偽ウォレットのパノラマ追跡：偽ウォレットフィッシング業界のチェーンの徹底的な暴露

序文

Xiao A は最近、交換活動に関するテキストメッセージを受け取ったので、ブラウザに「xx ウォレット オフィシャル」と入力し、最初のリンクをクリックして、アプリをダウンロードし、ウォレットを作成し、資産を転送するという一連の操作をすべて一度に実行しました。しばらくして、Xiao A さんは送金成功の通知を受け取り、ウォレット アプリの残高（1,000 万ドル相当の ERC20-USDT）がゼロになりました。リトルAは後に、そのアプリが偽物であり、フィッシングアプリをダウンロードしていたことに気付きました。

昨年11月24日、SlowMistは偽ウォレットの闇市場に関する分析レポート「 SlowMist：偽ウォレットアプリにより数万人が盗難に遭い、損失額は13億ドルに上る」を発表しました。時間が経つにつれて、今日までの盗難による損失は驚くべきものになると考えられます。

分析する

今日は、偽のウォレットがどれくらいあるのかをビッグデータの観点から分析します。

1. MetaMaskは現在、世界最大のブラウザプラグインウォレットです。 2021年4月、MetaMaskの親会社であるConsenSysは、MetaMaskウォレットの月間アクティブユーザー数が500万人を超え、6か月で5倍に増加したと発表しました。 2020年、MetaMaskの関係者は、月間アクティブユーザー数が2019年と比較して前年比4倍に増加し、8000万人を超えたことも発表した。

MetaMask はユーザー数が非常に多いため、当然ながらブラックマーケットの最初のターゲットとなります。偽のMetaMaskがいくつあるか見てみましょう。

まず、専門のブラウザで検索します。

検索結果には、20,000 件以上の関連結果があり、そのうち IP/ドメイン名の 98% が偽の詐欺リンクであることが示されています。

MetaMask ダウンロードの検索などのさらなる追跡:

一見すると、それらはすべてフィッシングサイトであり、セキュリティに詳しい人なら、888/HTTPや8888/HTTPなどのポートやサービスがBaotaシステムのデフォルト構成であることを知っているはずです。Baotaの導入がシンプルで簡単なため、多くのブラック業界やグレー業界で使用されています。上記に関連する IP/ドメイン名はすべて、ユーザーにアクセスとダウンロードを誘導する偽の詐欺リンクです。

興味深いものを詳しく見てみましょう。

最初の検索: MetaMask Authorization Management (ブラックフィッシングとグレーフィッシングの管理バックエンド)

これらはすべて、ブラックマーケット管理バックエンドに関連するドメイン名です。ドメイン名も一緒に収集しました。キャプチャされたドメイン名と関連する解決時間の一部を以下に示します。

Vue+PHP 環境の場合、デプロイ方法は以下の通りです。

2. imToken の認証管理は同じです。

TokenPocket認証管理:

釣り歴:

舞台裏関連サービス産業チェーン：

3. 関連する被害者情報を入手した後、攻撃者はコイン引き出し API インターフェースを介して操作します。

コードを見てみましょう:

基本的な Web サービス JS、構成 JS、転送 JS が含まれます。

これを見てください: var _0xodo='jsjiami.com.v6'。ブラック業界とグレー業界はほとんどの通常の Web サイトを上回っており、すでに JS 完全暗号化技術を実装していると言わざるを得ません。

構成：

ここで、sc0vu/web3.php: "dev-master" は、Ethereum およびブロックチェーン エコシステムと対話するために使用される PHP インターフェイス システムです。

分析の結果、攻撃者は秘密鍵やその他の関連情報を入手した後、api.html 呼び出しを通じて関連する盗難資産を転送したことが判明しました。ここでは詳細には触れません。

これで終わりだと思いますか？

彼らの目的は、MetaMask、imToken、TokenPocket などのウォレットのフィッシング Web サイトを偽造することだけだと思いますか?

実際、市場でよく知られているウォレットを偽造するだけでなく、フィッシング用の関連取引プラットフォームも模倣して構築していました。見てみましょう:

たとえば、この IP では、フィッシング ページとバックエンドに加えて、次の情報も見つかりました。

偽の取引プラットフォームのフィッシング サイトは複数存在します。

Laravel フレームワークを使用して構築された暗号通貨フィッシング プラットフォーム:

ThinkPHP フレームワークを使用して構築された FTX プラットフォームを模倣したフィッシング サイト:

オンラインで直接販売されているフィッシング詐欺テンプレートの SaaS バージョンを見てみましょう。

詐欺師のプラットフォームは、ほとんどの主流のウォレットをサポートしています（ここでのウォレットも詐欺師によって偽造されています）

暗号通貨や NFT をターゲットにしたフィッシング詐欺業界のチェーンは、プロフェッショナルな SaaS サービス、迅速な展開、即時の立ち上げなど、すでに非常に完成度が高くなっています。

さらに調査を進めると、関連するバックエンド管理システムが明らかになりました。次の図は、取引プラットフォームの関連情報を制御するために使用されるクラウド デスクトップ管理バックエンドです。

分類が明確で機能も充実しています。ブラック産業とグレー産業の進歩と専門性は想像をはるかに超えています。

要約する

この記事では、主に技術的な観点から不正ウォレットの全体像を分析します。ウォレットフィッシング Web サイトは、非常に低い制作コストで次々と出現し、プロセスベースの専門的な産業チェーンを形成しています。これらの詐欺師は通常、いくつかのツールを使用して、より有名なウォレット プロジェクトの Web サイトをコピーし、ユーザーを騙して秘密鍵のニーモニックを入力させたり、ユーザーに承認を促したりします。ダウンロードまたは入力する前に、必ず使用している Web サイトの URL を確認することをお勧めします。同時に、フィッシングを避けるために、不明なリンクをクリックせず、公式 Web サイトまたは公式メディア プラットフォームからダウンロードするようにしてください。