揭秘新骗局:恶意修改 RPC 节点链接骗取资产
By: Lisa
背景
据合作伙伴 imToken 反馈,近期出现了一种新型的加密货币骗局。这种骗局一般以线下实物交易为主要场景,采用 USDT 作为付款方式,利用修改以太坊节点的 Remote Procedure Call(RPC) 进行欺诈活动。
作恶流程
慢雾安全团队对这类骗局展开分析,骗子的具体作恶流程如下:
首先,骗子会诱导目标用户下载正版的 imToken 钱包,并用 1 USDT 以及少量 ETH 为诱饵来取得用户的信任。然后,骗子会引导用户将其 ETH 的 RPC 网址重定向到骗子自己的节点(https://rpc.tenderly.co/fork/34ce4192-e929-4e48-a02b-d96180f9f748)。
这个节点实际上已被骗子用 Tenderly 的 Fork 功能修改过,用户的 USDT 余额被造假,使其看起来就像骗子已经将款项打入用户钱包一样。于是,用户看到余额就会误以为已经到账。但当用户试图转入矿工费以变现账户中的 USDT 时,便会意识到自己上当了。而这时,骗子早已消声匿迹。
实际上,除了余额显示可以被修改,Tenderly 的 Fork 功能甚至可以改合约信息,对用户构成更大威胁。
(https://docs.tenderly.co/forks)
这里就得提一个问题 —— RPC 是什么?为了与区块链交互,我们需要通过合适的通用选项访问网络服务器的方法,RPC 就是一种连接和交互的方式,使我们能够访问网络服务器并执行查看余额、创建交易或与智能合约交互等操作。通过嵌入 RPC 功能,用户能够执行请求并与区块链进行交互。例如,如果用户通过连接钱包(如 imToken)使用去中心化交易所,其实就是在通过 RPC 与区块链服务器进行通信。一般来说,所有类型的钱包默认都会连接到安全的节点,用户无需进行任何调整。但是,若轻易相信他人,将钱包链接到不信任的节点,可能会导致钱包中显示的余额和交易信息被恶意修改,进而带来财产损失。
MistTrack 分析
我们使用链上追踪工具 MistTrack 对其中一个已知的受害者钱包地址(0x9a7…Ce4) 进行分析,可以看到该受害者地址收到了地址(0x4df…54b) 转入的小额 1 USDT 和 0.002 ETH。
查看地址(0x4df…54b) 的资金情况,发现该地址分别转出 1 USDT 到 3 个地址,看来这个地址目前已行骗三次。
再往上追溯,地址与多个交易平台关联,同时与被 MistTrack 标记为“Pig Butchering Scammer”的地址有交互。
总结
此类骗局的狡猾之处在于利用了用户的心理弱点。用户往往只关注其钱包中是否有款项到账,而忽视了背后可能存在的风险。骗子正是利用这种信任和疏忽,通过一系列如转账小额资金等让人信以为真的操作,对用户进行欺诈。因此,慢雾安全团队建议广大用户在进行交易时,一定要保持警惕,提高自我保护意识,不要轻信他人,避免自身财产受损。
比推快讯
更多 >>- Web3足球fantasy游戏GOALAI完成300万美元融资,IDG capital领投
- Hyperion Decimus推出加密基金HD CoinDesk Acheilus
- 香港金管局:中交建工4家银行为香港数字人民币钱包运营机构
- Art Blocks宣布推出Ark Blocks Studio,以支持艺术家根据合约自主发布NFT
- Radiant DAO批准在Arbitrum和以太坊主网上整合新的weETH市场
- FTX Digital:客户提交索赔截止日期预计将延长至7月底或8月初
- 链上索引服务Subsquid完成总额1750万美元融资,DFG等参投
- 区块链数据追踪及分析平台Chainalysis完成新一轮融资,Haun Ventures参投
- 机构级加密货币和数字资产平台Fireblocks完成新一轮融资,Haun Ventures参投
- Popsicle Network与MultiAdaptive共同推出首个Solana VM rollup开源技术框架
- 法国金融市场管理局再次警告投资者Bybit已被其列入黑名单
- 美联储Bostic:年底前降息可能是合适的,但没有任何确定的计划
- pump.fun:已升级合约并暂停交易,攻击者无法窃取更多资金
- 彭博社分析师:超400家机构披露持有贝莱德现货比特币ETF,这数字“非常罕见”
- Wintermute研究主管:pump.fun疑似私钥泄露被攻击,2000枚SOL和大量meme币被盗
- Pump.fun 攻击者疑似利用被盗资金随机空投
- Solana 代币启动器pump.fun疑似遭闪电贷攻击
- 美国银行:仍预计美联储将在12月首次降息
- 比特币向下触及65000美元,日内跌1.85%
- 美联储Mester :尚未就央行数字货币作出决定
- 美参议院投票通过撤销有争议的 SEC 会计公告
- Magic Eden:钱包内的代币申领产品将于第三季度推出
- 美国财政部拟继续加强围绕数字资产的反洗钱和反恐融资工作
- 美联储梅斯特:当前的紧缩政策将有助于降低通胀
- 4月份Robinhood加密货币交易量为101亿美元,环比下降一半以上
- WallStreetBaby部署者通过交易WSB在1小时内赚取近5000枚SOL
- Cumberland从Tether Treasury收到2000万枚USDT,并存入交易所
- 香港证监会允许在符合条件下投资海外上市ETF
- Deribit:明日将有约 21.3 亿美元的BTC和ETH期权到期
- 摩根大通:目前比特币矿工的挖矿成本约为 45,000 美元
- Bybit:正在开发为香港用户量身定制的Bybit HK应用程序, Global Bybit App 将停用
- 某巨鲸从 Aave 取出 3886 ETH ,换成 173.3 WBTC 以偿还借款
- Uniswap App已支持从Coinbase和Robinhood直接转账
- CZ尚未入狱,入狱开始时间需等缓刑或审前服务办公室通知
- Bybit联创:100%的NOTcoin空投已到账,将为所有受影响用户发布公开声明和赔偿计划
- 游戏平台Param Labs完成700万美元融资,Animoca Brands领投
- 微软正密切关注加密行业,高管称目前只接触到Crypto和AI“皮毛”
- 灰度向“bc1q2j”开头地址转入700枚BTC
- Upbit运营商Dunamu一季度营收达3.95亿美元,同比增长74%
- 美国至5月11日当周初请失业金人数22.2万
- 印度证交会主张与多机构共同监管加密货币
比推专栏
更多 >>观点
项目
比推热门文章
- Hyperion Decimus推出加密基金HD CoinDesk Acheilus
- 香港金管局:中交建工4家银行为香港数字人民币钱包运营机构
- Art Blocks宣布推出Ark Blocks Studio,以支持艺术家根据合约自主发布NFT
- Radiant DAO批准在Arbitrum和以太坊主网上整合新的weETH市场
- FTX Digital:客户提交索赔截止日期预计将延长至7月底或8月初
- 链上索引服务Subsquid完成总额1750万美元融资,DFG等参投
- 区块链数据追踪及分析平台Chainalysis完成新一轮融资,Haun Ventures参投
- 机构级加密货币和数字资产平台Fireblocks完成新一轮融资,Haun Ventures参投
- Popsicle Network与MultiAdaptive共同推出首个Solana VM rollup开源技术框架
- 一场自导自演的控盘大戏?解读 AEVO 上线两个月间的抓马故事