背景
根据合作伙伴imToken的反馈,最近出现了一种新型的加密货币骗局。这种骗局通常发生在线下实物交易场景中,使用USDT作为付款方式,并利用修改以太坊节点的Remote Procedure Call(RPC)进行欺诈活动。
作恶流程
慢雾安全团队对这类骗局进行了分析,骗子的具体作恶流程如下:
首先,骗子会引导目标用户下载正版的imToken钱包,并以1 USDT和少量ETH作为诱饵来取得用户的信任。然后,骗子会引导用户将其ETH的RPC网址重定向到骗子自己的节点(https://rpc.tenderly.co/fork/34ce4192-e929-4e48-a02b-d96180f9f748)。
这个节点实际上已被骗子使用Tenderly的Fork功能进行修改,用户的USDT余额被伪造,使其看起来就像骗子已经将款项打入用户钱包一样。因此,用户看到余额时会误以为已经到账。但是当用户试图转入矿工费以变现账户中的USDT时,就会意识到自己上当了。而此时,骗子早已消失无踪。
实际上,除了余额显示可以被修改外,Tenderly的Fork功能甚至可以修改合约信息,对用户构成更大威胁。
这里就要提一个问题——RPC是什么?为了与区块链进行交互,我们需要通过合适的通用选项访问网络服务器的方法,RPC就是一种连接和交互的方式,使我们能够访问网络服务器并执行查看余额、创建交易或与智能合约交互等操作。通过嵌入RPC功能,用户能够执行请求并与区块链进行交互。例如,如果用户通过连接钱包(如imToken)使用去中心化交易所,其实就是在通过RPC与区块链服务器进行通信。一般来说,所有类型的钱包默认都会连接到安全的节点,用户无需进行任何调整。但是,如果轻易相信他人,将钱包链接到不信任的节点,可能导致钱包中显示的余额和交易信息被恶意修改,从而带来财产损失。
MistTrack分析
我们使用链上追踪工具MistTrack对其中一个已知的受害者钱包地址(0x9a7…Ce4)进行分析,可以看到该受害者地址收到了地址(0x4df…54b)转入的小额1 USDT和0.002 ETH。
查看地址(0x4df…54b)的资金情况,发现该地址分别向3个地址转出了1 USDT,看来该地址目前已经行骗三次。
再往上追溯,该地址与多个交易平台有关联,并与被MistTrack标记为“Pig Butchering Scammer”的地址有交互。
总结
这类骗局的狡猾之处在于利用了用户的心理弱点。用户往往只关注他们的钱包中是否有款项到账,而忽视了背后可能存在的风险。骗子正是利用这种信任和疏忽,通过一系列操作(如转账小额资金)让人信以为真,对用户进行欺诈。因此,慢雾安全团队建议广大用户在进行交易时要保持警惕,提高自我保护意识,不要轻信他人,避免自身财产受损。