Descifrando una Nueva Estafa: Modificación Maliciosa de Enlaces de Nodo RPC para Robar Activos

Antecedentes：

La retroalimentación de nuestro socio imToken ha revelado un nuevo tipo de estafa de criptomonedas. Esta estafa se dirige principalmente a transacciones físicas offline utilizando USDT como método de pago. Implica la modificación maliciosa de los enlaces de nodos de Ethereum Remote Procedure Call (RPC) para llevar a cabo actividades fraudulentas.

Proceso de Estafa

El equipo de seguridad de Slowmist ha analizado esta estafa, y el proceso malicioso del atacante es el siguiente:

Primero, el estafador atrae al usuario objetivo a descargar la billetera oficial de imToken y gana su confianza enviándoles 1 USDT y una pequeña cantidad de ETH como cebo. Luego, el estafador guía al usuario para redirigir la dirección del nodo RPC de ETH al nodo del estafadorhttps://rpc.tenderly.co/fork/34ce4192-e929-4e48-a02b-d96180f9f748).

Este nodo ha sido modificado por el estafador utilizando la función de bifurcación de Tenderly, falsificando el saldo USDT del usuario para que parezca como si el estafador ya hubiera depositado fondos en la billetera del usuario. Al ver el saldo, el usuario cree que el pago ha sido recibido. Sin embargo, cuando el usuario intenta transferir las tarifas de mineros para retirar el USDT de su cuenta, se da cuenta de que ha sido estafado. Para entonces, el estafador ya ha desaparecido.

De hecho, además de modificarse la pantalla de saldo, la función de Fork de Tenderly incluso puede cambiar la información del contrato, lo que supone una mayor amenaza para los usuarios.

(https://docs.tenderly.co/forks)

Aquí, necesitamos abordar qué es RPC. Para interactuar con la cadena de bloques, requerimos un método adecuado para acceder a los servidores de red a través de una interfaz estándar. RPC sirve como un método de conexión e interacción, lo que nos permite acceder a los servidores de red y realizar operaciones como ver saldos, crear transacciones o interactuar con contratos inteligentes. Al incrustar la funcionalidad de RPC, los usuarios pueden ejecutar solicitudes e interactuar con la cadena de bloques. Por ejemplo, cuando los usuarios acceden a intercambios descentralizados a través de conexiones de billetera (como imToken), están comunicándose con los servidores de la cadena de bloques a través de RPC. En general, todos los tipos de billeteras están conectados a nodos seguros de forma predeterminada, y los usuarios no necesitan realizar ningún ajuste. Sin embargo, si los usuarios confían descuidadamente en otros y vinculan sus billeteras a nodos no confiables, los saldos mostrados y la información de transacciones en sus billeteras pueden ser modificados maliciosamente, lo que conllevaría a pérdidas financieras.

Análisis de MistTrack

Utilizamos la herramienta de seguimiento en cadena MistTrack para analizar una de las direcciones de billetera de víctimas conocidas (0x9a7…Ce4). Podemos ver que esta dirección de la víctima recibió una pequeña cantidad de 1 USDT y 0.002 ETH de la dirección (0x4df…54b).

Al examinar los fondos de la dirección (0x4df…54b), descubrimos que ha transferido 1 USDT a tres direcciones diferentes, lo que indica que esta dirección ya ha sido estafada tres veces.

Siguiendo más arriba, esta dirección está asociada con múltiples plataformas de trading y ha interactuado con direcciones marcadas como "Estafador de Desollado de Cerdo" por MistTrack.

Resumen

La naturaleza astuta de esta estafa radica en explotar las debilidades psicológicas de los usuarios. A menudo, los usuarios se centran únicamente en si los fondos se han acreditado en sus billeteras, pasando por alto los posibles riesgos subyacentes. Los estafadores aprovechan esta confianza y negligencia empleando una serie de operaciones aparentemente genuinas, como transferir pequeñas cantidades, para engañar a los usuarios. Por lo tanto, el equipo de seguridad de Slowmist recomienda a todos los usuarios mantenerse vigilantes durante las transacciones, mejorar la conciencia de autoprotección y evitar confiar ciegamente en otros para prevenir pérdidas financieras.

Descargo de responsabilidad：

1. Este artículo ha sido reimpreso deTecnología Slowmist, con el título original 'Descifrando una Nueva Estafa: Modificación Maliciosa de Enlaces de Nodo RPC para Robar Activos'. Los derechos de autor pertenecen al autor original [Lisa]. Si hay objeciones a la reimpresión, por favor contacta alEquipo de Aprendizaje de Gate, quien se encargará del asunto de acuerdo con los procedimientos pertinentes.

2. Descargo de responsabilidad: Las opiniones expresadas en este artículo son únicamente del autor y no constituyen ningún consejo de inversión.

3. Otras versiones de este artículo en otros idiomas son traducidas por el equipo de Gate Learn y no pueden ser copiadas, difundidas o plagiadas sin mencionar.Gate.io.