针对虚假加密货币骗局的大规模端到端追踪

  • A+
所属分类:安全新闻

针对虚假加密货币骗局的大规模端到端追踪

笔记作者:CDra90n
原文作者:Bingyu Gao, Haoyu Wang, Pengcheng Xia, Siwei Wu, Yajin Zhou, Xiapu Luo, Tgareth Tyson
原文标题:Tracking Counterfeit Cryptocurrency End-to-end
发表会议:ACM SIGMERICS 2021
原文链接:https://arxiv.org/pdf/2011.02673.pdf

随着加密货币生态系统的发展,越来越多的证据表明虚假加密货币已经出现。在本文中探索了以太坊上存在虚假加密货币并衡量其影响。通过分析以太坊上的190KERC-20 token(或加密货币),确定了2个117个伪造token(代币),这些token以当前top 100加密货币中的94个为目标。本研究对伪造token生态系统进行端到端的特征描述,包括其流行度,创建者和持有者,欺诈行为和广告渠道,从而确定了两种骗局,并设计了识别这些骗局的技术。通过研究观察到超过7104名受害者在这些骗局中被欺骗,造成的财务总损失总计至少为1700万美元(74,271.7 ETH)。

0x01 Introduction

自2009年挖出第一个比特币区块以来,加密货币出现了显着增长,这主要归功于区块链技术和数字经济系统的飞速发展。除比特币外,还出现了数以千计的加密货币。截至2019年底,加密货币的总市值超过1800亿美元。加密货币引起了攻击者的广泛关注。攻击者已经利用了智能合约,加密货币交易所和钱包中的漏洞。根据Carbon Black的数据,在2018年上半年的攻击中已经盗窃了11亿美元的加密货币。根据2019年5月的报道,攻击者从顶级交易平台之一的币安窃取了7,000个比特币(价值4,100万美元)。最近,数百种流行的分布式应用程序(DApps)、Defi Dapps和其他智能合约受到攻击,造成了巨大的经济损失。除了这些已知的攻击之外,许多新兴的骗局还利用加密货币牟取暴利,包括加密货币庞氏骗局,区块链蜜罐,勒索电子邮件和代币交换钓鱼诈骗等。

然而,被低估的攻击是虚假代币,即欺诈者努力模仿官方代币以欺骗其接收者。例如,自从发布Libra以来,诈骗者就设计了欺诈性投资计划,涉及出售与实际的Libra无关的假“Libra token”。类似地,我国当局在制止涉及假HuobiToken的骗局的同时还查获了价值超过千万美元的加密货币。

针对虚假加密货币骗局的大规模端到端追踪
1616747277903

此外,创建加密货币和发起ICO的简便性使得发布虚假加密货币的成本相当低。例如,以太坊作为去中心化应用程序(DApps)的开源平台,是第一个简化智能合约开发的区块链平台。基于以太坊,只需几行代码就可以创建一个token智能合约。到2020年7月,在以太坊上创建了超过20万个ERC-20 token。但是,以太坊对新创建的token的名称和符号没有任何限制。相反,识别token的是其智能合约地址。如上图所示,通过在Etherscan(使用最广泛的以太坊资源管理器)中搜索试图与美元挂钩的流行 token Tether USD(USDT),有170个token的名称相同,“ Tether USD”或符号“ USDT”。这开辟了许多潜在的欺诈途径,恶意方有可能利用这一事实来伪造加密货币。

0x02 Background

A.以太坊账户和交易

以太坊账户: 账户是识别以太坊中实体的基本单位。一个帐户由固定长度的类似哈希的地址标识。以太坊有两种账户:由公私钥对(即人)控制的外部拥有账户(EOA);和合约拥有的帐户(COA),该帐户由与帐户一起存储的代码控制。EOA是一个普通帐户,可以转移token,调用已部署的智能合约并存储收到的token。而且,EOA可以将智能合约部署到COA帐户中。在本文中,所有帐户均以其地址进行引用,并以0x开头的六个字符的标识符表示。

交易: 以太坊中的交易是从一个账户发送到另一个账户的消息,记录了账户的状态变化。内部交易定价机制“ Gas”用于保护区块链免受垃圾消息侵害,并在交易期间在网络上分配资源。交易可以包括二进制数据(称为“payload”)和以太币。取决于消息发送者的事务有两种。从EOA发送的交易称为“external transactions”,它将包含在区块链中,并且可以通过解析块来获得。通过执行智能合约启动的另一种类型称为“internal transaction”。内部交易通常由外部交易触发,并不直接存储在区块链中。

B.智能合约和ERC-20 Token

智能合约: 智能合约是一种由计算机程序构建的去中心化协议,用于执行任意规则以及保证为去中心方产生相同的结果。在以太坊中,智能合约是驻留在合约账户中的代码和数据的集合。智能合约可以自动执行,并且可以根据其代码中内置的条款控制相关事件。在以太坊平台上,人们很容易通过智能合约构建去中心化应用(DApp)并为DApp或其他目的发行token。智能合约通常以更高级别的语言(例如Solidity)编写,然后编译为以太坊虚拟机(EVM)字节码。EVM是以太坊中智能合约的运行时环境。

Token: 与它们自己的区块链原生的数字代币(如比特币和以太币)相反,token需要现有的区块链平台。根据代币的功能,它们通常分为三种类型:1)货币代币,它们完全是作为一种支付方式创建的;2)实用性代币,它使投资者可以使用某些产品或服务;3)投资/资产代币,即向投资者承诺投资回报的资产。最著名的投资token是DAO token。它是一种以投资者为导向的风险投资基金的形式的ERC-20代币,其漏洞导致以太坊硬分叉。请注意,以太坊上存在的每个token都与token合约绑定,该token合约定义了它们用来执行任务的一组功能。

ERC-20: ERC是以太坊智能合约开发人员使用的技术文档,它定义了实现以太坊生态系统token所需的一组规则。ERC-20是迄今为止最可识别的token标准。建议开发人员更好地处理以太坊上的不同token。ERC-20 token合约通常具有属性,包括名称,符号,总供应量和十进制等。下图所示为ERC-20 token的示例,其token名称为“ HuobiToken”,符号为“ HT”。由于采用了ERC-20标准,以太坊已成为最受欢迎的代币平台之一-截至2020年7月,以太坊上有超过200,000个ERC-20代币。请注意,在本文中,每个token都以TokenName(SymbolName)的形式表示。

针对虚假加密货币骗局的大规模端到端追踪
1616748000897

C.虚假加密货币

以太坊不会对新创建的token的名称和符号施加任何限制,即使名称已被现有token使用。但是,这可能会被攻击者滥用以创建伪造的加密货币。攻击者可能会使用相同的标识符(例如代币名称和符号)或令人迷惑的标识符名称来欺骗经验不足的投资者。因此,在本文中考虑以下两种类型的伪造token:

•Type-1: 伪造token具有与模仿的官方代币相同的标识符名称,但由不同的创建者发行。

•Type-2: 攻击者采用组合抢注技术来创建伪造token,其中包括可识别的token名称(例如USDT)与其他字符或关键字(例如USDT-2,USDT New)的组合。此类伪造代币通常与官方加密货币具有令人困惑的相似名称,使人们相信它们是官方代币的新版本,或者至少是由同一团队发行的。

0x03 Study Design

A.研究问题

本研究旨在调查虚假加密货币的整个生态系统,从其创建、交易和流通到与其相关的骗局及其广告渠道,为此探索以下研究问题(RQ):

RQ1: 伪造的加密货币在加密货币生态系统中普遍存在吗?尽管媒体上的一些报道提到存在伪造的加密货币,但其规模仍然未知。此外,有必要进行调查:

*RQ1.1)*目标是哪些token?考虑到有成千上万种加密货币,本文试图探索对手是否主要针对具有较高知名度(交易量)的代币。

*RQ1.2)*谁创建了虚假加密货币?研究恶意活动是否创建了许多伪造的加密货币来欺骗毫无戒心的用户或投资人。

*RQ1.3)*谁持有这些伪造的加密货币?分析这些伪造token的持有者可以帮助了解生态系统的总体规模,即伪造token涉及多少个帐户。

RQ2: 与虚假加密货币有关的欺诈行为是什么?调查虚假加密货币如何对用户进行诈骗,诈骗是否涉及其他共谋地址甚至恶意活动,以及这些诈骗用户有多少。

RQ3: 伪造加密货币的广告渠道是什么?分析伪造货币如何到达用户,尤其是广告渠道、技巧和采用的社会工程技术,这可以帮助更好地识别和跟踪背后的欺诈和恶意活动。

B.数据集

由于目标是测量以太坊中的伪造加密货币,因此需要以下两个条件:1)ERC-20 token的完整列表,用于检测伪造token;2)整个以太坊交易数据集,该数据集用于分析与伪造加密货币有关的交易。因此,利用广泛使用的以太坊客户端Geth来同步以太坊的分类账本。本研究已经同步了直到2020年3月18日的所有区块,总区块超过960万个。从块中提取的数据包含外部交易,内部交易,合约信息和合约调用信息。然后,获得所有智能合约的字节码和创建者信息。接着分析字节码,以确定合约是否实施了ERC-20 token。基于此方法,在其创建者信息旁边识别了超过176K的ERC-20 token。进一步从代码或Etherscan获得这些代币的元数据(例如,网站,总供应,持有人等)。为了便于分析,使用ElasticSearch存储这些结构化数据。

C.目标加密货币选择

虽然所有token都可能是虚假加密货币的仿造目标,但使用不知名的token进行滥用(例如,用户和数量较少的官方token)可以说是不符合攻击者的最大利益。此外,由于以太坊上有成千上万种官方代币(混合有伪造代币),所以很难汇编所有官方代币的完整列表。这样做是为了减少必须衡量的潜在虚假代币数量。因此,根据Etherscan的市值编制了前100个代币的列表。下表显示了这些官方token的信息。第1列(#CAP)显示了在研究之时基于代币的市值的排名。

针对虚假加密货币骗局的大规模端到端追踪
1616747963727

0x04 Measurement of Counterfeit Cryptocurrencies

A.检测方法

根据先前对伪造token的定义,采用两阶段半自动方法对伪造token进行准确检测。第一步是通过关键字匹配来识别所有可能的伪造token候选者。对于选定的100个官方token,在ERC-20 token数据集中搜索其token名称和符号名称,以查找包含此类关键字的token。但是,发现基于关键字匹配的方法可能会引入许多误报。因此,对于第二步,建议根据以下规则删除误报:

Rule1: 迁移的token,由于以太坊中的智能合约一旦部署就无法修改,因此出于安全考虑或引入了新功能,某些代币会迁移其地址。例如,由于引入了新功能,token HEDG已从0xb6B6Bd4迁移到0x3363D5。在这种情况下,将手动分析100个选定的token,以验证它们是否已迁移地址,并进一步消除此类误报。

Rule2: 由值得信赖的创建者创建的官方token,通常的做法是,在正式发行新token之前,一些创建者会发布一些测试token,以检查其token是否会按预期运行。这些尝试将导致创建一些具有相同/相似标识符名称的token。因此,手动检查过滤token的创建者以消除此类误报

Rule3: 与研究目标代币名称相似的官方代币,由于符号名称通常很短(例如3至5个字符),因此某些官方token很有可能具有相同或相似的符号名称。例如,存在三个具有相似名称和符号的ERC-20 token,即HEDG(仅包含符号,但没有token名称),Hedgie(HDG)和Hedge(HDG)。尽管如此,它们都是独立的官方token。一个官方token通常有自己的官方网站,可以从Google收集有关该token的详细信息。因此,如果token具有活跃的交易并且可以在线收集其法律信息,会将其视为误报,从而将其从数据集中删除。

B.总体结果

使用上述方法已识别出2117个伪造token,它们针对100个流行token中的94个进行伪造(94%),如前表所示。毫不奇怪,HuobiToken(HT),Tether USD(USDT)和BNB是最受欢迎的目标。例如,有545个针对火币HT的伪造token,总共有12,883笔交易。HuobiToken由著名的火币加密货币交易所发行,这使不知情的用户更容易相信它的真实性。一般而言,伪造代币更可能以具有高市值排名的受欢迎代币为目标。但是,并非所有高等级代币都是其优先目标。例如只观察到一个针对Crypto.com Coin(CRO)的伪造token,该token在研究时排名第6。

针对虚假加密货币骗局的大规模端到端追踪
1616748390386

上图显示每月伪造token的创建时间。第一个伪造token是在2017年2月12日创建的。此后,伪造token变得越来越普遍,尤其是在2019年7月之后。例如,在2020年1月,创建了126个伪造token。总共有56,762笔交易与这些伪造token相关,涉及56,057个唯一的以太坊地址。下图显示了官方代币及其伪造代币总供应量的比较。总供给是指目前存在的代币的数量。在图中,每行上的点代表相应token(绿色)及其伪造token(红色)的总供应量。对于每个官方代币,其总供应量通常在1𝑒+ 6至1𝑒+ 11之间,但是显然,某些伪造代币的总供应量非常高。例如,100个伪造token的总供应量超过1𝑒+12。最高的是伪造BAT,其以官方BAT为目标,总供应量为1𝑒+ 64,而官方BAT的总供应量只有1.5𝑒+ 9。

针对虚假加密货币骗局的大规模端到端追踪
1616748426489

C.词汇特征

接下来,分析这2117个识别出的伪造token的词汇特征。根据虚假token的命名策略考虑两种类型的token。

针对虚假加密货币骗局的大规模端到端追踪
1616748654888

•Type-1: 如上表所示,几乎80%的伪造token(1,674)具有与官方token相同的token名称或符号。其中,有23.6%的伪造代币(499)具有与官方代币完全相同的代币名称和符号,而10.1%的伪造代币(214)仅具有与官方代币相同的代币名称(但符号不同)。此外,45.4%的伪造token(961)具有与官方token相同的符号(但token名称不同)。

•Type-2: 大约77%的伪造token在其token名称或符号中采用了组合抢注策略。将它们分为两类。首先,许多伪造token将官方标识符名称与特殊字符(如空格,括号,下划线或插入一些缩写)结合在一起。例如,对于HT的符号,已经识别出许多相似符号,包括HT Coin,HT_huobi和TokenHT等。第二,伪造token利用不同的字符串编码方法来误导用户,例如UTF-8,ASCII和GBK等。下图显示了从HuobiToken(HT)的伪造token中提取的词云示例。请注意,token名称和符号分别显示。除了带有官方token的相同名称外,它们还始终采用上述的多种变体。

针对虚假加密货币骗局的大规模端到端追踪
1616748731723

D.流行度分析

(1)交易数量

针对虚假加密货币骗局的大规模端到端追踪
1616748903134

交易数量可以在某种程度上反映出伪造token的流行。下图(a)展示了每个token的交易数量。发现伪造代币之间的差异很大。很大一部分伪造token不受欢迎,即从未转让过579(27.35%)个伪造token,并且超过90%的伪造token已转让不超过45次。相比之下,一些假冒token在数千笔交易中非常活跃。具体来说,有7个伪造token的交易量超过1,000。上表列出了交易次数最多的前5个伪造token。最常用的伪造token brc是Baer Chain(BRC)的虚假token,总共进行了5,000多次交易。虚假token Tether USD(对应USDT)也有超过4,500笔交易。

针对虚假加密货币骗局的大规模端到端追踪
1616748871072

(2)有效期

进一步分析伪造token的有效期,了解伪造token是否仅在短时间内被利用。由于在以太坊中创建伪造token的成本非常低,上图(b)展示了所有伪造token的有效时间分布。超过70%的伪造token(1,497)的有效期不到7天,但是,令人惊讶的是,有些token仍能长期有效。特别是,有9.97%的伪造token(211)在100天内有效。例如,伪造token0x9900E9保持有效期超过940天,这是一个针对Baer Chain(BRC)的BeraCoin(BRC)token。

E.虚假代币创建者分析

接下来,分析伪造token的创建者。总共有1,210个创建者创建了2,117个token。超过95%(2,016)的token是由外部地址(EOA)创建的,而其余token(101)是自动创建的(COA,即通过智能合约)。

Token创建者图: 为了进一步研究token创建者之间的关系,引入了token创建者图(TCG),如下图(a)所示。在TCG中,每个节点代表以太坊上的地址,即橙色代表EOA创建者地址,绿色代表COA创建者地址,紫色代表伪造token地址。TCG是有向图,每个边代表创建关系,即从EOA到伪造token,或从COA到伪造token。请注意,COA需要由EOA帐户调用才能创建token,因此每个COA与EOA都有连接。创建者节点的大小表示他们创建的伪造token的数量。

针对虚假加密货币骗局的大规模端到端追踪
1616749355995

观察到几乎有30%的发布者(362)发行了不止一个伪造token。这表明某些参与者可能专门从事此类token的创建。下表列出了创建最多伪造token的前5个地址。最具攻击性的地址是0xB2BDBb和0x246829,它们都创建了25个伪造token。通过进一步分析伪造token的创建,发现大多数创建者(1,107)专门伪造同一代币,但是103名创建者伪造了多种代币。例如,最具攻击性的一个(0x246829)已伪造了23个官方token(总共释放了25个伪造token)。

针对虚假加密货币骗局的大规模端到端追踪
1616749386311

分析了不同类型的假冒伪劣产品中相同代币创建者的同时出现。如上图(b)所示,目标token有71种类型。所有71个官方代币都具有伪造代币,其创建者还产生了其他种类的伪造代币。圆圈的大小代表伪造了两个相应token的创建者数量。用最相同的创建者标记两组token。它们分别是红色的HuobiToken(HT),BNB(BNB)和OKB(OKB),橙色的Tether USD(USDT),True USD(TUSD)和USD Coin(USDC),其中HuobiToken(HT)和BNB( BNB)分享最多的伪造token创建者(13)。接下来是HuobiToken(HT)和OKB(OKB),共有8个伪造的token创建者。

推测诈骗者倾向于使用具有相同特征的代币来创建伪造代币。首先,它们都是具有很高知名度的前50个代币。对于HuobiToken(HT),BNB(BNB)和OKB(OKB),它们都是由共享相同名称的知名加密货币交易所发行的:HuobiToken(HT)由Huobi发行,BNB(BNB)由Binance发行(相同中文的发音和拼写),OKB(OKB)由OKB发布。对于Tether USD(USDT),TrueUSD(TUSD)和USD Coin(USDC),它们都是镜像美元价格的稳定币(稳定加密货币)。该结果表明,恶意行为者往往会伪造一种以上的官方token,这可能是由于在以太坊上创建token的成本较低。

F.虚假代币持有人分析

针对虚假加密货币骗局的大规模端到端追踪
1616749596796

接下来分析token持有者的特征,token持有者是生态系统的基石。总体而言,共有28861位唯一身份持有者。由于持有者的数量远高于创建者的数量,因此使用抽样的(占所有持有者的20%)伪造token持有者图谱(THG)进行清晰说明,如下图(a)所示。请注意,抽样方法基于每个伪造token的持有者比例。图(b)显示了持有者的分布。超过一半的代币(64.58%)的持有者不超过两个。超过90%的代币拥有者不超过20个。它进一步表明,大多数token仅在短时间内使用,因此持有者和交易数量有限,以防止受害者举报或引起监管者的怀疑。拥有最多(4,147)的token是0xB64555。进一步观察到,尽管超过96%的持有者仅拥有一种伪造代币,但大约1189名持有者拥有多种伪造代币。其中,506位持有人拥有针对多种官方代币的多种假冒代币。上表显示了按不同伪造代币数量排名的前5名持有者。最大的持有人地址为0x8d12A1,其中包含针对85种官方货币的85种不同的伪造token。

针对虚假加密货币骗局的大规模端到端追踪
1616749583744

进一步调查通常受伪造加密货币影响的用户类型。确定伪造token持有者的体验并非易事,但可以从每个持有者的交易数量中获得见解。通常,与持有人地址相关的交易越多,持有人的经验就越多。下图显示了交易数量和假冒代币持有者余额的分布。请注意,某些持有人被确认为受害者,并以红色标记。几乎50%的持有人(13,812)的交易少于5笔,而近95%的持有人(27,134)的余额低于0.2 ETH。

针对虚假加密货币骗局的大规模端到端追踪
1616749715308

对RQ1的回答: 伪造token确实在加密货币生态系统中很普遍。在研究的100个token中,已经识别出2117个伪造token,它们针对94个官方代币。尽管大多数代币交易很少,但其中一些很受欢迎,拥有数千个交易和持有者。恶意参与者倾向于以一种以上的官方token为目标,这主要是因为在以太坊中创建伪造token的成本非常低。

0x05 Fraudulent Behaviors of Counterfeit Cryptocurrencies

先前的探索表明以太坊中伪造加密货币的流行。但是仍然不知道伪造token的使用。尽管token名称和符号可以在以太坊中进行伪造,但token地址却不能。token地址是代表token的唯一标识符。只要用户在交易过程中输入了官方地址,伪造的加密货币骗局就不会成功。因此,在本节中探索了与伪造token有关的骗局和社会工程攻击。

A.欺诈行为的类型

为了了解与伪造token有关的诈骗的特征,首先诉诸于现存诈骗报告,以识别与伪造token有关的诈骗活动的类型。具体而言,根据以下存储库,并使用关键字搜索(例如“fake”, “token”和“counterfeit”)来识别相关的诈骗以便进行手动验证。

1)CoinHunter: CoinHunter是一个众包平台,可收集用户报告的与加密货币相关的骗局。已经实现了搜索工具,可以从CoinHunter获取所有欺诈报告。经过关键词过滤和手动检查后,确定了52个与以太坊上的假币相关的报告。

2)区块链论坛: imTokenFans是由流行的加密货币钱包imToken的官方团队运营的论坛。BitcoinTalk是一个在线论坛,致力于讨论比特币和其他加密货币。他们都托管Scam Accusation委员会,以供用户报告欺诈行为。因此根据上述关键字在“Scam Accusations”版块上抓取了所有相关帖子,并进一步执行了手动验证。最终,确定了18个关于假冒token诈骗的报告。

3)来自搜索引擎的其他报告: 还借助搜索引擎来识别与识别出的伪造token相关的欺诈。实现了一个自动爬取工具,可将2117个伪造的token地址提供给Google并获取所有搜索结果。

最后,通过分析收集到的报告,收集了204个伪造token地址,所有这些地址都已包含在2117个伪造token数据集中。所识别的骗局可以分为两种类型:空投骗局(22)和套利骗局(182)。请注意,所识别的骗局仅用作后续研究的基础。

(1)空投骗局(Airdrop Scam

空投是指将加密货币token免费分配给许多用户的钱包地址。空投的主要实现方式是吸引注意力和吸引新的关注者。由于空投在众所周知的代币中非常流行,因此假冒token还利用此机会执行空投骗局。通常,攻击者保证,在向(伪造)token地址发送一定数量的ETH之后,受害者将按照固定汇率(远高于实际价值)获得(仿制)官方token。受害者发送ETH之后,他们可能只会收到根本没有价值的伪造token。下图显示了虚假 token HOLO TOKEN(模仿HOT)的空投骗局,具有与官方token相同的图标和帐户名。为了欺骗不知情的用户,他们通常在空投信息中嵌入模仿token的官方链接(下图(a))。此外,骗子还会将返回的相关token的屏幕截图发布给用户以增强可信度(但这些token他们返回的是假的)(下图(b))。

针对虚假加密货币骗局的大规模端到端追踪
1616750141207

(2)套利骗局(Arbitrage Scam

套利是一种利用市场之间价格失衡的投资方法,即以低价买入并以稍高的价格卖出。从业余投资者的角度来看,套利不需要太多的专业知识,与其他投资方法相比,它相对更安全。因此,加密货币套利在许多投资者中很受欢迎。但是探索表明,套利可以被攻击者滥用,即套利可以与伪造代币结合使用以进行精心设计的骗局。在收集的骗局中,骗子通常使用伪造的Telegram group(模仿官方token)作为广告渠道,为受害者发送ETH提供诈骗地址。受害者按照承诺将ETH发送到指定的诈骗地址后,他们应在几分钟内获得正式代币(远远超过实际价值)。但是,受害者通常会收到不值钱的虚假代币。

接下来,将详细分析这两个骗局的工作流程,设计检测此类骗局的方法,并在2117个伪造token数据集中测量这些骗局的普遍性。

B.分析和检测空投骗局

(1)空投骗局的工作流程

下图(a)显示了空投诈骗的工作流程,它由四个主要角色组成:受害者,伪造token合约,接受ETH进行洗钱的诈骗地址以及发送伪造token的诈骗地址。请注意,在airdropscam中,所有这些步骤都在一个事务中完成。当受害者向假币合约发送m ETH时,该合约将所有接收到的ETH转移到接受ETH的诈骗地址,然后调用传递函数以将m×n个伪造token返回给受害者,并由发送假币的诈骗地址分配token。ETH与伪造token的汇率在图(a)中是固定的。请注意,接受ETH的诈骗地址和发送伪造token的诈骗地址可以是相同或不同的地址。

针对虚假加密货币骗局的大规模端到端追踪

(2)检测空投骗局

根据空投诈骗的特征,试图调查识别出的2117个伪造token是否具有此类行为。具体而言,对于涉及空投诈骗的交易,1)受害人地址必须首先向假冒代币合约发送一些ETH;2)虚假代币发行人必须将一定比例的虚假代币转移给受害者;3)伪造token合约应将接收到的ETH转移到诈骗地址。本研究实现了一个脚本来分析与伪造token有关的所有交易。满足上述行为的伪造token将被视为空投骗局的一部分。

(3)结果与观察

这种方法可以在收集的数据集中实现100%的准确性,即正确检测到所有22个收集的空投骗局。由于空投骗局具有明显的模式,即ETH与假币的汇率是固定的,因此检测没有误报。还将这种方法应用于确定的所有2117个伪造token,即分析其相关交易以检测空投骗局。结果,有87个伪造token显示了以44个官方token为目标的空投骗局的行为。总体而言,有2037名受害者通过空投骗局被欺骗,攻击者总共收到了970.8 ETH( 42,163.14)。地址为0xa25e457的伪造令牌Polymath(POLY)受害人数最多(133)。上图(b)显示了它的交易图。红点表示Polymath(POLY)伪造token地址,橙色点表示用于接收ETH和分发伪造token的诈骗地址,紫色点表示受害者。点的大小代表所涉及的ETH数量,边缘的厚度代表所转让的ETH或伪造代币数量。此外,很明显,以太坊对假币的汇率是稳定的(从330到1,125,000,参阅表中的“token/ ETH”列)。

针对虚假加密货币骗局的大规模端到端追踪
1616750376092

C.分析和检测套利骗局

(1)套利骗局的工作流程

下图显示了套利诈骗的工作流程,它由四个主要角色组成:受害者,接受ETH的诈骗地址,发送伪造token的诈骗地址以及冒充官方客户服务的诈骗者(例如伪造的Telegram账户)。根据收集到的骗局,总结了两种套利骗局:1)骗子在收到ETH之后直接返回伪造token;2)诈骗者首先返回官方代币,但随后在以下交易中返回伪造代币。

针对虚假加密货币骗局的大规模端到端追踪
1616750457025

类型1: 受害者将ETH发送到诈骗者提供的地址,并在几分钟内收到假冒伪劣货币,或者根本没有收到token。由于伪造token是骗子向受害者发送的手动信息,因此骗子可以轻松进行第二次骗局。如果受害者根本没有收到token,则假的imToken(加密货币钱包)客户服务将说明智能合约地址无法成功读取受害者地址。受害者需要将相同数量的ETH发送到相同的诈骗地址以进行回滚以获得ETHback或提供私钥寻求帮助。如果受害者收到了伪造的代币并确定他们不能使用伪造的代币在交易所进行交易,则伪造的代币客户服务将说明代币数量太少而无法使用交易所进行提款,并且受害者需要向其发送更多ETH拿到token。

类型2: 受害者将ETH发送到诈骗者提供的地址,并在几分钟内首次收到官方token。然后,受害者会相信套利的真实性,并向诈骗地址发送更多的ETH,但第二次只会收到伪造的token。

(2)检测套利骗局

与空投骗局不同,本研究无法通过伪造token合约直接识别套利骗局,因为它们不直接接受ETH。因此,设计了由以下步骤组成的方法。首先,将伪造代币的每次转移都视为从骗子到受害者的候选转移。因此,转移中的接收者地址可能是潜在的受害者地址。请注意,套利骗局的一个主要特征是,受害者在获得伪造token之前应该已经将ETH发送到诈骗地址(发现几乎所有受害者在他们收到伪造token后的2小时内都从已确认的诈骗地址收到了伪造token)。在收集的骗局中发送了ETH)。因此,进一步确定了潜在受害者的相应ETH转移交易。ETHtransfer交易应该是在伪造token转让之前的最新交易。因此,ETH传输中的接收者地址应该是在Telegram或其他平台上发布的诈骗地址。这样,可以准确地识别套利诈骗并标记受害者地址和诈骗地址。

(3)结果与观察

上面的方法可以在收集的真实数据集中实现97.8%的召回率,其中有4个漏报案例。原因是通过伪造token的转移来跟踪诈骗地址,因此无法确认没有将伪造token发送给受害者的诈骗地址,即在这种情况下受害者根本没有收到任何东西。进一步将此方法应用于所有2117个伪造token,已经找到了与486个假冒代币相关的7,617个转账交易(以10个官方代币为目标),还确定了1,879个用于接受ETH的诈骗地址。为了衡量套利诈骗检测的潜在误报性,手动采样了100个已识别的诈骗地址,以调查其中一些是否为诈骗。一方面,在Google上检查已识别的诈骗地址,以查找它们是否参与了任何骗局帖子(例如Telegram group)。

针对虚假加密货币骗局的大规模端到端追踪
1616750803770

另一方面手动分析了他们的交易,以查看它们是否遵循某些特定模式。例如,真实的诈骗地址通常与多个受害者进行交易。如果他们的大多数交易都遵循本研究总结的模式(请注意,普通地址不会有此类行为),认为它们绝对是骗局。手动验证不会标记任何误报。总财务损失为73,300.9 ETH( 14,210,919.40)。

二次骗局: 观察到,超过29%的受害者(1473)被欺骗的次数超过一次。请注意,实际比例可能更高,因为攻击者有时会要求受害者将ETH转移到无法跟踪的其他地址。被骗得最多的受害者是0xE5D1Ef,他已将ETH转移到该骗局的地址有19次,总金额为2,799.1ETH($ 635,981.72)。

Type-1和Type-2骗局: 本研究也对从确认的诈骗地址获得过官方token的受害者感兴趣。4.6%的受害者已从诈骗地址(Type-2骗局)获得了官方token。然后,其中81%的人第二次将ETH发送到诈骗地址,这表明向受害者发送官方token可以大大提高受害者再次将ETH发送到诈骗地址的可能性。第二次发送ETH时,超过90%的受害者发送了比第一次发送的ETH多的ETH。

例如,受害者0xf8a6aa首次向0xa6C678 (诈骗地址)发送了1 ETH( 26,910.66)发送到了诈骗地址,但第二次只收到了伪造的代币。

D.骗局概述

(1)骗局影响

针对虚假加密货币骗局的大规模端到端追踪
1616750995181

本文总结了这些骗局的整体影响,包括涉及的地址,财务损失和受害者人数。如上表所示,看到565个伪造token涉及空投(87)或套利诈骗(486)。正如前文提到的那样,从未转让过超过27%的伪造token(579),并且几乎75%的伪造token(1,584)被转让的次数少于9次。手动分析了许多不那么流行的伪造token,发现很难根据没有交易或交易很少来证明其用途的合理性。这些较不流行的token可能用于测试或在某些诈骗中使用,但没有用户被成功欺骗。因此,不能基于无交易量来推断他们的初衷。根据其作用,将诈骗地址分为四类:假冒合约,假冒token创建者,接收ETH的洗钱地址和假冒token分发地址。从各个方面来看,套利诈骗的规模远大于空投的规模。平均而言,每个诈骗地址都有1.71个角色。对于套利诈骗地址,其角色更为具体(即,每个诈骗地址平均具有1.21个角色)。总体而言,成功欺诈了7,104名受害者,总经济损失为74,271.7 ETH($ 17,352,840.00),这是犯罪获利的较低估计值。有趣的是,两个骗局均欺骗了20名受害者。只有67.2%的受害者(4,775名)在被骗后仍然持有伪造token。推断,受害者在收到伪造token后,通常会尝试将这些token转移到其他地址以获得ETH。观察到大多数受害者是以太坊的新手,即交易和余额有限。在这些受害者中,超过5%的受害者(2,518)的交易少于20个,而92.8%的受害者(4,431)的余额小于0.2 ETH。

针对虚假加密货币骗局的大规模端到端追踪
1616751020466

(2)诈骗地址的资金流向

接下来跟踪诈骗地址的资金流向。例如,上图显示了180个随机选择的诈骗地址的资金流向。图中有三种类型的地址:1)识别出的诈骗地址(以橙色显示);2)资金转账地址(以紫色显示),用作洗钱的渠道,即从诈骗地址接收资金并帮助攻击者转移他们诈骗的资金; 3)属于某些已知的加密货币交易所的交易所地址。请注意,已从一家匿名的领先区块链公司购买了一项高级服务,以标记地址是否属于交易所,每个边代表地址之间的直接或间接关系。与这180个诈骗地址相关的共有3,351个转账地址和44个交换地址。显然,诈骗地址最终已通过多个资金转账地址转账到交易所。此观察结果与所有诈骗地址一致。例如,0x6cC5F6(OKEx的交换地址)已经从确定的27个诈骗地址中接收了ETH。Tokenlon的交换地址0xdc6c91已从17个诈骗地址接收到ETH。

对RQ2的回答: 已经确定了两种与伪造token有关的骗局,即airdropscam和套利骗局。总共发现有565个活动的伪造token与诈骗有关。这些骗局欺骗了7100多名受害者,总经济损失总计至少为1700万美元(74,271.7 ETH)。

0x06 Advertising Channels

A.方法

为了全面覆盖潜在的受害者,攻击者通常会在广告欺诈信息时提供其欺诈地址或伪造的地址。因此本研究实施了自动抓取工具,通过直接搜索地址来收集这些伪造token的广告信息。具体而言,首先将2117个伪造token地址及其对应的伪造地址提供给Google,然后收集所有相关信息。请注意,Google还会索引来自Telegram,Twitter和Facebook等社交网络平台的信息。因此,没有从这些社交网络平台上分别抓取信息。对于抓取的结果,进一步消除了与诈骗无关的信息。通过手动浏览收集的信息,发现有很多区块链浏览器和服务(例如Etherscan和bloxy.info)可以索引所有以太坊地址(包括骗局的地址)。因此,从这些服务中删除了搜索结果。对于其余结果,进一步手动验证它们是否是攻击者发布的广告信息。

B.广告平台

(1)总体结果

针对虚假加密货币骗局的大规模端到端追踪
1616760993372

从103个广告平台中识别了935条广告信息,其中大部分是知名的,包括Telegraph, Telegram,Facebook,V2EX ,Bctalk,Bytechats ,Bitcointalk,Telemetr,Sina,Twipu,Youtube,Steekmr,Zhihu,Tgchannels,Medium等。的确,社交平台和区块链论坛是使用最广泛的广告渠道。下表总结了结果。例如,确定了593个Telegram页面和128个Telegram组与伪造token诈骗有关。显然,空投和套利骗局显示出不同的广告策略。尽管已经发现了大量(661)套利广告信息,但它们仅在11个平台上有效,发现了96个被空投骗局利用的广告渠道。接下来,使用一些案例研究(请参见下图)来说明攻击者如何使用社交工程技术来欺骗用户。

针对虚假加密货币骗局的大规模端到端追踪
1616761014387

(2)Telegram

由于Telegram的匿名性,攻击者最常使用电报组作为广告渠道。在这里,以HuobiToken(HT)套利诈骗为例(见上图(a)),总结如何利用Telegram组。1)组名和图标:套利组通常伪装成官方组,因此其名称通常类似于“ Huobi官方套利教程组”,并使用HuobiToken(HT)官方图标。2)广告文案:Telegram组中的固定消息用于发布(欺诈性)套利教程。本教程详细介绍了套利的工作流程和套利代币的普及。此外,诈骗者将在教程中插入正式且信誉良好的网站链接,从而提高了信誉。3)客户服务:每个电报组都有虚假的官方客户服务。客服还模仿了真实的HuobiToken(HT)Telegram官方组。如上所述,其主要目的是将受害者带入第二次骗局。此外,一旦受害者发现自己被欺骗,假冒的客户服务将把那些试图暴露出Telegram骗局的人赶出去。4)机器人帐户:对于诈骗Telegram组,确定每个组都有成千上万的成员,但其中大多数是机器人。小组中的机器人伪造了谈话,使受害者错误地认为套利是真实的和有利可图的。

(3)YouTube

攻击者可以利用内容共享平台来分发欺诈信息。在YouTube上使用欺诈来展示广告流程(请参见上图(b))。他们通常伪装成空投的官方教程,为潜在的受害者说明完整的空投过程。为了提高信誉,1)他们在视频上显示了一些虚假信息,表明许多用户已收到token;2)他们总是模仿名人(例如比尔·盖茨和以太坊的创始人维塔利克·布特林) 3)视频中嵌入了官方网站。

(4)区块链论坛

根据观察,在线论坛也是攻击者与潜在受害者(主要是空投骗局)接触的主要目标。以从ProgrammarSought中发现的空投骗局为例(请参见上图(c))。攻击者发表的文章也是空投的教程。为了提高其信誉,1)它提供了空投代币列表,这些代币可能与真实的官方空投混在一起。其中一些是免费空投,因此受害者可以免费获得代币,这使受害者相信所列的其他(骗局)空投的信誉。2)它还显示了空投完成后收到的token的屏幕截图。

对RQ3的回答: 攻击者滥用了许多信誉良好的平台来帮助传播有关伪造token的欺诈信息。Telegram,Twitter和Facebook等社交网络平台是攻击者的主要目标。他们已经采用了各种社会工程技术来欺骗用户。

0x07 Discussion

A.研究意义

加密货币的治理: 考虑到本文发现的大量伪造token和骗局,需要改进加密货币的治理。需要设计用于规范加密货币命名方案的策略。但是,就像域名抢注问题仍然存在多年一样,要完全解决伪造token问题并不容易。即使以太坊不允许创建者发布具有相同标识符名称的ERC-20 token,域名抢占领域中的其他多种攻击也包括:域名抢注(例如“ yuotube.com”),位抢占(随机位翻转,例如,“ yo5tube.com”),基于同形异义词的抢注(例如“ y0utube.com”)和发音 抢注(例如“ yewtube.com”)会很容易地应用于token名称/符号,以误导用户。

加密钱包、交易所和区块链浏览器: 加密货币钱包,交易所和区块链浏览器有责任检测伪造token并保护用户免遭欺诈。本文的方法可以集成到主要交易所中,并且可以阻止此类骗局。例如,一旦找到了新的伪造token,本文方法就可以帮助标记与它有关的所有可疑诈骗地址,并在用户与这些地址进行交互之前向用户发出警告。发现主要的区块链浏览器(例如Etherscan和Bloxy)已经开始使用自己的方法来标记诈骗地址,因此本研究也可以在这些浏览器中实施,以帮助标记与假币相关的骗局并及时提醒用户。

官方加密货币创建者的责任: 他们应负责搜索和识别伪造token,甚至伪造的社交网络帐户(例如,Telegram和Twitter)。在这种情况下,加密货币创造者可以采取措施减轻可能的滥用(例如,通过向监管机构和投资者报告)。此外,他们应定期发布公共公告以提醒用户。

投资者意识: 在投资者中也应该提高意识。投资者应该记住,在加密货币的世界里没有免费午餐这样的东西。

广告渠道: 最后,由于本文已经确定了攻击者利用的许多广告渠道,包括信誉良好的社交媒体平台,因此迫切需要规范这些平台上发布的内容,这有助于减少欺诈的传播。

B.局限性

本文工作有几个局限性。首先,仅研究与以太坊上排名前100的官方加密货币有关的伪造token。尽管观察表明,攻击者更有可能将目标锁定为具有高市值排名的流行代币,但很有可能存在一些伪造代币,其目标是本文研究以外的其他加密货币。其次,伪造的加密货币可以针对任何加密货币平台上的官方token,而本文只关注以太坊上的伪造的ERC-20 token,因为ERC-20是最受欢迎的token标准,占区块链生态系统中90%以上的替代token。尽管如此,伪造token可能存在于其他区块链平台中,例如EOSIO和Tron。第三,借助现有的欺诈报告,对与虚假代币相关的两种典型欺诈进行了特征化。但是,可能还有其他与本研究未涵盖的伪造token有关的骗局。最后,尽管本研究尽了最大的努力来了解虚假加密货币诈骗的整体工作流程,但对诈骗背后的攻击者缺乏深入的了解,本文确定的社会工程技术和广告发布渠道可能只是冰山一角。

0x08 Conclusion

本文介绍了对以太坊上的虚假加密货币的首次大规模深度研究。研究表明,伪造token在加密货币生态系统中很普遍,因此需要更多的努力来识别和防止加密货币滥用。已经对与伪造token有关的两类骗局进行了特征描述,并设计了识别空投骗局和套利骗局的方法。至少有7,104名受害者被骗,总利润超过$ 17,352,840.00。通过研究伪造token和骗局的广告渠道,发现攻击者已利用103个平台来传播欺诈信息。

安全学术圈招募队友-ing, 有兴趣加入学术圈的请联系secdr#qq.com

针对虚假加密货币骗局的大规模端到端追踪

本文始发于微信公众号(安全学术圈):针对虚假加密货币骗局的大规模端到端追踪

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: