Back to Blog

Как использовать MetaSleuth для анализа фишинговой атаки

MetaSleuth
December 13, 2023
4 min read

В этом блоге будет показано, как использовать MetaSleuth (@MetaSleuth) для анализа фишинговой атаки.

Задействованные адреса

Для лучшей наглядности ниже представлены задействованные адреса и их сокращения.

  • 0x46fbe491614e1ab6623e505e5e031ebf321cb522 (0x46fb…b522) - Потенциально анонимная биржа (биржа без требований KYC)
  • 0xc40a8a6763969e88c8bf58a6e7a5adc61b8ebe11 (0xc40a…be11) - адрес, контролируемый атакующим
  • 0xc75368c5054d883a1923fc2d07cd2033e05a524b (0xc753…524b) - адрес, контролируемый атакующим
  • 0xcc2015d66d95a3f58d8ab0c8d8bcb968212f9ebe (0xcc20…9ebe) - Потенциально анонимная биржа

Как работает фишинг?

Фишинговый сайт — https://leverj-cake.com. Это простой фишинг через запрос подтверждения (approval phishing).

Сайт запрашивает у пользователя разрешение на списание USDT в пользу EOA-адреса 0xc40a8a6763969e88c8bf58a6e7a5adc61b8ebe11.

Интеллектуальный анализ

Затем мы используем функцию интеллектуального анализа MetaSleuth для исследования адреса 0xc40a…be11.

https://metasleuth.io/result/eth/0xc40a8a6763969e88c8bf58a6e7a5adc61b8ebe11

Карта выглядит странно! У фишингового адреса 0xc40a…be11 есть только один входящий перевод с адреса 0x46fb…b522. Исходящих транзакций нет.

Далее мы проверяем транзакции через Etherscan. Эти данные совпадают с фактическими транзакциями.

  • Во-первых, поскольку фишинговому адресу 0xc40a…be11 предоставлено разрешение на списание средств пользователей, он переводит USDT с адресов жертв на другой адрес, 0xc753…524b, а не на свой собственный. Поэтому нет прямых входящих или исходящих переводов токенов на этот фишинговый адрес.

  • Во-вторых, входящий эфир (Ether) с адреса 0x46fb…b522 предназначается для оплаты газа при переводе USDT жертв.

Добавление нового адреса

Затем мы добавляем этот адрес (0xc753…524b) на карту и нажимаем кнопку Analyze (Анализ), чтобы провести исследование. Карта становится сложной. Если мы не можем найти адрес на схеме, мы можем использовать кнопку Search (Поиск). Найденный адрес будет подсвечен.

Фильтрация адресов

Мы можем отфильтровать карту, так как на ней слишком много узлов. Можно удалить большинство входящих транзакций на фишинговый адрес, так как это кошельки жертв. Однако мы оставляем два входящих перевода, так как они связаны с 0x46fb…b522 и 0xc40a…be11.

Вопрос 1: Контролируется ли адрес 0x46fb…b522 атакующим?

Мы подозреваем, что 0x46fb…b522 может быть анонимной биржей. Это объясняется тем, что мы видим множество входящих и исходящих транзакций у этого узла, некоторые из которых поступают с централизованных бирж (CEX).

Если адрес 0x46fb…b522 является анонимной биржей, то средства на оплату газа для 0xc40a…be11 поступают оттуда, чтобы скрыть реальную личность атакующего. Мы можем добавить пользовательскую метку (custom label) для этого адреса.

Вопрос 2: Является ли адрес 0xcc20…9ebe контролируемым атакующим?

Мы обнаружили, что атакующий с адреса 0xc753…524b переводит большую часть прибыли на 0xcc20…9ebe. Обратите внимание, что на карте мы объединяем все переводы одинаковых токенов в одном направлении в одно ребро. Дата, указанная на ребре, — это дата первого перевода токенов. Мы можем кликнуть на ребро, чтобы увидеть детальную информацию о транзакциях между 0xc753…524b и 0xcc20…9ebe.

Нажав «подробнее» (more):

Последняя транзакция была 12 января 2023 года на сумму 13 000 USDT.

Мы также обнаружили, что с адресом 0xcc20…9ebe взаимодействовали 83 других адреса, большинство из которых являются адресами централизованных бирж. Мы крайне подозреваем, что 0xcc20…9ebe — это адрес анонимной биржи, а не кошелек атакующего.

Вопрос 3: Как получить больше информации о жертвах

Теперь мы можем добавить больше жертв на карту, выбрав 0xc753…524b и используя функцию From, чтобы найти все связанные входящие транзакции.

Интересно, что мы обнаружили, что 0xc753…524b также получает 0.15 ETH от адреса анонимной биржи 0x46fb…b522. Мы полагаем, что это средства для оплаты газа при выводе полученной прибыли.

Итог

На основе проведенного анализа можно сделать следующие выводы:

  • Атакующий использует фишинговый адрес 0xc40a…be11, чтобы побудить пользователей предоставить ему разрешение на списание средств.

  • Фишинговый адрес 0xc40a…be11 переводит USDT жертв на адрес 0xc753…524b.

  • Атакующий периодически переводит прибыль на адрес анонимной биржи 0xcc20…9ebe.

MetaSleuth предоставляет быстрый способ анализа транзакций между адресами. Мы можем использовать поиск по адресу, пользовательские метки и интеллектуальный анализ, чтобы получить полное представление о взаимосвязях между адресами.

В будущем мы представим больше примеров анализа. Следите за обновлениями.

О проекте MetaSleuth

MetaSleuth — это комплексная платформа, разработанная компанией BlockSec для помощи пользователям в эффективном отслеживании и расследовании любой криптоактивности. С помощью MetaSleuth пользователи могут легко отслеживать средства, визуализировать потоки транзакций, контролировать движение финансов в режиме реального времени, сохранять важную информацию и сотрудничать, делясь своими результатами с другими. В настоящее время мы поддерживаем 13 различных блокчейнов, включая Bitcoin (BTC), Ethereum (ETH), Tron (TRX), Polygon (MATIC) и другие.

Веб-сайт: https://metasleuth.io/

Twitter: @MetaSleuth

Telegram: https://t.me/MetaSleuthTeam

Sign up for the latest updates
Инструменты криптокомплаенса: практическое руководство по интеграции Web3 и TradFi

Инструменты криптокомплаенса: практическое руководство по интеграции Web3 и TradFi

В 2024 году регуляторы наложили штрафы на сумму $4,2 млрд. Для Web3 и TradFi выбор правильного стека комплаенса стал обязательным условием выживания.

Отчет FATF о стейблкоинах: переход к соблюдению комплаенса на вторичном рынке
Knowledge

Отчет FATF о стейблкоинах: переход к соблюдению комплаенса на вторичном рынке

BlockSec анализирует отчет FATF о стейблкоинах и некастодиальных кошельках, объясняя фокус на P2P-торговле. Разбор рекомендаций и методов ончейн-мониторинга для усиления комплаенса эмитентов и VASP.

Отчет о преступлениях в сфере криптовалют за 2025 год: ключевые тренды и ончейн-данные
Security Insights

Отчет о преступлениях в сфере криптовалют за 2025 год: ключевые тренды и ончейн-данные

Этот 67-страничный отчет, основанный на анализе данных и блокчейн-доказательствах, раскрывает картину криптопреступности 2025 года, включая основные кейсы, структуру, особенности и актуальные тренды этой сферы.

Go Deeper with MetaSleuth Investigation

Extend your crypto compliance capabilities with Blocksec's MetaSleuth Investigation, the first platform for tracing funds, mapping transaction networks and revealing hidden on-chain relationships.

Move from detection to resolution faster with clear visual insights and evidence-ready workflows across the digital assets ecosystem.

MetaSleuth Investigation