欺诈者你见过 抽空你几百万美元资产还要秀演技的欺诈者你见过吗？lg...

在过去的几个月里，一种被俗称为Monkey Drainer的网络钓鱼工具包备受欺诈者们「喜爱」。

恶意供应商将这种工具包出售给那些试图窃取用户资金的潜在欺诈者。Monkey Drainer以及类似的网络钓鱼工具利用一种被称为Ice Phishing的技术来欺骗用户，诱导受害者给予欺诈者花费其账户资产的无限权限。

2022年11月，一次Ice Phishing事件让我们发现了参与Monkey Drainer骗局的两个欺诈者Zentoh和Kai所使用的钱包。

我们的调查非常有把握地确定：Zentoh和Kai是山寨Porsche非同质化token网站的幕后黑手。

流程细节

该网站利用的正是Monkey Drainer工具，并在2022年11月中下旬活跃了大约两周的时间。

来源：Porsche Monkey Drainer网站

该网站现在已经无法访问，但它曾被各种推特用户和机器人在社交媒体上大肆宣传。看起来也许是@BrieflyCrypto将这个骗局网站分享给了他的粉丝们。

一位使用以太坊域名服务（ENS）的受害者回复了@BrieflyCrypto的一条现已删除的推文，称@BrieflyCrypto分享的一个网站在申请使用用户的WBTC。尽管用户表示已“拒绝”交易，但如下图所示，他们似乎还是成为了骗局的受害者。

这个特殊骗局钱包的一名受害者在一次交易中损失了430万美元。该事件也是Ice Phishing攻击造成的最严重损失事件之一。

来源：Etherscan

这430万美元随后被迅速转移到0x6f7...26aa6，在那里被换成DAI，然后转移到0xc29...2cced。然后，受害者向持有被盗资金的钱包发出链上信息，要求欺诈者归还400万美元。

来源：Etherscan

欺诈者给受害者回了一条俄语信息。

来源：Etherscan

通过谷歌翻译后，该信息大意如下：

「我有点失去信心了，你是从哪得到这USDC的？你是谁？发生了什么？」

受害者试图再次联系该欺诈者，但再未收到回复。

Zentoh与Kai两大戏精飙戏

事件发展的走向逐渐离奇，欺诈者从一位自称是Zentoh的人那里收到了另一条链上信息。他们把持有被盗资金的人称为Kai。

来源：Etherscan

从这些信息上看，貌似发生了「狗咬狗」乌龙，一个欺诈者将价值430万美元的被盗货币转移到了自称Zentoh骗子无法控制的钱包里。

然而在另一条链上信息中，Zentoh将收到430万美元的钱包称为“他们的钱包”，这表明其实两个欺诈者都控制着接收者的外部账户地址（EOA）。

来源：Etherscan

Kai用俄语向损失了430万美元的受害者发了信息。但很明显，其实kai和Zentoh明明可以通过英语交流（Kai从他们控制的另一个钱包中曾给其前欺诈团伙“同事”信息中标明）。

来源：Etherscan

这场欺诈者通过链上消息「戏精附体」的场景并不多见，那在此之前，他们是怎么正常协调沟通的呢？（提前安排好剧本等）答案似乎是Telegram。

而其中所说的Megawhale巨鲸交易，就是指的那场430万美元的Ice Phishing事件。

? Zentoh

由于欺诈者使用了“Zentoh”这个名字，同时我们注意到Kai可以在Telegram上交流，因此推测Zentoh极有可能是欺诈者的Telegram账户用户名。

当我们搜索Zentoh时，发现了完全匹配的结果。

该账户已被确认在运营一个Telegram群，该群正在向骗子们出售网络钓鱼工具包。

在某Crypto Drainers Telegram频道的一个帖子中，贴出了一个关于钱包drainer如何工作的视频教程。该教程列出了钱包0x4E0...13cD8。

右下角的桌面设置表明拍摄此视频的人可能位于法国。视频中的音乐也是法国说唱。

在drainer演示中使用的钱包（来源：Etherscan）

当我们分析演示视频中提供的钱包时，我们发现它与Zentoh用来和Kai交流的钱包之间有明显的联系。

? 与monkey-drainer.eth之间的联系

Zentoh和Kai控制的钱包与最近“风头正盛”的Monkey Drainer骗子钱包，且是其中最大的那部分骗子钱包之间存在直接联系。

例如，Zentoh直接通过ENS mountedraf.eth为EOA提供资金，而ENS mountedraf.eth以前也持有ENS ZachXBT-fan.eth。

为mountedraf.eth提供资金的钱包与0xD84...6Aaee交互，后者从持有ENS federalagent .eth的钱包接收资金，而后者又向monkey-drainer.eth发送资金。

链上侦探ZachXBT在他关于Monkey Drainer骗局的最初主题中分析了monkey-drainer.eth和federalagent.eth钱包。

下图是简化的流程：

与TecOnSellix的联系

Telegram用户TecOnSellix在Twitter上被安全研究员@PhantomXSec确认为Monkey Drainer钓鱼工具包的卖家，其同时也是上文提及到的Crypto Drainers Telegram的联系人。

除此之外，TecOnSellix被列为Telegram频道Crypto Drainers的所有者，但据Zentoh的资料显示他也是该频道的CEO——因此TecOnSellix和Zentoh还可能是同一个人，0x32Moon也许也是其中的一个分身。

当在GitHub上搜索“TecOnSellix”时，我们看到有多个账户发布了加密drainer存储库的账户，其中有一个尤为引人注意：Berrich36。

我们已经确定了一些归属于GitHub用户“Berrich36”的账户。

如果这些账户之间的联系是合法的而非故意误导，那么Berrich36的真实身份则是一个居住在俄罗斯的法国国民。

Berrich36在其中一个存储库中发布了一个名为“XXX Crypto FXXX”的Telegram频道。

当我们搜索这个频道的成员时，我们看到Zentoh已经加入了这个群组。

下方是另一个出售Monkey Drainer工具的Telegram频道。

该Telegram频道链接到另一个群组，这个群组在宣传一个可供骗子们购买wallet drainer的网站。

Monkey Drainer网络钓鱼诈骗仍然是对Web3.0社区的一个持续威胁。

在此CertiK建议大家不妨阅读【洗劫数百万美元，警惕Web3.0独有钓鱼攻击升级版：Ice Phishing】来了解在恶意网站上批准权限的威胁，并采取安全步骤来保护自己。

写在最后

最近发生的一些Discord事件均与Monkey Drainer钱包有直接相关性：对Yaypegs、Cetus、Sui Name Service和Tsunami Finance Discord服务器的攻击与钱包0x0000098a31...f4582有关，该钱包则又与Monkey Drainer骗局钱包有关。

2023年1月21日，CertiK曾提醒社区：与Monkey Drainer钓鱼活动有关的钱包已将520个ETH（约85.9万美元）存入Tornado Cash。

可怕的是，Monkey Drainer Telegram频道仍在继续宣传drainer的成功以吸引更多欺诈者。

我们已经证明Zentoh是发售wallet drainer工具团伙的关键成员。

这些网络钓鱼工具包使恶意行为者从Web3.0社区窃取资产的行为变得相当容易。然而“离离原上谱”，根据Zentoh和Kai之间交互的链上信息，在他们将被盗的430万美元转移到自己的钱包时，对于Monkey Drainer骗局的操作，Kai很可能还只是个「新手」。

因此投资者和用户应该对潜在的网络钓鱼骗局提起200%的警惕，不要以为只有技术很牛的黑客，才可能骗到你的钱财，也不要怀有侥幸心理，觉得这种事情并不会发生在自己身上。

来源：金色财经