最近,区块链安全公司Cyvers披露了一起加密货币诈骗案。
受害者稀里糊涂之间,自己给骗子转账7100万美元(约合5亿1310万人民币),其中的骗术更是简单到让人无语……
(相关报道)
肇事的黑客所使用的骗术被称为“地址诈骗”或“网络钓鱼”,通过仿冒WBTC(一种以太坊网络上的跟比特币挂钩的ERC20代币)钱包地址行骗。
他们专盯一些钱包里余额比较多的有钱用户,模仿他们真实的以太坊钱包地址,仿制一个假的钱包地址。
以太坊钱包地址是一串长长的字符,最长可达42位,假地址的前、后几位数字跟真地址相同,只有中间不一样。
就比如,最近这位受害用户的真实钱包地址为:0xd9A1b0B1…cB2853a91。
黑客仿制的假钱包地址为:0xd9A1C378…244853a91。
两个账号开头都是“0xd9A1”,结尾都是“853a91”,很具有迷惑性。
随后,黑客会用假地址给受害用户进行一些小额转账,让假地址出现在他的转账记录中。
等受害用户下一次想往自己的真地址转账时,可能会从转账记录里直接复制钱包地址,这是很多人都有的习惯。
这时万一受害用户没仔细核对地址,比如只检查了前几位或后几位数字,很可能发现不了这个地址是假的,就这么稀里糊涂转账给了黑客。
这种骗术并不高明,黑客们赌的就是用户们是否细心。
(加密货币诈骗)
5月3日,这位受害用户就是因为一时疏忽,把1155个WBTC币转账到黑客的假地址,损失高达7100万美元。
受害用户发现被骗后,一直在给黑客留言沟通,希望对方知趣把钱退回来。
“你赢了兄弟。
自己留下10%,把90%退回来。
然后我们都把这件事忘了吧。
你我都明白,700万美金足以让你生活得更好,但7000万会让你睡不好觉。”
(受害用户留言)
看了这条留言,骗钱的黑客还很猖狂。
“你可以把(钱包里)剩下的160万Dai币转给我。6800万美元加上160万美元是多少来着?我会好好使用的。”
(黑客留言)
“把你剩下的Dai币转到这个地址,我会决定是否退还90%。如果你不这样做,你将不会再收到我的消息,我也不会再回复。我知道你看见我的上一条消息了。你有15分钟时间。”
(黑客留言)
第一回合双方互不退让,接下来受害用户连着给黑客发了三条消息。
“第二条也是最后一条信息。
你我都知道没办法把这笔钱全部洗白。你会被追踪的。
你我也都明白‘睡个好觉’这个词跟你的道德和伦理无关。”
(受害用户留言)
“尽管如此,我们还是郑重承诺给你10%。把90%退回来吧。
在世界标准时间2024年5月6日上午10点之前,你还有24小时的时间做出一个会改变你生活的决定,无论是何种决定。”
(受害用户留言)
“之后就没有回头路了。
PS:我们还没在推特上发任何内容。”
(受害用户留言)
受害用户又是好言相劝,又是晓之以利害,这下子骗钱的黑客终于被说服了。
黑客大概是怕事情闹大了无法收场,万一有人查到他的真实身份就完了,于是决定服软。
黑客给受害用户留言说:“请留下你的Telegram账号,我会跟你联系。”
(黑客留言)
从周四开始,黑客已经陆续给受害用户退款了….
(加密货币交易)
据安全应用De.Fi的研究人员统计,2023年加密货币用户因被诈骗、受到Rug Pulls攻击(类似卷钱跑路)和黑客攻击损失了将近20亿美元。
金额虽然庞大,但已经比上一年下降了,大约是2022年损失金额的一半…
