Este blog mostrará como usar o MetaSleuth (@MetaSleuth) para analisar um ataque de phishing.
Endereços Envolvidos
Para melhor ilustração, mostramos os endereços envolvidos e suas abreviações a seguir.
- 0x46fbe491614e1ab6623e505e5e031ebf321cb522 (0x46fb…b522) - Possível exchange anônima (exchange sem requisito de KYC)
- 0xc40a8a6763969e88c8bf58a6e7a5adc61b8ebe11 (0xc40a…be11) - Endereço controlado pelo atacante
- 0xc75368c5054d883a1923fc2d07cd2033e05a524b (0xc753…524b) - Endereço controlado pelo atacante
- 0xcc2015d66d95a3f58d8ab0c8d8bcb968212f9ebe (0xcc20…9ebe) - Possível exchange anônima
Como Funciona o Phishing?
O site de phishing é https://leverj-cake.com. É um phishing de aprovação simples.

Ele solicita que o usuário aprove USDT para um endereço EOA 0xc40a8a6763969e88c8bf58a6e7a5adc61b8ebe11.
Análise Inteligente
Em seguida, usamos o recurso de análise inteligente do MetaSleuth para realizar uma análise em 0xc40a…be11.
https://metasleuth.io/result/eth/0xc40a8a6763969e88c8bf58a6e7a5adc61b8ebe11

O mapa parece estranho! O endereço de phishing 0xc40a…be11 tem apenas uma transferência de entrada proveniente de 0x46fb…b522. Ele não possui transações de saída.
Em seguida, consultamos as transações no Etherscan. Essa figura é consistente com as transações reais.
-
Primeiro, como o endereço de phishing 0xc40a…be11 recebe a permissão de aprovação dos endereços das vítimas, ele transferirá USDT dos endereços das vítimas para outro endereço 0xc753…524b, e não para si mesmo. Portanto, não há transferências de tokens de entrada ou saída para o endereço de phishing.
-
Segundo, o Ether recebido de 0x46fb…b522 é destinado à taxa de gas para transferir o USDT das vítimas.
Adicionar novo endereço
Em seguida, adicionamos este endereço (0xc753…524b) ao mapa e clicamos no botão Analisar para realizar a análise neste endereço. O mapa se torna complicado. Se não conseguirmos encontrar um endereço na figura, podemos usar o botão Pesquisar para procurar um endereço. O endereço encontrado será destacado.

Filtrar Endereços
Podemos filtrar o mapa, pois há muitos nós. Podemos remover a maioria das transações de entrada do endereço de phishing, pois são vítimas. Mas ainda mantemos duas transações de entrada porque estão relacionadas a 0x46fb…b522 e 0xc40a…be11.
Pergunta 1: O endereço 0x46fb…b522 é controlado pelo atacante?
Suspeitamos que 0x46fb…b522 possa ser alguma exchange anônima. Isso porque podemos ver muitas transações de entrada/saída neste nó, algumas das quais são de exchanges CEX.

Se este endereço 0x46fb…b522 for a exchange anônima, então a taxa de gas para 0xc40a…be11 é proveniente de uma exchange anônima para ocultar sua identidade real. Podemos adicionar um rótulo personalizado para este endereço.
Pergunta 2: O endereço 0xcc20…9ebe é controlado pelo atacante?
Descobrimos que o atacante 0xc753…524b transfere a maior parte dos lucros para 0xcc20…9ebe. Observe que, no mapa, mesclamos todas as transferências de tokens iguais na mesma direção em uma única aresta. E a data exibida na aresta é a data da primeira transferência de token. Podemos clicar na aresta para exibir informações detalhadas sobre as transações entre 0xc753…524b e 0xcc20…9ebe.

Clique em mais:

A transação mais recente foi em 12 de janeiro de 2023, com 13.000 USDT.
Também descobrimos que o endereço 0xcc20…9ebe possui 83 endereços com os quais interagiu, a maioria dos quais são endereços de CEX. Suspeitamos fortemente que 0xcc20…9ebe seja um endereço de exchange anônima, e não um controlado pelo atacante.

Pergunta 3: Como obter mais informações sobre as vítimas
Agora podemos adicionar mais vítimas ao mapa clicando em 0xc753…524b e usando De para localizar todas as transações de entrada.

Curiosamente, descobrimos que 0xc753…524b também recebe 0,15 Ether do endereço da exchange anônima 0x46fb…b522. Acreditamos que seja para a taxa de gas para transferir os lucros.

Resumo
A partir desta análise, podemos concluir que:
-
O atacante usa um endereço de phishing 0xc40a…be11 para induzir os usuários a concederem a permissão de aprovação a ele
-
O endereço de phishing 0xc40a…be11 transferirá o USDT das vítimas para 0xc753…524b
-
O atacante transfere periodicamente os lucros para um endereço de exchange anônima 0xcc20…9ebe
O MetaSleuth fornece uma maneira rápida de analisar transações entre endereços. Podemos usar a pesquisa de endereços, rótulos personalizados e análise inteligente para obter uma compreensão completa do relacionamento entre os endereços.
Forneceremos mais exemplos de análise no futuro. Fique atento.
Sobre o MetaSleuth
O MetaSleuth é uma plataforma abrangente desenvolvida pela BlockSec para ajudar os usuários a rastrear e investigar efetivamente todas as atividades de criptomoedas. Com o MetaSleuth, os usuários podem facilmente rastrear fundos, visualizar fluxos de fundos, monitorar movimentações de fundos em tempo real, salvar informações importantes e colaborar compartilhando suas descobertas com outras pessoas. Atualmente, oferecemos suporte a 13 blockchains diferentes, incluindo Bitcoin (BTC), Ethereum (ETH), Tron (TRX), Polygon (MATIC) e mais.
Website: https://metasleuth.io/
Twitter: @MetaSleuth
Telegram: https://t.me/MetaSleuthTeam



