TokenPocket 钱包二维码盗 usdt 安全事件分析[含附件]
TokenPocket 钱包二维码盗 usdt 安全事件分析[含附件]
一、事件概要昨日,随着微博大v @夏雪宜BTC 的曝光,一种币圈新型骗局进入大家的视线,一时间币圈人人自危:大概是:只要你通过二维码给骗子转过一次 usdt,之后你账户的 usdt 就会被骗子转光。看起来非常正常的二维码交易,为什么骗子在转账一次之后就能控制用户的钱包呢?下面对犯罪手法做简要分析。二、过程分析扫描这个二维码:会访问以下链接:https://h
一、事件概要
昨日,随着微博大v @夏雪宜BTC 的曝光,一种币圈新型骗局进入大家的视线,一时间币圈人人自危:
大概是:只要你通过二维码给骗子转过一次 usdt,之后你账户的 usdt 就会被骗子转光。看起来非常正常的二维码交易,为什么骗子在转账一次之后就能控制用户的钱包呢?
下面对犯罪手法做简要分析。
二、过程分析
扫描这个二维码:
![TokenPocket 钱包二维码盗 usdt 安全事件分析[含附件] USDT 安全文摘 第1张](https://ask.qcloudimg.com/http-save/yehe-2638143/9adaab6557a94a02436e3f3b5fbefb55.jpeg)
会访问以下链接:
https://huobi4.gzimtoken.com/trc20.html?s=axu4&addr=TXpSZHhde2UsqQLZMsh14DeKaS1fdRrTuL
点开之后是这样的:
![TokenPocket 钱包二维码盗 usdt 安全事件分析[含附件] USDT 安全文摘 第2张](https://ask.qcloudimg.com/http-save/yehe-2638143/fbe323831adb1a90d783d9111cceb812.jpeg)
使用 TokenPocket 钱包扫码,尝试转账,注意一定是波场链,下图注意左上角:
![TokenPocket 钱包二维码盗 usdt 安全事件分析[含附件] USDT 安全文摘 第3张](https://ask.qcloudimg.com/http-save/yehe-2638143/06ed597ad622fe245c6d77ff7a342b0b.jpeg)
会发现过程中会有如下请求。请注意方法:approve!
![TokenPocket 钱包二维码盗 usdt 安全事件分析[含附件] USDT 安全文摘 第4张](https://ask.qcloudimg.com/http-save/yehe-2638143/052b7bf6d4cb4bc244c3dc46c5f16765.jpeg)
或者使用 tronlonk 查看:
![TokenPocket 钱包二维码盗 usdt 安全事件分析[含附件] USDT 安全文摘 第5张](https://ask.qcloudimg.com/http-save/yehe-2638143/95aa0aa81c5bbbf6bc01291ce0fc0679.jpeg)
这个合约的形式是 approve,上面这个图的意思是请求批准转账 90000000 usdt!
而此处的请求签名本应该是授权,而 Tronscan 把授权识别成了转账。
现在大家应该明白如果点了接收的后果,approve 授权你就把自己的 usdt 钱包授权给了攻击者的地址,90000000 之内的 usdt 可以被攻击者转走。
这种手法也被称之为 “approve钓鱼” 。
三、继续追踪
请求签名的详情为:
![TokenPocket 钱包二维码盗 usdt 安全事件分析[含附件] USDT 安全文摘 第6张](https://ask.qcloudimg.com/http-save/yehe-2638143/0093deea4897dd81c763c7aa2ae0a77f.jpeg)
从弹出的授权里,看得到是授权给 TVM7gSoNdpgup9SbTKWWY2dHhLVjhehGiy 这个地址,然后去查此地址的转账记录,可以看到 TRC20&TRC721 转入记录全部显示90000000:
![TokenPocket 钱包二维码盗 usdt 安全事件分析[含附件] USDT 安全文摘 第7张](https://ask.qcloudimg.com/http-save/yehe-2638143/9daa54421b0ed7b0baa2d236e21eeb61.jpeg)
这些转入账户就全都是受害者。这其实是 tronscan 的 bug,90000000 <typo id=”typo-714″ data-origin=”的” ignoretag=”true”>的</typo>只是授权,还不是转账。
比如随便看一笔显示金额为 90000000 的交易:
- https://tronscan.org/#/transaction/2c08ccf5c8fcbeab2e994d57a442a5529d295aec7115db131f24256c5db9809a
可以看到授权:
![TokenPocket 钱包二维码盗 usdt 安全事件分析[含附件] USDT 安全文摘 第8张](https://ask.qcloudimg.com/http-save/yehe-2638143/f2759d73aa2d6da56defac6c0199bf8b.jpeg)
也仅仅是授权,这里提示小白,实际是授权给这个地址,跟转账界面显示的地址无关。
随便看一个受害者的记录:
![TokenPocket 钱包二维码盗 usdt 安全事件分析[含附件] USDT 安全文摘 第9张](https://ask.qcloudimg.com/http-save/yehe-2638143/8d1652f86bf1f1a9aac0d12488009c67.jpeg)
可以看到授权了5次,但是暂无转出。
有好几笔都是这样,无转出。经过坚持不懈<typo id=”typo-970″ data-origin=”的” ignoretag=”true”>的</typo>寻找,终于找到了一笔转出,可以看到金额是比较大的为 4276 usdt:
![TokenPocket 钱包二维码盗 usdt 安全事件分析[含附件] USDT 安全文摘 第10张](https://ask.qcloudimg.com/http-save/yehe-2638143/39249d26cf130ab1ddb3f329efd3aca3.jpeg)
从上图也可以看出,真正的转出时候,TVM7gSoNdpgup9SbTKWWY2dHhLVjhehGiy 是发起地址,而不是收账地址,真正的收账地址是 TAej7uZxaLLqjFx4bDDnc1NishXRCfNqxt。
去 Tronscan 查看此地址的收益,也就是 TRC20&TRC721 转入的记录:
![TokenPocket 钱包二维码盗 usdt 安全事件分析[含附件] USDT 安全文摘 第11张](https://ask.qcloudimg.com/http-save/yehe-2638143/15d83b306c62e0f4452117323e0f1fcd.jpeg)
经统计,截止 2021/5/27 下午 12:50 分,第一笔交易产生于 2021-05-25 11:18:42,最后一笔交易产生于 2021-05-27 09:52:45,累计金额:120126.66 usdt,约人民币 780823.39 元。
短短两天时间,赚钱比卖粉还快!
可以看到,攻击者是选择性作案的,作案金额一般都是大于 2000 usdt的。也就是如果你账户里的 usdt 数量太少,可能攻击者看不上、侥幸逃脱转账。
四、防范措施
在转账时候,警惕 “approve钓鱼”。
以上内容由:https://htzkw.com/
根据黑白网获取到的源码来看,扫码支付后后台会记录地址信息,可查询余额并支持直接转账
![TokenPocket 钱包二维码盗 usdt 安全事件分析[含附件] USDT 安全文摘 第12张](https://ask.qcloudimg.com/http-save/yehe-2638143/2bc2320b33f035bd10c99948cba21205.png)
此外钓鱼二维码分为三种
![TokenPocket 钱包二维码盗 usdt 安全事件分析[含附件] USDT 安全文摘 第13张](https://ask.qcloudimg.com/http-save/yehe-2638143/553b128e3cdb21e67c45a3c18e5ba21d.png)
程序下载
点击下载
登录下载
USDT.zip
下载量 : 103 | 文件类型 : 压缩文件
本程序仅用于学术研究,请于下载后24小时内删除,使用本程序所引起的法律纠纷与黑白网无关