소로 들어오거나 나가는 토큰 전송은 없습니다.

  • 둘째, 0x46fb…b522로부터 들어오는 이더는 피해자의 USDT를 전송하기 위한 가스비입니다.

새 주소 추가

이후 이 주소(0xc753…524b)를 맵에 추가하고 분석 버튼을 클릭하여 이 주소에 대한 분석을 수행합니다. 맵이 복잡해집니다. 그림에서 주소를 찾을 수 없는 경우, 검색 버튼을 사용하여 주소를 검색할 수 있습니다. 찾은 주소는 강조 표시됩니다.

주소 필터링

노드가 너무 많기 때문에 맵을 필터링할 수 있습니다. 피해자에 해당하는 피싱 주소로부터의 대부분의 입금 트랜잭션을 제거할 수 있습니다. 하지만 0x46fb…b522 및 0xc40a…be11과 관련된 두 개의 입금 트랜잭션은 남겨둡니다.

질문 1: 0x46fb…b522는 공격자가 제어하는 주소인가요?

0x46fb…b522가 일부 익명 거래소일 수 있다고 의심합니다. 이는 이 노드의 많은 입출금 트랜잭션을 확인할 수 있으며, 그 중 일부는 CEX 거래소에서 온 것이기 때문입니다.

이 주소 0x46fb…b522가 익명 거래소라면, 0xc40a…be11로의 가스비는 실제 신원을 숨기기 위해 익명 거래소에서 보낸 것입니다. 이 주소에 사용자 지정 레이블을 추가할 수 있습니다.

질문 2: 0xcc20…9ebe는 공격자가 제어하는 주소인가요?

공격자 0xc753…524b가 대부분의 수익을 0xcc20…9ebe로 전송한다는 것을 발견했습니다. 맵에서는 동일 방향의 동일 토큰 전송을 하나의 엣지로 병합합니다. 엣지에 표시된 날짜는 첫 번째 토큰 전송 날짜입니다. 엣지를 클릭하면 0xc753…524b와 0xcc20…9ebe 간의 상세 트랜잭션 정보를 확인할 수 있습니다.

더 보기 클릭:

최신 트랜잭션은 2023년 1월 12일에 13,000 USDT로 이루어졌습니다.

또한 0xcc20…9ebe가 83개의 상호작용 주소를 가지고 있으며, 그 대부분이 CEX 주소임을 발견했습니다. 0xcc20…9ebe는 공격자가 제어하는 주소가 아닌 익명 거래소 주소일 가능성이 매우 높습니다.

질문 3: 피해자에 대한 추가 정보를 얻는 방법

이제 0xc753…524b를 클릭하고 From을 사용하여 모든 입금 트랜잭션을 찾아 맵에 더 많은 피해자를 추가할 수 있습니다.

흥미롭게도, 0xc753…524b가 익명 거래소 주소 0x46fb…b522로부터 0.15 이더도 수신한다는 것을 발견했습니다. 이것은 수익을 전송하기 위한 가스비로 사용된다고 판단됩니다.

요약

이 분석을 통해 다음과 같은 결론을 내릴 수 있습니다:

  • 공격자는 피싱 주소 0xc40a…be11을 사용하여 사용자가 승인 권한을 부여하도록 유도합니다

  • 피싱 주소 0xc40a…be11은 피해자의 USDT를 0xc753…524b로 전송합니다

  • 공격자는 주기적으로 수익을 익명 거래소 주소 0xcc20…9ebe로 전송합니다

MetaSleuth는 주소 간 트랜잭션을 분석하는 빠른 방법을 제공합니다. 주소 검색, 사용자 지정 레이블, 지능형 분석을 사용하여 주소 간의 관계를 완전히 이해할 수 있습니다.

앞으로 더 많은 분석 예시를 제공할 예정입니다. 기대해 주세요.

MetaSleuth 소개

MetaSleuth는 BlockSec이 개발한 종합 플랫폼으로, 사용자가 모든 암호화폐 활동을 효과적으로 추적하고 조사할 수 있도록 지원합니다. MetaSleuth를 통해 사용자는 자금을 쉽게 추적하고, 자금 흐름을 시각화하며, 실시간 자금 이동을 모니터링하고, 중요한 정보를 저장하며, 다른 사람들과 발견 사항을 공유하여 협업할 수 있습니다. 현재 비트코인(BTC), 이더리움(ETH), 트론(TRX), 폴리곤(MATIC) 등 13개의 다양한 블록체인을 지원합니다.

Website: https://metasleuth.io/

Twitter: @MetaSleuth

Telegram: https://t.me/MetaSleuthTeam

Go Deeper with MetaSleuth Investigation

Extend your crypto compliance capabilities with Blocksec's MetaSleuth Investigation, the first platform for tracing funds, mapping transaction networks and revealing hidden on-chain relationships.

Move from detection to resolution faster with clear visual insights and evidence-ready workflows across the digital assets ecosystem.

MetaSleuth Investigation