2024年對於Web3零售投資者而言,是一個充滿危機的一年。詐騙與駭客攻擊猖獗,導致投資者損失高達 58.4 億美元,成為市場繁榮背後的隱患。本文源自 NEFTURE SECURITY 所著文章,由 白話區塊鏈 整理、編譯。
(前情提要: 全球網路普及率最低》北韓駭客Lazarus為何這麼強?屢破各大企業安全網,拉薩路成金正恩賺錢機器發展核武)
(背景補充: CyberCapital 創辦人:Pi Network 是徹頭徹尾騙局有七大缺陷,激化的矛盾到底該如何解?)
2024 年對於 Web3 零售投資者來說真是殘酷的一年。太多的投資者被詐騙者和駭客洗劫一空。
雖然正如之前報導的那樣,獲取零售投資者損失資金的精確資料是一項極其困難的任務,但犯罪報告顯示,至少有 58.4 億美元從他們的錢包中被抹去。其中,至少 40 億美元因「殺豬盤」騙局而損失,超過 10 億美元因釣魚詐騙 (包括錢包竊取和地址投毒) 而損失,4.44 億美元則歸因於退出騙局。
必須指出,2024 年的加密貨幣市場狀況確實為這些詐騙者提供了巨大機會。
從 2023 年底開始的牛市,到 2024 年 3 月 14 日比特幣達到新的歷史高點 73,738 美元時達到頂峰,吸引了大量流動性,不僅來自經驗豐富的加密貨幣愛好者,還包括一大群急切的零售新投資者。2024 年被認為是比特幣突破 10 萬美元大關的一年 (它確實做到了!),再加上迷因幣超級週期的爆炸性活動,將 2023 年的加密貨幣市場「鬼城」變成了一個充滿交易活力的繁榮中心!
來源:Dune
許多新手對加密貨幣的險惡水域一無所知,這使他們極其脆弱,成為詐騙者的理想目標。而經驗豐富的交易者,在經歷了漫長而痛苦的熊市後,同樣甚至更容易受到 FOMO (害怕錯過) 的誘惑,這為詐騙者創造了完美的環境來掠奪零售投資者。
令人震驚的是,除去「殺豬盤」,2024 年排名前五的欺詐專案造成了驚人的 6.11 億美元損失。
以下是 2024 年最成功的加密貨幣騙局!
一、2.43 億美元被盜:迄今為止最大的社交工程釣魚搶劫案 —— 年度第二大搶劫案
2024 年最令人瞠目結舌的加密貨幣騙局是一次簡單的社交工程釣魚攻擊,以其驚人金額位列年度第二大財務破壞性犯罪,僅次於朝鮮威脅集團對 DMM Bitcoin 私鑰的 3.08 億美元攻擊。
目前,這似乎也是單個個體在單次加密釣魚攻擊中損失的最大金額。
2024 年 8 月 19 日,加密偵探 ZachXBT 在 Twitter 上披露,他發現了一筆可疑的 2.38 億美元轉帳,資金通過多箇中心化交易平臺 (CEX) 進行洗錢和套現。很快,關於受害者身份的傳言四起 —— 是個人、對衝基金還是交易平臺?這次搶劫是如何實施的:通過私鑰漏洞、釣魚還是兩者兼有?
很長一段時間裡,案件細節鮮為人知,除了 ZachXBT 的兩次更新,報告了 Firn Protocol 和 NonKYC 成功凍結了約 50 萬美元的被盜資金 —— 這不過是杯水車薪。
一個月後,也就是在 2.38 億美元攻擊發生整整一個月後,ZachXBT 再次在 Twitter 上揭示了事件的完整故事。
ZachXBT 的調查地圖 —— 來源:ZachXBT
這次搶劫是一次「高度複雜的社交工程攻擊」,即針對單一個人的釣魚騙局。受害者是已破產的加密交易公司 Genesis 的債權人。
攻擊當天,他接到一個偽裝成 Google 支援的欺詐電話,騙子以此入侵了他的個人帳戶。根據 ZachXBT 的調查,隨後受害者再次接到電話,這次騙子冒充 Gemini 支援,聲稱他的 Gemini 帳戶已被駭客入侵,並指示他重置雙重身份驗證 (2FA) 並從 Gemini 帳戶轉移資金。
在多次勸說後,受害者使用 AnyDesk 共享了他的螢幕,使騙子得以訪問並洩露他 Bitcoin Core 的私鑰。
攻擊者成功竊取了 2.43 億美元,並立即試圖將資金分散到多個錢包,然後轉移到超過 15 個交易平臺。根據 ZachXBT 的研究,盜竊的資產在比特幣、萊特幣、以太坊和門羅幣之間迅速轉換,以掩蓋蹤跡。
ZachXBT 的初步漏洞追蹤 —— 來源:ZachXBT
不幸的是對他們來說,幸運的是對受害者來說,他們在攻擊和逃跑過程中都不夠謹慎。這種疏忽讓 ZachXBT 得以將釣魚攻擊追溯到三名主要犯罪嫌疑人及其同夥。
ZachXBT 建立的嫌疑人名單 —— 來源:ZachXBT
他們犯下的眾多錯誤之一是在螢幕共享時向受害者透露了其中兩人的名字。
來源:ZachXBT Twitter
其他錯誤與他們的洗錢技術有關。儘管攻擊者將大部分被盜資金轉換為門羅幣,但 ZachXBT 發現,其中兩人因重複使用存款地址而意外混合了被盜資金和乾淨資金。一名攻擊者在共享螢幕時還暴露了一個用來購買名牌服裝的地址,該地址與數百萬美元的被盜資金有關。
來源:ZachXBT Twitter
他們中的大多數人在社交媒體上留下了足夠的痕跡 —— 或者他們的前任留下了痕跡 —— 最終在 ZachXBT 的調查中暴露了完整身份。ZachXBT 與 BN 安全團隊、Zero Shadow 和 CryptoForensic Investigators 合作,進一步凍結了 900 萬美元。
在 ZachXBT 釋出調查結果的前一天,Box (Jeandiel Serrano,21 歲) 和 Greavys (Malone Lam,20 歲 ) 被 FBI 逮捕,並於 9 月 19 日被起訴。
Malone Lam —— 來源:ZachXBT
通過社交工程實施的釣魚攻擊一直是許多高收益加密搶劫的核心,其中一次極為複雜的攻擊幾乎成功從單一個人手中竊取 1.25 億美元。
二、2024 年 11 月 1.29 億美元地址投毒攻擊
2024 年 11 月 20 日,一名受害者決定從地址 TGrS7QNCf85X2B6ddvGZY2MF9VwvFn6XAE 向 TMStAjRQHDZ8b3dyXPjBv9CNR3ce6q1bu8 轉出約 1.297 億美元。
他們首先發送了 100 USDT 作為測試轉帳到地址 TMStaj…6q1bu8。交易成功完成後,受害者幾乎立即決定轉移全部 1.297 億美元。
他們不知道的是,在測試交易之後,騙子通過一個偽裝成測試地址的地址向其錢包「撒塵」(傳送了 1 USDT)。當受害者複製貼上目標地址時,他們無意中選擇了這個偽裝地址。這個偽裝地址甚至偽造得很粗糙,只有最後 6 位數位匹配,而前半部分完全不同,以 THcTxQ 開頭,而非 TMStaj。
來源:Certik
幸運的是,地址投毒者在 1 小時內歸還了 1.167 億美元,4 小時後又歸還了剩餘的 1297 萬美元。
兩次轉帳和第二次轉帳的金額 (1297 萬美元) 似乎表明,攻擊者最初考慮拿走 10% 的「漏洞賞金」,但後來改變了主意。
來源:SlowMist via ScamSniffer
他們歸還全部資金的最可能原因是恐懼 —— 害怕被擁有資源的受害者、區塊鏈取證社群和執法機構追蹤,尤其是考慮到被盜金額之巨,這會讓他們成為巨大的目標。
三、Crypto4winners:1 億美元龐氏騙局
2024 年 3 月 9 日,投資公司 Crypto4winners (承諾每月 3-20% 的回報) 宣佈,他們遭遇了一次漏洞攻擊。
來源:Crypto4winners Telegram 頻道
由於這次「漏洞」,Crypto4winners 聲稱在問題解決前無法處理資金提取。
問題在於,早在兩個月前,加密報紙 DL News 就披露,Crypto4winners 的共同所有人之一是 Luc Schiltz,一位盧森堡人,曾在 2017 年因詐騙超過 150 萬美元被判六年監禁,僅服刑兩年。出獄後不久,他共同創立了 Crypto4winners 專案。
因此,當「駭客攻擊」被宣佈時,懷疑立即升起。在最初的公告後,Crypto4winners 完全沉默。到了 3 月 12 日或更早,其客戶聯絡了律師和警方。
隨後幾天,Crypto4winners 被揭露具有龐氏騙局的所有特徵,造成了數千名受害者,至少損失 1 億美元。
根據 DL News,Luc Schiltz 是 Crypto4winners 的共同創辦人,但他一直隱藏自己的參與。其公開的 CEO 和創辦人是另一位盧森堡人 Adrien Castellani,但實際上,Castellani 只是與 Luc Schiltz 共同創立了該公司。
來源:Virgule
儘管多年來關於 Luc Schiltz 參與 Crypto4winners 的問題不斷,他從未承認其為共同創辦人或合夥人,僅將其稱為顧問。2023 年,他承諾到年底與 Crypto4winners 完全切割關係,顯然並未兌現。
來源:DL News
謊言層出不窮。
例如他們承諾的瘋狂回報。他們甚至聲稱自 2019 年以來客戶比特幣存款實現了 377% 的回報,以及每月平均 7% 至 20% 的回報,無論加密市場漲跌,這是典型的加密龐氏騙局特徵。
他們還聲稱與 Chainalysis 和 Ledger 合作,導致這兩家公司在 2022 年公開否認這些說法。
Crypto4winners 在瑞典註冊成立。2023 年,瑞典公司登記處要求其提交 2021 和 2022 年的年度報告時,他們聲稱作為信託管理公司無需提交,這是虛假的。即使面臨清算或被宣佈無效的風險,截止日期到來時他們仍未提交報告。
還發現,Crypto4winners 表面上是盧森堡 – 瑞典實體,實際上是通過迪拜、立陶宛、愛爾蘭、瑞典和盧森堡構成的複雜結構。
更糟的是,Crypto4winners 實際上是一家空殼公司;投資者的資金全部被轉移到一家名為 Big Wave Developments Limited 的愛爾蘭公司。
根據盧森堡報紙 Virgule,在估計的 1 億美元客戶資金中,Big Wave Developments Limited 帳戶中僅剩不到 20 萬美元。
這整個案件最令人瞠目結舌的是其解體的原因:一場非常奇怪的車禍,據稱導致 Luc Schiltz 失憶。
3 月 5 日黎明前,Luc Schiltz 撞上了路邊護欄,車衝上斜坡。據盧森堡警方稱,他在這場事故中未受任何傷,但隨後出於未知原因走上了高速公路,被一輛公交車撞倒。
他未受致命傷,被送往骨科住院治療。
然而,他聲稱事故導致他失憶。問題在於,Luc Schiltz 完全控制客戶資金;這意味著他無法再訪問加密貨幣錢包和交易平臺帳戶中的資金。
值得注意的是,根據 Virgule 的調查和事故後幾天探訪 Luc Schiltz 的人所述,他的失憶令人懷疑。
一位化名為 Mario 的 Adrien Castellani 的朋友向 Virgule 回憶:
「他最初假裝失憶,然後告訴我們他會從父母那裡拿回 USB 金鑰,一切將恢復正常……」(譯自法語)
就在那天,Mario 發現了 Crypto4winners 和 Big Wave Developments Limited 的空殼性質。後來在 3 月 12 日與 Shiltz 的通話中,Mario 詢問 Big Wave Developments Limited 帳戶中僅剩的 20 萬美元,Shiltz 安慰他說這是正常的,因為這只是熱錢包中的資金。
儘管聲稱失憶,Luc Shiltz 似乎完全清楚自己的身份和公司運作方式。那麼,他究竟忘了什麼以至於無法訪問資金?顯然不是種子短語;在加密歷史上,一個人僅靠記憶管理 1 億美元幾乎聞所未聞。
他自己曾說,一切都在他父母那裡,並保證很快會恢復正常。那麼,問題出在哪裡?
希望這一事件及其引發的所有疑問能在法庭上揭曉答案。
3 月 15 日,盧森堡公共檢察官辦公室宣佈對 Crypto4winners 展開欺詐和洗錢指控的調查,兩名個人已被拘留並被起訴。
其中一人被認為是 Luc Shiltz。
來源:TrustPilot
四、2024 年 5 月 7200 萬美元地址投毒攻擊
2024 年 5 月 3 日,一人成為地址投毒攻擊的受害者,這次攻擊成為當時歷史上最大的地址投毒搶劫案,受害者向惡意地址轉移了 1155 個包裝比特幣,損失 7270 萬美元。
事情的經過可以歸結為極端的壞運氣。受害者首先成功向合法地址 (以 0xd9A1b 開頭) 完成了一筆 149 美元的測試轉帳。之後,他們錯誤地複製貼上了一個偽造的地址 —— 一個模仿 0xd9A1b 的投毒地址。
地址投毒分解 —— 來源:Chainalysis
受害者試圖通過談判以 10% 的「漏洞賞金」換回資金,但未能成功。攻擊者被貪婪矇蔽,認為自己能全身而退 —— 他們大錯特錯了。
受害者發給攻擊者的訊息 —— 來源:Chainalysis
整個區塊鏈安全社群都投入了調查,很快傳出攻擊者歸還資金的訊息,去掉留作「漏洞賞金」的 720 萬美元。5 月 10 日,攻擊者歸還了幾乎所有被盜資金,由於 Token 升值,他們僅帶走了 300 萬美元。
兩週後發現,資金迅速歸還並非攻擊者良心發現,而是因為儘管他們盡力掩蓋蹤跡,他們的「裝置指紋」暴露了部分身份,據 Match Systems 執行長 Andrey Kutin 報告。
五、Epoch Times 財務長 6700 萬美元加密騙局與洗錢搶劫
2024 年 6 月,Epoch Times 的財務長 Bill Guan 因涉及大規模加密騙局被捕。
美國司法部 (DOJ) 指控 Guan 共謀洗錢至少 6700 萬美元的欺詐所得資金,包括通過失業保險欺詐獲得的收益。據稱,該計劃涉及使用加密貨幣以折扣價購買非法資金,然後通過包括 Epoch Times 帳戶在內的多個帳戶進行轉移,以隱藏資金來源。
當銀行報告其收入在一年內從 1500 萬美元激增 410% 至超過 6200 萬美元時,這一加密騙局暴露。
司法部的起訴書強調,這些指控與 Epoch Times 的新聞活動無關。Guan 面臨包括共謀洗錢和銀行欺詐在內的嚴重指控,可能面臨最高 80 年監禁。
六、小結
2024 年,Web3 領域對於零售投資者而言是充滿危機的一年。詐騙與駭客活動猖獗,導致投資者損失高達 58.4 億美元,其中「殺豬盤」、釣魚詐騙和退出騙局是主要的犯罪形式。從比特幣的牛市到迷因幣的超級週期,市場的繁榮吸引了大量新手和經驗豐富的投資者,卻也讓他們成為詐騙者的理想目標。儘管如此,仍有一些積極的訊號,如部分被盜資金被追回,以及相關執法機構和區塊鏈安全社群對犯罪行為的嚴厲打擊和追蹤。
然而,這些事件也提醒我們,加密貨幣市場的風險無處不在,投資者在追求高收益的同時,必須提高警惕,加強安全意識,謹慎對待每一個投資決策,以避免成為下一個受害者。
📍相關報導📍
微軟警告新惡意木馬程式:鎖定攻擊OKX、Metamask等20種主流Web3錢包
