תיאור מקרה של ציד איומים - סיפור על בוטים וקרנות גנובות

קחו את כובעי הפופקורן וכובעי הבלשים שלכם, אנשים! היום, אנחנו צוללים לתוך סיפור מרתק של פרויקט ציד איומים שהתמודדנו עליו. אנחנו לא יכולים לשפוך את כל השעועית מטעמי פרטיות, אבל אנחנו מבטיחים שזוהי רכבת הרים אחת של סיפור. 

הונאת הדיוג 

הסיפור שלנו מתחיל בהודעה פשוטה המבטיחה למשתמשים במדיה החברתית מסלול מהיר למועדון מיליונרי הקריפטו. לאחר שהופצץ בסרטוני TikTok של מיליונרים קריפטו מתהדרים בלמבורגיני הנוצצים שלהם תוך שהם מטיפים כמה קל להתעשר מהר, המשתמש לא יכול היה שלא לחשוב, "עכשיו תורי!"

לאחר לחיצה על האתר וכניסה בהתרגשות, פתאום מופיעים על המסך כמעט 1.5 מיליון דולר. המשתמש נהיה המום מהסיכוי שיוכל סוף סוף לעזוב את עבודתו ולפרוש לחוף חולי איפשהו, ובלי לחשוב פעמיים, לוחץ על כפתור ה"משיכה".

אבל לא בלי צורך לאשר את ההעברה תחילה!

לאחר חתימת העסקה עם הארנק כדי לאשר את ההחלפה, לא היה שום סימן לכך שהארנק של המשתמש נפגע. נראה היה שהמשתמש באמת פשוט התעשר! הכל נראה בסדר, והחוזה בוצע ללא תקלות... אז, לא היה כל סיכון מעורב. ימין?

לא בדיוק…

לרוע המזל עבור המשתמש הזה, התוקפים הללו ערמומיים. הם מעצבים UI/UX תמימים שנראה בטוח לחלוטין. מאחורי החזית התמימה הזו, הם מרוקנים בשקט את כל ה-USDT שהקורבן אבא בתקווה להשקיע אותו ב-10,000X ה-Altcoin הבא.

אבל איך בדיוק הם מתזמרים את המבצע הערמומי הזה? המשך לקרוא כדי לגלות.

המשימה של סייפר

במרדף הפרוע הזה של פרויקט מחקר, היינו במשימה לפצח את קנה המידה של המבצע הזה, לרחרח את כל התחומים והכתובות הידועים שלהם, ולחשוף את האשמים מאחורי כל זה. במשך מספר חודשים פתרנו את רוב השאלות הראשוניות שלנו, בתוספת חבורה של דגדוג מוח מפתיע שאפילו לא חשבנו לשאול בהתחלה!

בואו נצלול ב ...

איך זה התחיל:

הגענו למסקנה שהאסטרטגיה הטובה ביותר היא לתקוף בכל החזיתות, אבל לפני שנמשיך, היינו צריכים לאסוף מידע נוסף. כדי לרכוש את המידע הדרוש, התחלנו בחקירת כל הלידים הזמינים שהיו לנו.

1. חשבון הטוויטר הזדוני
2. האתר הזדוני
3. החוזה החכם הזדוני

מה מצאנו:

בוטים בוטים בוטים

בהתחלה חשדנו שהחשבון הוא בוט. באמצעות חקירה נוספת, הצלחנו לאשר שהאינסטינקטים שלנו היו נכונים. לבוט היה מספר קטן של עוקבים והוא עקב רק אחרי כמה חשבונות. היא פרסמה כמה ציוצים שמקדמים הונאות ומשתמשים בתמונות כלליות ובטקסט שנוצר בינה מלאכותית. כדי לתת לנו כמה רמזים ולעזור למצוא דפים דומים, ניתחנו מקרוב את עמוד הטוויטר עבור תכונות ייחודיות. התחלנו בחיפוש אחר אימוג'ים ספציפיים בתיאור, מה שהוביל להרבה תוצאות לא רלוונטיות. בדיוק כשחשבנו שאנחנו מגיעים למבוי סתום, הייתה לנו פריצת דרך! רווח ברוחב אפס (ZWS) בין שני אימוג'ים הוכיח את עצמו כמרכיב מכריע בתהליך טביעת האצבע שלנו.

🚀🪙

עכשיו, לעין האנושית, אין כאן שום דבר יוצא דופן... עם זאת, בבדיקה מעמיקה יותר, יש ביניהם דמות נוספת, בלתי נראית. פרט קטן זה היה מכריע למחקר שלנו.

שיערנו שזו יכולה להיות תקלה בסקריפט של הבוט. בעקבות הגילוי הזה, זיהינו למעלה מ-300 בוטים שחולקים את אותו אופי מוזר, כל אחד מקדם מגוון של הונאות קריפטו ומקשר לאתרים שלהם. עם הרשימה הזו ביד, עברנו לחזית הבאה.

אתרים גרועים

בעקבות גילוי הבוט המוצלח שלנו, השלב הבא היה מחקר אתרי הונאה אלו. זה כלל סיור מקיף שהקיף ניתוח של תת-הדומיינים והתיקיות של השרת, איסוף מידע ממקורות פתוחים (OSINT), טביעת אצבע של שרת, שימוש במונחי חיפוש ספציפיים (dorks), גילוי מזהה של Google Analytics, בדיקות שקיפות תעודות ועוד. במהלך התהליך הזה, גילינו קצה אחורי מותאם אישית לאתר, שלא היה מקושר לאתר הרשמי.

עקבנו אחר פירורי הלחם, ובעזרת אחד ממטומטמי גוגל שלנו, גילינו שממשק הניהול הזה הוזכר בפוסט Pastebin כמה חודשים קודם לכן. פוסט זה הכיל רשימה של מאות אתרים דומים שהשתמשו באותו קצה אחורי.

למרבה המזל, אחד מהאתרים הללו העלה את מפות המקור שלו. זה נתן לנו גישה לקוד הקצה המלא, כולל הערות. מכאן, גילינו את השם האמיתי של פלטפורמת ההונאה! מאוחר יותר, גילינו שהקוד נמכר כמסגרת הונאת קריפטו ב-Darknet

הודות לניתוח היסודי שלנו, זיהינו את קבוצת פשעי הסייבר שבסיסה באסיה האחראית להונאה ושיתפנו מידע זה עם גורמי אכיפת החוק כדי להביאם לדין.

למרות שזיהוי העבריין היה הישג עצום, עדיין היינו צריכים להבין את השיטות שלהם. זה הוביל אותנו לשדר החקירה הבא: החוזה החכם.

חוזה חכם מסובך 

במהלך החקירה שלנו על החוזים החכמים שלהם, סקירה של העסקאות הזדוניות גילתה שהחוזה ביקש במרמה מהמשתמש "לאשר הכל", נותן לחוזה החכם אישור להסיר את כל הכספים מארנק המשתמש. לא הופתענו מכיוון שסוג זה של הונאה נפוץ בשל אופי הסיכון הגבוה של Dapps (תוכל לקרוא עוד על כך ב- יצירה נהדרת של הקולגות שלנו בזנגו).

אבל היינו צריכים לחפור עוד יותר לעומק כדי להבין איך זה נעשה, אז החלטנו לבצע הנדסה לאחור של החוזה. הניתוח שלנו חשף אופקוד מוזר שהופעל כאשר המשתמש ניסה למשוך כספים. החוזה בדק את המשתנה הגלובלי block.basefee, המיוצג על ידי קוד 0x48 EVM ב- EIP-3198. אם המשתנים הללו היו שווים ל-0, כל כספי החוזה היו מועברים לקורבן - בדיוק ההיפך מהונאה.

(הישארו מעודכנים להדרכה הקרובה שלנו על איך להנדס חוזים לאחור באמצעות ChatGPT).

המשכנו לחפור וגילינו שכלי סימולציית עסקה רבים מאפשרים למשתמשים לצפות בתצוגה מקדימה של התוצאה של עסקה מבלי לבצע אותה בפועל. כלים אלה הם בעיקר עטיפות ליישום צומת Ethereum של trace_call/debug_traceCall.

התוקף פיענח בהצלחה את היישום של trace_call ויצר קוד שמתנהג אחרת בסימולציה בהשוואה לחיים האמיתיים, מה שמבטיח שאין חשד מצד המשתמשים. המשמעות היא שבסביבה מדומה, נראה כאילו הנפגע מקבל כספים, בעוד שבמציאות לא מתרחשת עסקה.

סוג זה של תוכנות זדוניות נמצא רק לעתים רחוקות בטבע. למיטב ידיעתנו, זה מייצג את המופע הראשון של תוכנות זדוניות מבוססות EVM נגד VM.

סיכום

לסיכום, פרויקט ציד איומים זה מדגיש את החשיבות של מחקר מקיף ורב-גוני באיתור והבנת הונאות קריפטו. נעשה שימוש במספר עצום של טכניקות, החל מטביעת אצבע של בוט וסיור אתרים וכלה בניתוח חוזים חכם. טכניקות אלו הדגימו כיצד ניתוח מעמיק יכול לחשוף את האופי האמיתי של המבצע, לספק תובנות לגבי המניעים שלה, ואפילו לזהות את המבצעים.

יתר על כן, מחקר מקרה זה מדגיש את הצורך בערנות ובזהירות בעסקאות מקוונות, במיוחד במטבעות קריפטוגרפיים. במקרה זה, התוקפים יצרו בהצלחה UI/UX משכנע, תוך שימת דגש על הצורך ליידע את המשתמשים על הונאות דיוג ואת החשיבות של אימות האותנטיות של אתרים ועסקאות. פעולה זו יכולה להפחית את הסיכון לגניבת כספים ולטפח סביבה מקוונת בטוחה ומאובטחת יותר.

הסוף.