Наше исследование было принято на SIGMETRICS 2025, ведущую конференцию по информатике, и мы опубликовали наш набор данных в открытом доступе по адресу https://github.com/blocksecteam/phishing_contract_sigmetrics25.
С момента появления децентрализованных финансов (DeFi) блокчейн-индустрия привлекла значительный капитал и инвестиции пользователей. Однако этот рост сопровождался всплеском фишинговых атак, приведших к существенным потерям среди пользователей. Чтобы избежать обнаружения, мошенники больше не полагаются исключительно на внешние аккаунты (EOA). Вместо этого они перешли к развертыванию смарт-контрактов. В этой статье мы представляем наше последнее исследование фишинговых контрактов и демонстрируем, как наша своевременная, всесторонняя и точная аналитика по фишингу помогает криптопроектам защищать средства пользователей, соблюдать требования регуляторов и укреплять общую безопасность блокчейна.
Эволюция фишинга: от EOA к вредоносным смарт-контрактам
Традиционно мошенники заманивали пользователей подписывать транзакции, которые отправляют ETH или токены напрямую на их EOA. Однако эта тактика стала легко распознаваемой: кошельки, такие как MetaMask и Coinbase, теперь предупреждают пользователей об отправке средств на известные вредоносные EOA. Это повышение осведомленности подтолкнуло злоумышленников к инновациям, что привело к распространению фишинговых контрактов.
В ответ на это мошенники теперь используют фишинговые контракты, чтобы имитировать поведение легитимных проектов и скрывать свои намерения. Вместо перевода активов непосредственно на EOA злоумышленника, жертв обманом заставляют подписывать транзакции, которые взаимодействуют с вредоносными контрактами, фактически передавая контроль над их токенами, даже не осознавая этого. Этот новый вектор представляет серьезную угрозу безопасности DeFi.
Эти фишинговые контракты часто содержат:
- Обманчивыеpayable-функции: Названные, например,
ClaimилиSecurityUpdate, эти функции заставляют пользователей отправлять ETH напрямую на контракт злоумышленника. - Функции Multicall: Предназначены для объединения нескольких переводов токенов в одну транзакцию — идеально подходят для вывода токенов ERC20 или NFT после того, как пользователь неосознанно дает разрешение. Это распространенная тактика в криптомошенничестве.
Исследование BlockSec: Обнаружение и анализ фишинговых контрактов
Данное исследование посвящено фишинговым контрактам в сети Ethereum. Чтобы обеспечить масштабное обнаружение фишинговых контрактов, мы разработали систему, которая извлекает подозрительные селекторы функций из байт-кода контрактов, имитирует транзакции и анализирует результаты. Используя этот подход, мы выявили 37 654 фишинговых контракта, развернутых в период с 29 декабря 2022 года по 1 января 2025 года. Этот обширный набор данных имеет решающее значение для понимания ландшафта угроз безопасности смарт-контрактов.
Финансовые последствия: Распределение потерь пользователей
Фишинговые контракты привели к значительным потерям пользователей. С 29 декабря 2022 года по 8 января 2025 года мы обнаружили 211 319 фишинговых транзакций, от которых пострадало 171 984 жертвы, при этом общие убытки достигли 190,7 млн долларов США. Примечательно, что 89,9% жертв потеряли менее 1000 долларов. Многие пользователи становились жертвами фишинговых схем несколько раз, часто из-за неотмененных разрешений на использование токенов или повторного подписания вредоносных транзакций. Среди них особенно уязвимы к подобному криптомошенничеству менее опытные Web3-пользователи.
Понимание злоумышленников: Распределение фишинговых контрактов и их создателей
Большинство фишинговых контрактов (86,5%) имеют как «пустые» payable-функции, так и функции multicall для воздействия на различные типы токенов. 70,9% из них принесли менее 1000 долларов, а 96,2% оставались активными менее одного дня. Мошенники быстро развертывают новые контракты, чтобы обойти механизмы маркировки аккаунтов, что подчеркивает необходимость анализа угроз в реальном времени.
Наше исследование также выявило важную информацию о самих злоумышленниках. Девять аккаунтов развернули 91,1% всех фишинговых контрактов. Мошенники часто используют токены, украденные у жертв, для финансирования развертывания новых фишинговых контрактов. Примечательно, что восемь из этих девяти основных создателей имеют связи в цепочках движения средств, что позволяет предположить, что они действуют как скоординированная фишинговая группа. В совокупности они развернули 85,7% всех фишинговых контрактов, что указывает на высокоорганизованную преступную деятельность, стоящую за многими из этих инцидентов в сфере блокчейн-безопасности.
Стратегии снижения рисков: Защита от фишинговых контрактов
Наша работа выявляет повсеместное распространение фишинговых контрактов в сети Ethereum и значительные убытки, которые они причинили пользователям. Поэтому мы предлагаем практические и эффективные стратегии для защиты пользователей от этих угроз и повышения общей безопасности блокчейна.
Что могут сделать пользователи, чтобы защитить себя
С точки зрения пользователя, бдительность является ключом к предотвращению криптомошенничества. При доступе к децентрализованному приложению и запросе услуг пользователи должны внимательно проверять веб-сайт, включая URL-адрес, главную страницу, подссылки, а также ссылки на Twitter и Discord. Перед подписанием транзакции пользователи должны тщательно изучить детали транзакции, включая параметры аккаунта и вызова функции. Кроме того, они могут проверить метку адреса на Etherscan, чтобы определить, является ли он официальным аккаунтом. Всегда относитесь с подозрением к нежелательным предложениям или запросам на одобрение операций.
Что могут сделать поставщики услуг: Использование расширенной аналитики угроз
Поставщики услуг — включая централизованные биржи (CEX), децентрализованные биржи (DEX), кошельки, платформы PayFi, эмитентов стейблкоинов и мосты — должны активно поддерживать и обновлять списки фишинговых веб-сайтов и аккаунтов, чтобы защитить пользователей от потенциальных угроз. Когда определенные аккаунты идентифицируются как развертывающие фишинговые контракты на своих платформах, эти поставщики должны ограничивать или запрещать доступ к своим услугам. Однако присущая блокчейнам анонимность и сложность ончейн-взаимодействий — особенно в кроссчейн-активностях — создают серьезные проблемы для учреждений при проведении эффективной оценки рисков и обеспечении безопасности DeFi.
Чтобы решить эти проблемы, BlockSec интегрировала результаты своих исследований в приложение Phalcon Compliance. Эта платформа использует массивную базу данных в реальном времени с более чем 400 миллионами адресных меток, неограниченным отслеживанием переходов транзакций (hop tracing) и механизмом поведенческого анализа на базе ИИ. Благодаря этим возможностям приложение позволяет учреждениям быстро идентифицировать фишинговые адреса и подозрительные сущности, взаимодействующие с ними, предоставляя критически важные данные для ончейн-криминалистики.
Помимо фишинговых адресов, приложение Phalcon Compliance также обнаруживает другие рискованные объекты, такие как злоумышленники, санкционированные лица, миксеры, отмыватели денег и даркнет-ресурсы, а также подозрительные действия, такие как высокочастотные переводы, крупные переводы и транзитные адреса. При обнаружении незаконной деятельности приложение оперативно уведомляет учреждения через семь различных каналов, гарантируя, что они смогут отреагировать немедленно. Кроме того, приложение предлагает ряд функций, включая делегирование задач, добавление комментариев, внесение в «черный список» и генерацию отчетов о подозрительных транзакциях (STR) в один клик. В совокупности эти инструменты предоставляют комплексное решение для выявления и снижения рисков, одновременно упрощая процессы комлпаенса и укрепляя Web3-безопасность.
