一、事件背景

自 2022 年以來，各種以 Drainer 為名的釣魚團(tuán)伙逐漸冒出頭，比如通過社工獲取 Discord Token 并進(jìn)行釣魚的 Pink Drainer；比如通過 Permit 或 Approve 獲得用戶批準(zhǔn)并盜取資產(chǎn)的釣魚服務(wù)提供商 Venom Drainer；比如通過虛假 KOL 推特賬號(hào)、Discord 等發(fā)布虛假 NFT 相關(guān)的帶有惡意 Mint 的誘餌網(wǎng)站進(jìn)行釣魚，竊取了數(shù)千萬美元網(wǎng)絡(luò)釣魚組織 Monkey Drainer (https://aml.slowmist.com/events/monkey_Drainer_statistics/)；比如專門從事多鏈詐騙的廠商 Inferno Drainer 等。

而隨著時(shí)間的推移，一些 Drainer 已經(jīng)退出加密貨幣的大舞臺(tái)，但最近的兩起事件令一個(gè)多次暗中活動(dòng)的釣魚團(tuán)伙 —— Angel Drainer 逐漸出現(xiàn)在大眾的視野中。

事件一：Balancer DNS 劫持攻擊

2023 年 9 月 19 日，Balancer 發(fā)出緊急警告，要求用戶停止訪問其官網(wǎng)，因?yàn)?DNS 被劫持導(dǎo)致其界面已受到惡意行為者的破壞，訪問該網(wǎng)站的鏈接后，錢包會(huì)遭受釣魚攻擊。據(jù) MistTrack 分析，攻擊者的費(fèi)用來自網(wǎng)絡(luò)釣魚組織 Angel Drainer，目前受害者被盜金額至少為 35 萬美元。

也就是說，攻擊者（Angel Drainer）通過攻擊 Balancer 的網(wǎng)站后，誘導(dǎo)用戶 “Approve”，并通過 “transferFrom” 將資金轉(zhuǎn)移給攻擊者（Angel Drainer）。根據(jù)我們收集的相關(guān)情報(bào)，攻擊者可能與俄羅斯黑客有關(guān)。經(jīng)過分析，發(fā)現(xiàn) app.balancer.fi 的前端存在惡意的 JavaScript 代碼(https://app.balancer.fi/js/overchunk.js)。

用戶使用錢包連接 app.balancer.fi 站點(diǎn)后，惡意腳本會(huì)自動(dòng)判斷連接用戶的余額并進(jìn)行釣魚攻擊。

事件二：Galxe DNS 劫持攻擊

2023 年 10 月 6 日，據(jù)多位社區(qū)用戶稱，使用錢包簽名授權(quán) Web3 憑證數(shù)據(jù)網(wǎng)絡(luò) Galxe 平臺(tái)后，資產(chǎn)被盜。隨后，Galxe 官方發(fā)布公告稱，其網(wǎng)站已關(guān)閉，正在修復(fù)該問題。據(jù) MistTrack 分析，Galxe Hacker 地址與 Angel Drainer 地址存在多次交互，似乎是同一個(gè)黑客。

10 月 7 日，Galxe 發(fā)文表示，該網(wǎng)站現(xiàn)已完全恢復(fù)，事情的詳細(xì)過程為：10 月 6 日，一名身份不明的人聯(lián)系域名服務(wù)提供商 Dynadot，冒充授權(quán)的 Galxe 會(huì)員，并使用偽造的文檔繞過安全流程。然后冒充者獲得了對(duì)域帳戶 DNS 的未經(jīng)授權(quán)的訪問權(quán)限，他們用該訪問權(quán)限將用戶重定向到虛假網(wǎng)站并簽署盜用其資金的交易。約 1120 名與該惡意網(wǎng)站交互的用戶受到影響，被盜金額約為 27 萬美元。

下面僅針對(duì)該團(tuán)伙的部分釣魚素材及釣魚錢包地址進(jìn)行分析：

二、釣魚網(wǎng)站及手法分析

經(jīng)過分析，我們發(fā)現(xiàn)該團(tuán)伙主要的攻擊方式是對(duì)域名服務(wù)提供商進(jìn)行社會(huì)工程學(xué)攻擊，在獲取了域名帳戶相關(guān)權(quán)限后，修改 DNS 解析指向，并將用戶重定向到虛假網(wǎng)站。根據(jù)慢霧合作伙伴 ScamSniffer 提供的數(shù)據(jù)顯示，該團(tuán)伙針對(duì)加密行業(yè)進(jìn)行的釣魚攻擊涉及 3000 多個(gè)域名。

通過查詢這些域名的相關(guān)信息，發(fā)現(xiàn)注冊(cè)日期最早可追溯到 2023 年 1 月：

該網(wǎng)站仿冒了一個(gè) Web3 游戲項(xiàng)目 Fight Out，目前已無法打開。有趣的是，在 Fight Out 官方社交平臺(tái)下，多個(gè)用戶反映該項(xiàng)目也是一個(gè)騙局。

通過 MistTrack 查看該釣魚網(wǎng)站相關(guān)的地址 0x00002644e79602F056B03235106A9963826d0000，顯示該地址于 5 月 7 日進(jìn)行首次交易。

我們發(fā)現(xiàn)該地址與 107 個(gè)釣魚網(wǎng)站相關(guān)聯(lián)，不僅包括 NFT 項(xiàng)目、授權(quán)管理工具 RevokeCash、交易所 Gemini，還包括跨鏈橋 Stargate Finance 等等。

在此地址基礎(chǔ)上，再往前追溯到 2023 年 3 月 16 日，被標(biāo)記為 Fake_Phishing76598 的地址 0xe995269255777303Ea6800bA0351C055C0C264b8，該地址與 17 個(gè)釣魚網(wǎng)站相關(guān)聯(lián)，主要圍繞 NFT 項(xiàng)目 Pollen 以及公鏈 Arbitrum 部署釣魚網(wǎng)站，目前都已無法打開。

我們查看該團(tuán)伙最近部署的釣魚網(wǎng)站 blur[.]app-io.com.co：

通過查詢 Access Key，關(guān)聯(lián)到了另一個(gè)釣魚網(wǎng)站 unsiwap[.]app.se.net，正確寫法是 Uniswap，攻擊者通過調(diào)換字母 s 和 i 的順序混淆視聽。

這個(gè)網(wǎng)站也存在于我們的數(shù)據(jù)中，8 月份才開始使用：

下面顯示了連接到該域的一系列網(wǎng)站的屏幕截圖：

使用 ZoomEye 進(jìn)行全球搜索，發(fā)現(xiàn)該域下有 73 個(gè)釣魚站點(diǎn)同時(shí)運(yùn)行與部署：

繼續(xù)追蹤，發(fā)現(xiàn) Angel Drainer 使用英語和俄語進(jìn)行銷售，內(nèi)容包括 24/7 的支持，押金為 $40,000，收取 20% 的費(fèi)用，支持多條鏈以及 NFT，提供自動(dòng)站點(diǎn)克隆器。

這是銷售者的簡(jiǎn)介：

順著頁面給出的聯(lián)系方式，發(fā)現(xiàn)一個(gè) Bot。下圖中所涉及的地址暫無交易記錄，猜測(cè)是一個(gè)假冒 Angel Drainer 的 Bot。

隨機(jī)找一個(gè)站點(diǎn)查看，點(diǎn)擊 Claim，網(wǎng)站會(huì)判斷你是否有余額，根據(jù)每個(gè)受害者地址持有的代幣和余額使用攻擊組合拳：Approve - Permit/Permit2 簽名 - transferFrom。

對(duì)安全意識(shí)較低的用戶來說，一不小心就會(huì)將自己地址的許可無限授予給攻擊者，如果有新的資金轉(zhuǎn)移到用戶地址，攻擊者就會(huì)立馬轉(zhuǎn)走這些資金。

由于篇幅限制，此處不再過多分析。

三、MistTrack 分析

通過分析上述 3000 多個(gè)釣魚網(wǎng)址及關(guān)聯(lián)慢霧 AML 惡意地址庫，我們共計(jì)分析到 36 個(gè)與 Angel Drainer 釣魚團(tuán)伙有關(guān)的惡意地址（ETH 鏈上），其中 Angel Drainer 熱錢包地址有兩個(gè)，涉及多條鏈，其中 ETH 鏈和 ARB 鏈涉及資金較多。

以關(guān)聯(lián)到的 36 個(gè)惡意地址為鏈上分析數(shù)據(jù)集，我們得到關(guān)于該釣魚團(tuán)伙的以下結(jié)論（ETH 鏈）：

• 鏈上地址集最早的活躍時(shí)間為 2023 年 4 月 14 日。(0x664b157727af2ea75201a5842df3b055332cb69fe70f257ab88b7c980d96da3)
• 獲利規(guī)模：據(jù)不完全統(tǒng)計(jì)，該團(tuán)伙通過釣魚的方式共計(jì)獲利約 200 萬美元，包括獲利 708.8495 ETH，約合 1,093,520.8976 美元；涉及 303 個(gè) ERC20 Token，約合 100 萬美元，類型主要為 LINK, STETH, DYDX, RNDR, VRA, WETH, WNXM, APE, BAL。（注：價(jià)格均取 2023/10/13 價(jià)格，數(shù)據(jù)源 CoinMarketCap）
• 通過分析相關(guān)惡意地址自 2023 年 4 月14 日后的前兩層 ETH 數(shù)據(jù)，獲利資金中共計(jì)有 1652.67 ETH 轉(zhuǎn)移到 Binance，389.29 ETH 轉(zhuǎn)移到 eXch，116.57 ETH 轉(zhuǎn)移到 Bybit，25.839 ETH 轉(zhuǎn)移到 OKX，21 ETH 轉(zhuǎn)移到 Tornado Cash，剩余資金則轉(zhuǎn)移到其他實(shí)體地址。

在此感謝 ScamSniffer 提供的數(shù)據(jù)支持。

四、總結(jié)

本文基于 Balancer Hack、Galxe Hack 事件，聚焦釣魚團(tuán)伙 Angel Drainer，并提煉出該組織的部分特征。在 Web3 不斷創(chuàng)新的同時(shí)，針對(duì) Web3 釣魚的方式也越來越多樣，令人措手不及。

對(duì)用戶來說，在進(jìn)行鏈上操作前，提前了解目標(biāo)地址的風(fēng)險(xiǎn)情況是十分必要的，例如在 MistTrack 中輸入目標(biāo)地址并查看風(fēng)險(xiǎn)評(píng)分及惡意標(biāo)簽，一定程度上可以避免陷入資金損失的境地。

對(duì)錢包項(xiàng)目方來說，首先是需要進(jìn)行全面的安全審計(jì)，重點(diǎn)提升用戶交互安全部分，加強(qiáng)所見即所簽機(jī)制，減小用戶被釣魚風(fēng)險(xiǎn)，具體措施如下：

• 釣魚網(wǎng)站提醒：通過生態(tài)或者社區(qū)的力量匯聚各類釣魚網(wǎng)站，并在用戶與這些釣魚網(wǎng)站交互的時(shí)候?qū)︼L(fēng)險(xiǎn)進(jìn)行醒目地提醒和告警；
• 簽名的識(shí)別和提醒：識(shí)別并提醒 eth_sign、personal_sign、signTypedData 這類簽名的請(qǐng)求，并重點(diǎn)提醒 eth_sign 盲簽的風(fēng)險(xiǎn)；
• 所見即所簽：錢包中可以對(duì)合約調(diào)用進(jìn)行詳盡解析機(jī)制，避免 Approve 釣魚，讓用戶知道 DApp 交易構(gòu)造時(shí)的詳細(xì)內(nèi)容；
• 預(yù)執(zhí)行機(jī)制：通過交易預(yù)執(zhí)行機(jī)制幫助用戶了解到交易廣播執(zhí)行后的效果，有助于用戶對(duì)交易執(zhí)行進(jìn)行預(yù)判；
• 尾號(hào)相同的詐騙提醒：在展示地址的時(shí)候醒目的提醒用戶檢查完整的目標(biāo)地址，避免尾號(hào)相同的詐騙問題。設(shè)置白名單地址機(jī)制，使用戶可以將常用的地址加入到白名單中，避免類似尾號(hào)相同的攻擊；
• AML 合規(guī)提醒：在轉(zhuǎn)賬的時(shí)候通過 AML 機(jī)制提醒用戶轉(zhuǎn)賬的目標(biāo)地址是否會(huì)觸發(fā) AML 的規(guī)則。