背景

近期，一種新型的釣魚詐騙手段引起了我們的注意。

這種詐騙通常發(fā)生于聊天軟件（如 Telegram）中，起始于場外出入金交易，在進(jìn)行正式交易前，騙子以“要確認(rèn)受害者的地址是否存在風(fēng)險”為由，讓受害者先轉(zhuǎn)賬 0.1 USDT 看看地址的風(fēng)險情況，接著給受害者發(fā)送了一個進(jìn)行轉(zhuǎn)賬的“公鏈”地址，還特別提醒必須在錢包瀏覽器輸入該公鏈地址才能進(jìn)行轉(zhuǎn)賬。結(jié)果受害者在瀏覽器輸入該“公鏈”地址后，發(fā)現(xiàn)賬戶所有的代幣都被盜了。

究竟是怎么回事呢？

手法分析

我們根據(jù)受害者提供的信息分析，發(fā)現(xiàn)這不是簡單的轉(zhuǎn)賬被盜（為保護(hù)受害者信息，故地址模糊處理）。

根據(jù)我們的經(jīng)驗來看，這應(yīng)該是由授權(quán)引起的釣魚被盜。合約調(diào)用者(TK…Gh) 通過調(diào)用 transferFrom 函數(shù)，將受害者地址(TX…1W) 上的 271,739 USDT 轉(zhuǎn)移到騙子地址(TR…8v)。

這時，我們將目光落到騙子口中的“公鏈”地址：0x2e16edc742de42c2d3425ef249045c5c.in

乍一看，地址沒什么問題。但是細(xì)看問題很大?。∈紫?，這是 TRON 上的轉(zhuǎn)賬，但這是 0x 開頭的地址；其次，再仔細(xì)看，發(fā)現(xiàn)這并不是一個地址，而是一個末尾帶著 .in 的網(wǎng)址。

分析該網(wǎng)址，發(fā)現(xiàn)該網(wǎng)址創(chuàng)建于一個月前（10 月 11 日），相關(guān) IP 為 38.91.117.26：

該 IP 下還存在相似的網(wǎng)址，都是近一個月創(chuàng)建的：

0x2e16edc742de42c2d3425ef249045c5b.in

tgsfjt8m2jfljvbrn6apu8zj4j9ak7erad.in

目前只有 0x2e16edc742de42c2d3425ef249045c5b.in 能打開，通過錢包瀏覽器搜索該地址，發(fā)現(xiàn)該頁面只能選擇 TRON 網(wǎng)絡(luò)。

輸入數(shù)額后，點擊下一步，顯示為合約交互 Contract interaction：

我們解碼 Data 部分的數(shù)據(jù)，發(fā)現(xiàn)騙子(TYiMfUXA9JcJEaiZmn7ns2giJKmToCEK2N) 誘騙用戶簽署 increaseApproval，一旦用戶點擊 Confirm，用戶的代幣就會被騙子通過 transferFrom 方法盜走。

分析該騙子地址，發(fā)現(xiàn)已經(jīng)有用戶受騙：

受害者的大部分 USDT 都被轉(zhuǎn)移到地址 TLdHGHB8HDtPeUXPxiwU6bed6wQEH25ZKQ：

使用 MistTrack 查看該地址發(fā)現(xiàn)這個地址接收超 3,827 USDT：

其他地址的分析不再贅述。

總結(jié)

本文從一個實際被盜案例入手，介紹了一種新型的將釣魚網(wǎng)址偽裝成轉(zhuǎn)賬地址的騙局。