Contexte :

Les retours de notre partenaire imToken ont révélé un nouveau type d'escroquerie en cryptomonnaie. Cette escroquerie cible principalement les transactions physiques hors ligne utilisant l'USDT comme méthode de paiement. Elle implique la modification malveillante des liens de nœuds RPC Ethereum pour mener des activités frauduleuses.

Processus d'arnaque

L'équipe de sécurité Slowmist a analysé cette arnaque, et le processus malveillant de l'attaquant est le suivant :

Tout d'abord, l'escroc attire l'utilisateur cible à télécharger le portefeuille imToken officiel et gagne leur confiance en leur envoyant 1 USDT et une petite quantité d'ETH comme appât. Ensuite, l'escroc guide l'utilisateur pour rediriger l'adresse de son nœud RPC ETH vers le nœud de l'escroc (.https://rpc.tenderly.co/fork/34ce4192-e929-4e48-a02b-d96180f9f748).

Ce nœud a été modifié par l'escroc à l'aide de la fonction Fork de Tenderly, falsifiant le solde USDT de l'utilisateur pour donner l'impression que l'escroc a déjà déposé des fonds sur le portefeuille de l'utilisateur. En voyant le solde, l'utilisateur est amené à croire que le paiement a été reçu. Cependant, lorsque l'utilisateur essaie de transférer les frais de mineur pour encaisser les USDT de son compte, il réalise qu'il a été escroqué. À ce moment-là, l'escroc a déjà disparu.

En fait, en plus de la modification de l'affichage de solde, la fonction Fork de Tenderly peut même changer les informations du contrat, posant ainsi une plus grande menace pour les utilisateurs.

(https://docs.tenderly.co/forks)

Ici, nous devons aborder ce qu'est RPC. Pour interagir avec la blockchain, nous avons besoin d'une méthode appropriée pour accéder aux serveurs réseau via une interface standard. RPC sert de méthode de connexion et d'interaction, nous permettant d'accéder aux serveurs réseau et d'effectuer des opérations telles que consulter les soldes, créer des transactions ou interagir avec des contrats intelligents. En intégrant la fonctionnalité RPC, les utilisateurs peuvent exécuter des demandes et interagir avec la blockchain. Par exemple, lorsque les utilisateurs accèdent aux échanges décentralisés via des connexions de portefeuille (comme imToken), ils communiquent avec les serveurs de la blockchain via RPC. En général, tous les types de portefeuilles sont connectés par défaut à des nœuds sécurisés, et les utilisateurs n'ont pas besoin de faire d'ajustements. Cependant, si les utilisateurs font confiance négligemment à d'autres et lient leurs portefeuilles à des nœuds non fiables, les soldes affichés et les informations sur les transactions dans leurs portefeuilles peuvent être malicieusement modifiés, entraînant des pertes financières.

Analyse de MistTrack

Nous avons utilisé l'outil de suivi on-chain MistTrack pour analyser l'une des adresses de portefeuille de victime connues (0x9a7…Ce4). Nous pouvons voir que l'adresse de cette victime a reçu une petite quantité de 1 USDT et 0,002 ETH de l'adresse (0x4df…54b).

En examinant les fonds de l'adresse (0x4df…54b), nous avons constaté qu'elle a transféré 1 USDT à trois adresses différentes, ce qui indique que cette adresse a déjà été escroquée trois fois.

En remontant plus loin, cette adresse est associée à plusieurs plateformes de trading et a interagi avec des adresses marquées comme "Pig Butchering Scammer" par MistTrack.

Résumé

La nature rusée de cette arnaque réside dans l'exploitation des faiblesses psychologiques des utilisateurs. Les utilisateurs se concentrent souvent uniquement sur le fait que les fonds ont été crédités sur leurs portefeuilles, négligeant les risques sous-jacents potentiels. Les escrocs profitent de cette confiance et négligence en utilisant une série d'opérations en apparence authentiques, telles que le transfert de petites sommes, pour tromper les utilisateurs. Par conséquent, l'équipe de sécurité de Slowmist conseille à tous les utilisateurs de rester vigilants lors des transactions, de renforcer leur sensibilisation à l'autoprotection et d'éviter de faire confiance aveuglément aux autres pour éviter les pertes financières.

Avertissement：

1. Cet article est repris deTechnologie Slowmist, avec le titre original « Démêler une nouvelle arnaque : Modification malveillante des liens de nœuds RPC pour voler des actifs ». Les droits d'auteur appartiennent à l'auteur original [Lisa]. Si vous avez des objections à la réimpression, veuillez contacter leÉquipe d'apprentissage de Gate, qui traitera la question selon les procédures pertinentes.

2. Avertissement : Les points de vue et opinions exprimés dans cet article sont uniquement ceux de l'auteur et ne constituent en aucun cas des conseils en matière d'investissement.

3. D'autres versions linguistiques de cet article sont traduites par l'équipe Gate Learn et ne peuvent être copiées, diffusées ou plagiées sans mentionnerGate.