الخلفية：

أظهرت ردود الفعل من شريكنا imToken نوعًا جديدًا من عمليات الاحتيال في عالم العملات المشفرة. تستهدف هذه العمليات بشكل أساسي المعاملات المادية غير المتصلة باستخدام USDT كوسيلة دفع. فهي تتضمن تعديل روابط عقدة الاتصال بإيثريوم عن بُعد (RPC) بشكل خبيث للقيام بأنشطة احتيالية.

عملية الاحتيال

فريق الأمان في سلوميست قام بتحليل هذا الاحتيال، وعملية المهاجم الخبيثة كما يلي:

أولاً، يجذب النصاب الهدف المستخدم إلى تحميل محفظة imToken الرسمية ويكسب ثقتهم من خلال إرسال 1 USDT وكمية صغيرة من ETH كطعم. ثم، يوجه النصاب المستخدم لإعادة توجيه عنوان عقدة ETH RPC الخاصتهم إلى عقدة النصابhttps://rpc.tenderly.co/fork/34ce4192-e929-4e48-a02b-d96180f9f748).

تم تعديل هذه العقدة من قبل النصاب باستخدام ميزة الانقسام الناعم لـ Tenderly، مزورًا رصيد USDT للمستخدم ليبدو وكأن النصاب قد قام بإيداع الأموال بالفعل في محفظة المستخدم. رؤية الرصيد يجعل المستخدم يعتقد أنه تم استلام الدفعة. ومع ذلك، عندما يحاول المستخدم تحويل رسوم التعدين لسحب الـ USDT من حسابه، يدرك أنه تم خداعه. وفي تلك اللحظة، يكون النصاب قد اختفى بالفعل.

في الواقع، بالإضافة إلى تعديل عرض الرصيد، يمكن لوظيفة الفork في Tenderly حتى تغيير معلومات العقد، مما يشكل تهديدًا أكبر للمستخدمين.

(https://docs.tenderly.co/forks)

هنا ، نحتاج إلى معالجة ماهية RPC. للتفاعل مع blockchain ، نحتاج إلى طريقة مناسبة للوصول إلى خوادم الشبكة من خلال واجهة قياسية. يعمل RPC كطريقة اتصال وتفاعل ، مما يمكننا من الوصول إلى خوادم الشبكة وتنفيذ عمليات مثل عرض الأرصدة أو إنشاء المعاملات أو التفاعل مع العقود الذكية. من خلال تضمين وظيفة RPC ، يمكن للمستخدمين تنفيذ الطلبات والتفاعل مع blockchain. على سبيل المثال ، عندما يصل المستخدمون إلى التبادلات اللامركزية من خلال اتصالات المحفظة (مثل imToken) ، فإنهم يتواصلون مع خوادم blockchain عبر RPC. بشكل عام ، يتم توصيل جميع أنواع المحافظ بالعقد الآمنة افتراضيا ، ولا يحتاج المستخدمون إلى إجراء أي تعديلات. ومع ذلك ، إذا كان المستخدمون يثقون في الآخرين بلا مبالاة ويربطون محافظهم بعقد غير موثوق بها ، فقد يتم تعديل الأرصدة المعروضة ومعلومات المعاملات في محافظهم بشكل ضار ، مما يؤدي إلى خسائر مالية.

تحليل ميست تراك

استخدمنا أداة تتبع السلسلة اللامركزية MistTrack لتحليل إحدى عناوين المحفظة المعروفة (0x9a7…Ce4). يمكننا رؤية أن عنوان هذه الضحية تلقى كمية صغيرة من 1 USDT و 0.002 ETH من العنوان (0x4df…54b).

من خلال فحص أموال العنوان (0x4df...54b)، وجدنا أنه قد قام بتحويل 1 USDT إلى ثلاثة عناوين مختلفة، مما يشير إلى أن هذا العنوان تم احتياله بالفعل ثلاث مرات.

في تتبع أبعد من ذلك، فإن هذا العنوان مرتبط بعدة منصات تداول وقد تفاعل مع عناوين تم وصمها بأنها 'نصّاب جزار الخنازير' من قبل MistTrack.

ملخص

طبيعة هذا النصب الذكية تكمن في استغلال نواحي ضعف النفسية للمستخدمين. غالبًا ما يركز المستخدمون فقط على ما إذا تم تحقيق الأموال في محافظهم، مغفلين عن المخاطر الكامنة المحتملة. يستغل المحتالون هذه الثقة والإهمال من خلال توظيف سلسلة من العمليات الحقيقية بشكل ظاهري، مثل تحويل كميات صغيرة، لخداع المستخدمين. لذا، ينصح فريق أمان Slowmist جميع المستخدمين بالبقاء يقظين أثناء المعاملات، وتعزيز الوعي بالحماية الذاتية، وتجنب الثقة بالآخرين بشكل أعمى لمنع الخسائر المالية.

إخلاء المسؤولية:

1. تم نقل هذه المقالة منتقنية Slowmist, مع العنوان الأصلي 'فك تشفير عملية احتيال جديدة: تعديل روابط العقدة RPC بشكل خبيث لسرقة الأصول'. حقوق النشر تعود إلى الكاتب الأصلي [ليزا]. إذا كانت هناك أي اعتراضات على إعادة النشر، يرجى الاتصال بالفريق تعلم جيت, الذي سيتولى المسألة وفقا للإجراءات ذات الصلة.

2. تنويه: الآراء والآراء المعبر عنها في هذه المقالة هي فقط تلك التي تعود إلى الكاتب ولا تشكل أي نصيحة استثمارية.

3. النسخ بلغات أخرى لهذا المقال تمت ترجمتها بواسطة فريق بوابة التعلم وقد لا يتم نسخها أو نشرها أو نسبها دون الإشارة إليهاGate.io.