SlowMist раскрывает мошенничество с использованием вредоносных модификаций узла RPC

SlowMist в сотрудничестве с imToken выявил новый вид мошенничества с криптовалютой, который нацелен на пользователей при физических офлайн-транзакциях с использованием USDT в качестве способа оплаты.

Эта мошенническая схема работает путем вмешательства в удаленные вызовы процедур (RPC) узла Ethereum, чтобы обмануть ничего не подозревающих жертв.

Стратегия мошенника

Первоначально мошенник убеждает жертву загрузить законный кошелек imToken и укрепляет доверие, переводя 1 USDT и небольшое количество ETH в качестве приманки.

Впоследствии мошенник инструктирует пользователя перенаправить URL-адрес ETH RPC на узел, контролируемый первым, в частности, с использованием модифицированного узла. Посредством этой манипуляции злоумышленник затем фальсифицирует баланс USDT пользователя, чтобы создать впечатление, будто средства были депонированы.

Однако когда пользователь пытается перевести USDT, он обнаруживает, что его уже обманули. Но, по данным SlowMist, к тому времени мошенник бесследно исчез.

Фирма, занимающаяся безопасностью блокчейнов, также сообщила, что функция Tenderly's Fork способна не только изменять балансы, но и информацию о контрактах, тем самым создавая еще более серьезную угрозу для пользователей.

Таким образом, понимание RPC имеет решающее значение для понимания механизма такого мошенничества, заметил SlowMist. RPC служит средством взаимодействия с сетями блокчейнов, позволяя пользователям выполнять различные действия, такие как проверка баланса и создание транзакций. Обычно кошельки по умолчанию подключаются к защищенным узлам, но подключение к ненадежным узлам может привести к вредоносным модификациям, что приведет к финансовым потерям.

Адрес подозреваемого помечен как мошенничество с забоем свиней

Дальнейший анализ, проведенный MistTrack, выявил глубину операций мошенничества. Расследование адреса кошелька известной жертвы (0x9a7…Ce4) показывает, что они получили 1 USDT и 0,002 ETH с другого адреса (0x4df…54b).

Этот адрес, в свою очередь, перевел 1 доллар США на несколько адресов, что указывает на неоднократные мошеннические действия. Эти адреса помечены MistTrack как «мошенники, занимающиеся забоем свиней», они связаны с различными торговыми платформами и причастны к множеству случаев мошенничества.