SlowMist, в сътрудничество с imToken, разкри нова порода измама с криптовалута, която е насочена към потребителите във физически офлайн транзакции, използвайки USDT като начин на плащане.
Тази измамна схема работи чрез подправяне на извикванията на отдалечени процедури (RPC) на Ethereum възел, за да измами нищо неподозиращите жертви.
Стратегия на измамника
Първоначално измамникът убеждава целта да изтегли легитимния портфейл imToken и насърчава доверието, като прехвърля 1 USDT и малко количество ETH като примамка.
Впоследствие измамникът инструктира потребителя да пренасочи своя ETH RPC URL към възел, контролиран от първия, по-специално използвайки модифицирания възел. Чрез тази манипулация лошият актьор след това фалшифицира USDT баланса на потребителя, за да изглежда, че средствата са депозирани.
Въпреки това, когато потребителят се опита да прехвърли USDT, той открива, че вече е бил измамен. Но дотогава измамникът е изчезнал безследно, според констатациите на SlowMist.
Фирмата за сигурност на блокчейн разкри също, че функцията Fork на Tenderly не само може да променя баланси, но също така и информация за договори, като по този начин представлява още по-сериозна заплаха за потребителите.
Като такова, разбирането на RPC е от решаващо значение за разбирането на механизма на подобни измами, отбелязва SlowMist. RPC служи като среда за взаимодействие с блокчейн мрежи, позволявайки на потребителите да извършват различни действия като проверка на баланси и създаване на транзакции. Обикновено портфейлите се свързват със защитени възли по подразбиране, но свързването с ненадеждни възли може да доведе до злонамерени модификации, водещи до финансови загуби.
Подозрителен адрес, маркиран за измама с клане на прасета
Допълнителен анализ от MistTrack разкри дълбочината на операциите на измамата. Разследването на известния адрес на портфейла на жертва (0x9a7…Ce4) показва, че те са получили 1 USDT и 0.002 ETH от друг адрес (0x4df…54b).
Този адрес от своя страна е прехвърлил 1 USDT на множество адреси, което показва повтарящи се измамни дейности. Тези адреси са маркирани като „Измамници за клане на прасета“ от MistTrack и са свързани с различни платформи за търговия и са замесени в множество инциденти с измами.
ОГРАНИЧЕНА ОФЕРТА 2024 за читатели на CryptoPotato в Bybit: Използвайте тази връзка, за да се регистрирате и да отворите $500 BTC-USDT позиция на Bybit Exchange безплатно!
Източник: https://cryptopotato.com/slowmist-exposes-scam-using-malicious-rpc-node-modifications/