スローフォグ：2024年第2四半期ミストトラック盗難フォーム分析

ブロックチェーンの急速な発展に伴い、ユーザーを狙ったコイン盗難やフィッシング、詐欺などのセキュリティインシデントが増加しており、攻撃手法も様々です。SlowMistスローミストには、追跡や資金保全の手助けができればと、日々多くの被害者からの相談が寄せられており、数千万円単位の大金を失った被害者も後を絶ちません。これを踏まえ、このシリーズでは、四半期ごとに私たちに寄せられる盗まれた帳票を集計・分析し、よくある手口や珍しい手口を無感覚な実例を交えて解剖することで、ユーザーが自分の資産をよりよく守る方法を学ぶことを目的としています。

統計によると、MistTrack Teamは2024年第2四半期に合計467件の盗難届を受理しました。その内訳は海外が146件、国内が321件で、これらの盗難届に対しては無料の評価コミュニティサービスを提供しました(Ps.)。この記事はフォームから提出されたケースについてのみで、電子メールやその他のチャネルで連絡されたケースは含まれていません）

とりわけ、MistTrackチームは盗まれた18人の顧客を支援し、13のプラットフォームで約20,664,100ドルを凍結しました。

盗難の理由トップ3

2024年の第2四半期フォームで最も一般的な手口は以下の通りです：

秘密鍵の漏洩

Q2フォームの統計によると、多くのユーザーは秘密鍵とニーモニックをGoogle Docs、Tencent Docs、Baidu Cloud Drive、Graphite Docs、その他のクラウドドライブに保存しており、一部のユーザーはWeChatやその他のツールを使って信頼できる友人に秘密鍵とニーモニックを送り、さらに一部のユーザーはWeChatのPicture Literacy機能を使ってニーモニックをWPSフォームにコピーし、フォームを暗号化してクラウドをオンにする。中には、WeChatの画像認識機能を使ってニーモニックをWPSフォームにコピーし、フォームを暗号化してクラウドサービスをオンにし、同時にコンピュータのローカルハードディスクに保存する者さえいる。こうした一見改善されたように見える情報セキュリティ行動は、実は情報窃盗のリスクを大幅に高めている。ハッカーはしばしば「クラッシュ」という手法を使って、インターネット上に一般に流出したアカウント番号やパスワードのデータベースを収集し、こうしたクラウドストレージサービスのウェブサイトにログインしようとする。これは確率的な行動ではあるが、ログインさえ成功すれば、ハッカーは暗号通貨に関連する情報を容易に発見し、盗み出すことが可能であり、このようなケースは受動的な情報漏洩とみなすことができる。また、カスタマーサービスを装った詐欺師に誘われてニーモニックワードを入力させられたり、Discordなどのチャットプラットフォームでフィッシングリンクに騙されて秘密鍵情報を入力させられたりするなど、能動的な情報漏えいのケースもある。MistTrack Teamは、いかなる場合においても秘密鍵/パスワードを誰にも開示してはならないことを強くお勧めします。

その上、偽のウォレットも秘密鍵の漏洩という点では最悪の犯罪者です。この部分はすでに決まり文句のようになっていますが、検索エンジンを使っているときにうっかり広告リンクをクリックして偽のウォレットアプリをダウンロードしてしまうユーザーはいまだに大勢います。ネットワーク上の理由から、多くのユーザーはサードパーティのダウンロードサイトからアプリを入手することを選択する。これらのサイトは、アプリがGoogle Playからダウンロードされたものをミラーリングしていると主張しているが、その真の安全性は疑わしい。以前、Slow Fogのセキュリティチームがサードパーティのアプリマーケットプレイスapkcombo上のウォレットアプリを分析したところ、apkcomboが提供するimTokenのバージョン24.9.11はimTokenウォレットの存在しないバージョンであり、現在市場に出回っているimTokenウォレットの中で最も偽物が多いものであることが判明しました。

私たちはまた、偽ウォレットチームに関連する多数のバックエンド管理システムを突き止めました。その中には、ユーザー管理、コイン管理、トップアップ管理などの複雑なデジタル通貨管理が含まれています。この種のフィッシングは、多くの人が考えているよりも高度で専門的です。

例えば、第2四半期に稀に見られたケースとして、あるユーザーが検索エンジンで「フィッシング」という単語を検索しました。ユーザーが検索エンジンで「Twitter」と検索し、誤って偽バージョンのTwitterアプリをダウンロードした。ユーザーがアプリを開くと、地域制限のためVPNが必要である旨のプロンプトがポップアップ表示され、アプリに付属する偽のVPNをダウンロードするよう誘導され、ユーザーの秘密鍵／ヘルパーワードが盗まれた。このようなケースを見ると、オンライン上のアプリケーションやサービスは、その正当性と安全性を確保するために注意深くレビューし、検証する必要があることを改めて思い知らされます。

フィッシング

分析によると、第2四半期のフィッシングの原因は、ユーザーが有名なプロジェクトのツイートの下に貼られたフィッシングリンクをクリックしたことでした。以前、Slow Mistのセキュリティチームは、統計のターゲット分析を行いました：ツイートのリリース後、有名なプロジェクトの約80％が、コメント欄の最初のメッセージは、詐欺フィッシングアカウントによって占有されます。また、Telegram上で、フォロワー数や投稿数が異なるTwitterアカウントを販売するグループが多数存在し、登録時間も異なるため、潜在的な購入者が購入したいアカウントを選択できるようになっていることも分かりました。履歴を見ると、売りに出されているアカウントのほとんどは、暗号通貨業界やネット上の有名人に関連したものだ。

このほかにも、以下のような専門の販売サイトがあります。様々な年代のTwitterアカウントを販売するサイトや、酷似したアカウントの購入をサポートするサイトまであります。例えば、偽のOptimlzmアカウントは、本物のOptimismアカウントに酷似している。このような酷似したアカウントを購入した後、フィッシンググループはプロモーションツールを使ってアカウントのインタラクションやフォロワー数を増やし、アカウントの信頼性を高める。これらのプロモーション・ツールは暗号通貨の支払いを受け入れるだけでなく、「いいね！」、リツイート、フォロワーを含む様々なソーシャル・プラットフォーム・サービスを販売する。これらのツールを使って、フィッシング・ギャングは多くのフォロワーと投稿を持つTwitterアカウントを取得し、プロジェクト当事者の情報を模倣してダイナミクスを投稿することができる。本物のプロジェクト・アカウントとの類似性が高いため、多くのユーザーが本物と偽物を見分けることが難しく、フィッシング・ギャングの成功率はさらに高まる。その後、フィッシング・ギャングは、自動化されたボットを使って有名なプロジェクトの動向をフォローするなどのフィッシング・オペレーションを実施する。プロジェクトがツイートを公開すると、ボットは自動的に返信し、最初のコメントをつかむ。フィッシング集団の偽装アカウントはプロジェクトのアカウントに極めて似ていることから、偽アカウントのフィッシングリンクをクリックし、それを承認して署名するというユーザーの過失は、資産の損失につながる可能性がある。

ブロックチェーン業界におけるフィッシング攻撃を総合的に見ると一般的に、ブロックチェーン業界におけるフィッシング攻撃は、個人ユーザーにとって、リスクは主に「ドメイン名と署名」の2つの核心点にある。包括的なセキュリティ保護を実現するために、私たちは常に二重の保護戦略、すなわち、人的セキュリティ意識の防御＋技術的防御手段の採用を提唱してきました。技術的な防御手段とは、様々なハードツールやソフトウェアツールを使用することである。例えば、フィッシングリスクをブロックするプラグインScam Snifferを使用することで、資産と情報のセキュリティを確保し、ユーザーが疑わしいフィッシングページを開くと、ツールがポップアップでリスクのヒントを表示し、リスク形成の第一歩を阻止することができる。人員のセキュリティ意識防衛の面では、ブロックチェーン・ダークフォレスト・セルフヘルプマニュアル（https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md)を読むことをお勧めする。この2つの防御戦略の相互作用によってのみ、私たちは刻々と変化しエスカレートするフィッシング攻撃手法に効果的に対抗し、資産のセキュリティを守ることができるのです。

詐欺

詐欺の手口は数多くありますが、第2四半期で最も一般的な詐欺の手口はPixiディスクです。伝説では、勇者は魔法の生き物とされ、あらゆるものを排泄することなく貪ることができると言われ、一度飲み込んだ金や宝石などの宝物は体から取り出すことができないという寓話がある。その結果、ピクシス・ディスクは、一度購入したらもう売ることができないデジタル通貨のメタファーとして使われている。

ある被害者はその体験をこう語っている。「テレグラムのグループで質問したら、ある人がいろいろ答えてくれて、いろいろ教えてくれた。個人的に2日間チャットした後、彼はかなりいい人だと思った。彼は新しいトークンを買うためにプライマリーマーケットに連れて行ってくれると言い、PancakeSwapのコインの契約アドレスを教えてくれた。私が購入した後、そのコインは急騰を続け、彼は半年に一度の絶好のチャンスだと言って、すぐにもっと投資するよう勧めてくれました。私は物事がそう単純ではないことを感じ、彼のアドバイスを取らなかった、彼は私を急いできた、私はだまされている可能性があることに気づいたラッシュ、私はチェックするのを助けるためにグループ内の他の人に尋ねた、結果は、これは確かにPixiのコインであることが判明し、私も唯一の購入は売却することはできませんしようとしました。詐欺師は、私がもはやポジションを追加しないことを発見したとき、彼はまた、黒私を引っ張った。"

この被害者の体験は、実際にPixiディスク詐欺の典型的なパターンを反映しています：

1.詐欺師は、罠を仕掛け、高収益を約束する餌をばらまくスマートコントラクトを展開する

2.詐欺師はターゲットにトークンを購入するよう誘惑しようとし、被害者は購入後にトークンが急速に値上がりするのを見ることが多いため、被害者は通常、トークンが十分に上昇するまで待ってから換金しようと決意するが、購入したトークンを売却できないことに気づく;

3.最後に。詐欺師は被害者が投資した資金を引き出す。

Q2フォームに記載されている勇敢なトークンは、すべてBSCで行われていることを言及する価値があります。コインはすべてBSCで行われており、下の画像ではPixiコインでの取引が多く、詐欺師もウォレットや取引所に保有するトークンを送り、多くの人が関与しているように錯覚させていることがわかります。

Pixiディスクは隠された性質を持っています。経験豊富な投資家でも、真実を見抜くのは難しいかもしれない。ミーム旋風が吹き荒れ、さまざまな "Tudouコイン "が市場に一定のインパクトを与えている昨今。PiPiディスクの価格が急速に上昇するにつれて、人々はしばしば衝動的に購入する傾向に従うと、 "Tudou熱 "のこの波を追いかけるために真実を知らない多くの市場参加者が、うっかりPiPiディスクの罠に足を踏み入れたが、購入し、もはやそれらを販売することはできません。

そのため、ミストトラックチームは、取引の前に、大多数のユーザーがピクシブトレイへの参加による資金への損害を避けるために、以下の対策を取ることを提案します：

• MistTrackを使用して問題のアドレスのリスクプロファイルをチェックするか、GoPlusのToken Security Detectionツールを使用してPixiコインを特定し、取引の意思決定を行う;

• Etherscanでコードのリスクをチェックする、

• 関連する仮想通貨について学び、自己予防の意識を高めるためにプロジェクトの当事者の背景を考慮する。高いリターンを提供する仮想通貨には注意が必要です。高いリターンは通常、高いリスクを意味するからです。

最後に

不幸にも暗号通貨を盗まれてしまった場合、私たちはケース評価のための無料のコミュニティ支援サービスを提供しています。カテゴリ分けのガイドライン（盗難資金/詐欺/恐喝）に従い、フォームを送信するだけです。同時に、提出されたハッカーのアドレスは、リスクコントロールのため、Slow Fog InMist Lab Threat Intelligence Partnership Networkと同期されます。(注：中国語のフォームは https://aml.slowmist.com/cn/recovery-funds.html に、英語のフォームは https://aml.slowmist.com/recovery-funds.html に送信されます）

SlowMistは暗号通貨アンチマネーロンダリング分野に長年携わっており、コンプライアンス、調査、監査をカバーする一連の完全かつ効率的なソリューションを開発し、健全な暗号通貨エコシステムの構築を支援するとともに、Web3業界、金融機関、規制当局、コンプライアンス部門に専門サービスを提供しています。MistTrackは、ウォレットアドレス分析、ファンド監視、追跡トレースを提供するコンプライアンスおよび調査プラットフォームであり、3億以上のアドレスラベル、1,000以上のアドレスエンティティ、50万以上の脅威インテリジェンスデータ、9,000万以上のリスクのあるアドレスを蓄積しており、これらすべてがデジタル資産のセキュリティを確保し、マネーロンダリング犯罪と戦うための強力な保護を提供します。