2022 年 5 月,駭客對知名加密藝術家 Beeple 的社交媒體發起攻擊,並用網路釣魚詐騙手法獲得了價值超過 45 萬美元的加密貨幣,希望給 NFT 領域裡的人一個提醒:如果天上真的掉了餡餅,自己最好先想一想,是不是真的有這麼難以置信的好事?本文源自 ZachXBT 的 Twitter 自述經過,由 PANews 編譯、整理。
(前情提要:Beeple推特遭駭、發假 LV NFT 抽獎!駭客詐走 43.8 萬鎂,含MAYC、Otherdeeds… )
(背景補充:NFT釣魚網站實例》內藏惡意合約,簽署就遭駭客「零元購買轉走!」 )
先提 Beeple 是世界上最著名的 NFT 藝術家之一,他創作的數位作品《每一天:前5000天》以近 7 千萬美元價格成交,這一成交價不僅創造在世藝術家作品拍賣第三高價,還刷新了加密藝術品的拍賣紀錄。
5 月,Beeple 的推特帳戶發布了一條關於他即將與奢侈品牌 LV 合作的公告,還附帶了一個網站連結。這條推文告訴 Beeple 旗下約 70 萬粉絲,他將進行一次抽獎,但需要 1 ETH 的入場費。值得注意的是,推文中還表示,如果參與者未能選中抽獎資格,所繳納的 1 ETH 費用將被退還。
但問題是,這條推文並不是Beeple本人發布的,而是一次精心設計的駭客攻擊。由於詐騙者設法控制了 Beeple 的推特帳戶,那個連結其實是一個網路釣魚網站。雖然幾小時後 Beeple 重新取回了他的帳戶,但不幸的是,在那段時間內,225 ETH(價值超過45萬美元)被盜。
不過,最近「鏈上偵探」 ZachXBT 通過分析鏈上數據找到了這些駭客和詐騙者,而且確定了三個被認為需要對此次駭客攻擊負責的人,下面就讓我們來看看 ZachXBT 是如何調查此次事件並找到相關資金去向的吧。
找出攻擊加密藝術家 Beeple 的幕後黑手
5 月 22 日,Beeple 的推特帳戶遭到入侵,攻擊者發布了指向兩個不同的釣魚網站連結,最終導致受害者損失了225 ETH,約合 45 萬美元。
Beeple 的推特帳戶是如何被盜的呢?實際上,此前就曾提到過 Cam Redman(SIM交換器)可以將推特面板訪問權限出售給詐騙者,這使得他們可以在不受帳戶所有者安全權限約束的情況下訪問某些人的推特帳戶。好在 Beeple 在攻擊發生數小時後恢復了自己的帳戶,但此時詐騙者已經將盜取的資金轉移到了 Tornado Cash,那麼現在,這些錢都去哪兒了呢?
鏈上數據顯示,UTC 時間 5 月 22 日下午 7:20,攻擊者向 Tornado Cash 發送了 3 筆 10 ETH 的交易和 6 筆 1 ETH 的交易,總計 36 ETH;大約兩小時後,地址 0x664B589a3042F55222Bb5981d47Ca6a1eD4745F4 從 Tornado Cash 中提取了這些 ETH 並將其發送到了 FixedFloat。
UTC 時間 5 月 22 日下午 4:17,攻擊者從地址 0x2Fc55F49783Caf72628eb3fe0380671ed9A57684 向 Tornado Cash 發送了 1 筆 100 ETH、6 筆 10 ETH、以及 3 筆 1 ETH 的交易,總計 163 ETH。幾分鐘後, 0x2Fc55F49783Caf72628eb3fe0380671ed9A57684 便從 Tornado Cash 提取了這些 ETH。
有趣的是,那個 0x2fc 開頭的地址屬於一個名為「Two1/Youssef」的騙子。那麼,我們又是怎麼知道的呢?首先,之前提到的那個「0xcad」開頭的地址中存入的資金來自於此前他們攻擊 Yuga Labs 元宇宙項目 Otherside 的 Discord 社群(這個事件此前有過分析)。
我們還發現了「0x2Fc」開頭的地址與「Two1/Youssef」騙子相關的另一個線索:在從 Tornado Cash 收到 Beeple 粉絲提供資金之後,這個騙子在 6 月份把錢轉移到了一個「0x5bC」開頭的地址:0x5bC1792E002447eAf18Dd3e7cf231B01299f6d8a,而這個地址就是「Two1/Youssef」之前攻擊 Otherside 的 Discord 社群使用的地址。
7月初,「Two1/Youssef」開始將盜竊的 ETH 發送到 richyindividual.eth,然後又將其全部存入 Tornado Cash。與之前操作行為一致,Two1/Youssef」把 ETH 放在 Tornado Cash 中的時間只有大約 2 小時,然後將其全部提取出並轉移到了另一個地址:0x2FA030d5a64FDA8e69048a2A6DB4C534889E3BA2。
接下來,駭客又將竊取到的 225 枚 ETH 中的 152 枚 ETH 轉移到「0xE84」開頭地址:0xE84D4E6451119f49F24f13cAf13FBda331C2245f,隨後 Etherscan 將該地址標記為「網路釣魚地址」。
UTC 時間 5 月 23 日凌晨 3:27,攻擊者開始從「0x5c25」開頭的地址向 Tornado Cash 發送了 2 筆 10 ETH 和 5筆 1 ETH 的交易,總計 25 ETH。這筆存款交易完成後僅僅幾分鐘,攻擊者就從 Tornado Cash 將這些 ETH 取出並轉移到了「0x702」開頭的地址:0x702De97D9030B83ce04CD3BC5509CBeAd42Ec41d。
如果你仔細分析觀察下面這張圖就會發現,「0x5c25」開頭其實從 Tornado Cash 提取了 6 ETH,那麼多出的 1 ETH 又是從哪裡來的呢?實際上,駭客在攻擊 Beeple 的同時還攻擊了Webaverse Discord 社群並獲得了額外的非法所得 1 ETH,他們將這些 ETH 都轉移到了「0x702」開頭的地址。
最後,所有通過 Beeple 釣魚攻擊所得的 25 ETH 都從「0x702」開頭的地址轉移到了當前所在的「0xf20」開頭的地址:0xf2000037a148ea53d3f9c24f3b8607c847b60091。
實際上,還有另一個駭客參與了本次釣魚攻擊,這個人是 @bandage(又被稱為ShinePranked或Shayan),這個駭客也非法獲得了一定比例ETH,但在相關資訊被披露之後,這個人似乎將帳戶給註銷了。
在發布了預覽 Tweet Lockvert (Lock) 之後,又有一個網路釣魚詐騙者(可能是「Two1/Youssef」和「@bandage」的朋友)給我發了私信詢問此事的詳細資訊。
最後簡單總結一下,Cam Redman(SIM交換器)向兩個駭客「Two1/Youssef」和「@bandage」出售了推特面板訪問權限,讓他們可以破解 Beeple 的推特帳戶。實施釣魚攻擊之後,這兩個駭客將所盜資金存入到 Tornado Cash,但又立刻將相關資金取出,結果很容易就被追蹤到。
截至目前,Beeple被盜的163枚ETH中,有17枚放在了地址:0xE84D4E6451119f49F24f13cAf13FBda331C2245f;25 Eth放在了地址:0xf2000037a148ea53d3f9c24f3b8607c847b60091,其餘資金則通過 FixedFloat 轉移了。
接下來該怎麼辦?
如上文所述,ZachXBT報告並公佈了參與Beeple釣魚攻擊的駭客帳戶,有些地址已經被標記為「網路釣魚地址」並附有相關警告說明。如果有足夠的證據,受駭客攻擊影響的人可以提出法律索賠,畢竟ZachXBT已通過別名識別出了攻擊者。
毫無疑問,每個人在處理加密交易時都需要非常謹慎,最後,還是希望給NFT領域裡的人一個提醒:如果天上真的掉了餡餅,自己最好先想一想,是不是真的有這麼難以置信的好事?
📍相關報導📍
Defi、NFT投資者必學工具》瀏覽器擴充 Revoke — 撤銷可疑合約授權、釣魚網站警示