Недавнее исследование BlockSec, посвященное транзакционному фишингу в сети Ethereum, было принято к публикации в виде полной статьи на конференции ACM CCS 2023!
Являясь одной из четырех ведущих конференций в области компьютерной безопасности, ACM CCS поддерживает низкий процент принятия заявок: за последние пять лет было принято лишь около 18% представленных работ. Конференция фокусируется на сборе новейших достижений научно-исследовательских институтов и технологических компаний со всего мира в таких областях, как сетевая безопасность, защита конфиденциальности и прикладная криптография.
На конференции ACM CCS 2023, которая проходит в Копенгагене, Дания, мы представим последние результаты исследований BlockSec, посвященные транзакционному фишингу в Ethereum, а также нашу крупномасштабную систему обнаружения фишинговых сайтов TxPhishScope.
Расцвет мошенничества типа TxPHISH в сети Ethereum
По мере того как пользователи совершают обмен токенами посредством транзакций в сети Ethereum, появилась новая форма фишингового мошенничества. В отличие от традиционных атак, нацеленных на личную или финансовую информацию жертв, этот тип фишинга похищает активы пользователей через транзакции. В частности, злоумышленники обманом заставляют жертв подписывать транзакции или сообщения, которые позволяют им выводить токены жертв. Поскольку фишинговое мошенничество в основном связано с подписанием транзакций жертвами, мы называем его TxPHISH.
С января по ноябрь 2023 года мы стали свидетелями 12 крупномасштабных инцидентов TxPhish, которые привели к совокупным убыткам на сумму более 85 миллионов долларов (со средним ущербом более 7 миллионов долларов за один крупный инцидент). На самом деле, этот вид фишинга происходит каждый день. Только за последние 7 дней MetaSleuth зафиксировал более 100 фишинговых оповещений, а потери пользователей от фишинговых транзакций достигли 2,45 миллиона долларов. Поэтому проведение глубокого исследования веб-сайтов TxPHISH имеет огромное значение для безопасности блокчейна.
TxPhishScope: Наша крупномасштабная система обнаружения веб-сайтов TxPHISH
Основываясь на ключевых характеристиках фишинговых транзакций, мы разработали крупномасштабную систему обнаружения веб-сайтов TxPHISH под названием TxPhishScope (эта система также обеспечивает поддержку других наших продуктов, таких как MetaSuites и MetaSleuth).
TxPhishScope сначала собирает выпущенные в режиме реального времени сертификаты веб-сайтов из сети Certificate Transparency Log и извлекает подозрительные домены. После этого TxPhishScope динамически посещает веб-сайты, а затем инициирует симуляцию выполнения транзакций. На основе результатов этой симуляции система определяет, является ли транзакция фишинговой. Если транзакция оказывается фишинговой, TxPhishScope автоматически сохраняет цепочку доказательств (включая контент транзакции и содержимое сайта).
Мы используем TxPhishScope с ноября 2022 года. Для защиты пользователей мы сообщили о 33 130 веб-сайтах TxPHISH и 3 981 фишинговом аккаунте сообществам безопасности Ethereum, включая MetaMask, Forta и Etherscan. Кроме того, мы предоставили доказательства фишинговой деятельности командам таких проектов, как FixedFloat, SimpleSwap и Binance, чтобы помочь в возврате средств пользователей. В настоящее время TxPhishScope продолжает предоставлять отчеты о веб-сайтах TxPHISH и фишинговых аккаунтах для бота Forta Scam Bot в режиме реального времени.
Особенности и схемы отмывания денег через веб-сайты TxPHISH
Более того, посредством масштабных измерительных исследований мы провели глубокое изучение характеристик веб-сайтов TxPHISH и систематически проанализировали потоки фишинговых средств. Мы обнаружили, что эти сайты имеют короткий жизненный цикл, низкую стоимость развертывания, высокую частоту обновлений и обладают высокой степенью обманчивости. Компании, занимающиеся безопасностью Web3, могут разрабатывать новые инструменты и алгоритмы обнаружения на основе этих характеристик для точной и своевременной идентификации веб-сайтов TxPHISH.
В то же время мы обнаружили, что схемы отмывания денег у большинства фишинговых аккаунтов относительно фиксированы, причем значительная часть средств поступает на биржи. Это открытие помогает понять направление потоков средств и способствует своевременному возврату украденных активов.
Мы прекрасно понимаем, что защита пользователей от TxPHISH требует совместных усилий нескольких поставщиков Web3-услуг. Поэтому мы поделимся результатами нашего последнего исследования на конференции ACM CCS — это первая работа, посвященная крупномасштабному обнаружению и измерению веб-сайтов TxPHISH. Мы надеемся, что, ознакомившись с нашими выводами, специалисты Web3 смогут более полно понять особенности и схемы отмывания денег на сайтах TxPHISH, что позволит им улучшить стратегии защиты и механизмы безопасности для ограждения пользователей от транзакционного фишинга.
Время: 27 ноября, 11:00 (UTC +1)
Сессия: ATTACKS & THREATS (Атаки и угрозы)
Докладчик: Боуэн Хэ, член исследовательской группы BlockSec (первый автор статьи)
Тема: TxPhishScope: Towards Detecting and Understanding Transaction-based Phishing on Ethereum (TxPhishScope: к вопросу об обнаружении и понимании транзакционного фишинга в Ethereum)
О компании BlockSec
BlockSec — передовая компания в области безопасности блокчейна, основанная в 2021 году группой всемирно признанных экспертов по безопасности. Компания стремится повысить уровень безопасности и удобства использования для развивающегося мира Web3, чтобы способствовать его массовому внедрению. С этой целью BlockSec предоставляет услуги аудита безопасности смарт-контрактов и EVM-сетей, платформу Phalcon для разработки безопасного ПО и проактивной блокировки угроз, платформу MetaSleuth для отслеживания и расследования движения средств, а также расширение MetaSuites для эффективной работы Web3-разработчиков в криптомире.
На сегодняшний день компания обслужила более 300 уважаемых клиентов, таких как MetaMask, Uniswap Foundation, Compound, Forta и PancakeSwap, и получила десятки миллионов долларов США в ходе двух раундов финансирования от выдающихся инвесторов, включая Matrix Partners, Vitalbridge Capital и Fenbushi Capital.
Официальный сайт: https://blocksec.com
Официальный аккаунт в Twitter: https://twitter.com/BlockSecTeam
