استخدم المحتالون خدمة استنزاف المحفظة تسمى “MS Drainer” للقيام بذلك سيفون ما يقرب من 59 مليون دولار من العملات المشفرة من الضحايا على مدار الأشهر التسعة الماضية، وفقًا لتقرير صدر يوم 21 ديسمبر عن X (تويتر سابقًا) من منصة أمان blockchain Scam Sniffer. استخدم المحتالون إعلانات Google لاستهداف الضحايا بإصدارات مزيفة من مواقع العملات المشفرة الشهيرة، بما في ذلك Zapper وLido وStargate وDefiLlama وOrbiter Finance وRadient، حسبما ذكر التقرير.
1/ تنبيه: تم ربط “مصرف المحفظة” بحملات التصيد الاحتيالي على بحث Google وإعلانات X، مما أدى إلى استنزاف ما يقرب من 58 مليون دولار أمريكي من أكثر من 63 ألف ضحية في 9 أشهر. pic.twitter.com/ye3ob2uTtz
— احتيال الشم | مكافحة الاحتيال عبر ويب 3 (@realScamSniffer) 21 ديسمبر 2023
استنزاف المحفظة عبارة عن بروتوكولات blockchain تسمح للمحتالين بنقل العملات المشفرة من الضحية إلى المهاجم دون موافقتهم، عادةً عن طريق استغلال عملية الموافقة على الرمز المميز. عادةً ما يتقاضى المطورون نسبة مئوية من الربح مقابل استخدام برنامج التصريف الخاص بهم، ويتم فرض هذه الرسوم من خلال العقود الذكية، مما يجعل تجنبها مستحيلاً.
متعلق ب: Pink، Pussy، Venom، Inferno – المصرفون قادمون للحصول على محفظة عملات مشفرة قريبة منك
أصبح Scam Sniffer على علم بـ MS Drainer لأول مرة في مارس. وفي ذلك الوقت، ساعد فريق منصة SlowMist الأمنية في التحقيق. وفي شهر يونيو، قدم المحقق الموجود على السلسلة ZachXBT مزيدًا من الأدلة، حيث كشف عن عملية تصيد احتيالي تسمى “Ordinal Bubbles” والتي كانت مرتبطة بالمصرف. وكشف المحققون عن تسعة إعلانات تصيد مختلفة على جوجل، 60% منها تستخدم البرنامج الخبيث.
في الظروف العادية، تستخدم Google أنظمة التدقيق لمنع نشر إعلانات التصيد الاحتيالي. ومع ذلك، وجدت Scam Sniffer أن المحتالين استخدموا “تكتيكات الاستهداف الإقليمي وتبديل الصفحات لتجاوز عمليات تدقيق الإعلانات، مما أدى إلى تعقيد عملية المراجعة” والسماح لإعلاناتهم بالمرور عبر أنظمة مراقبة الجودة في Google.
استخدم المحتالون أيضًا عمليات إعادة التوجيه عبر الويب لخداع مستخدمي Google ودفعهم إلى التفكير في الروابط التي تؤدي إلى مواقع الويب الرسمية. على سبيل المثال، تم إخفاء موقع الاحتيال cbridge.ceiler.network، الذي يحتوي على خطأ إملائي في كلمة “Celer”، على هيئة عنوان URL الصحيح: cbridge.celer.network. على الرغم من عرض التهجئة الصحيحة في الإعلان، إلا أن الرابط أعاد توجيه المستخدم إلى موقع الاحتيال الذي تمت كتابته بشكل غير صحيح.
ذكرت شركة Scam Sniffer أنها عثرت على 10,072 موقعًا مزيفًا تستخدم MS Drainer. وقد بلغ نشاط المصرف ذروته في تشرين الثاني/نوفمبر ثم انخفض منذ ذلك الحين إلى ما يقرب من الصفر. خلال عملياتها، استنزفت ما قيمته 58.98 مليون دولار من العملات المشفرة من أكثر من 63000 ضحية، وفقًا للوحة تحكم Dune Analytics التي تم إعدادها لتتبعها.
كشف المزيد من التحقيقات أن مطور MS Drainer استخدم استراتيجية تسويق غير عادية. في حين أن معظم من يستنزفون المحفظة يتقاضون نسبة مئوية من أرباح المحتالين، فقد تم بيع هذه المحفظة في المنتديات مقابل رسم ثابت قدره 1,499.99 دولارًا. إذا أراد المحتال المزيد من الميزات، فقد قدم له المطور “وحدات” إضافية مقابل 699.99 دولارًا أو 999.99 دولارًا أو مبالغ مماثلة.

أصبحت استنزافات المحفظة مشكلة كبيرة في نظام Web3 البيئي. في 26 تشرين الثاني (نوفمبر)، ادعى مطور برنامج تجفيف “Inferno” أنه سيتقاعد من العمل به بعد نجاحه في سرقة أكثر من 80 مليون دولار من الضحايا خلال عمر البرنامج. وفي شهر مارس، صدر إعلان مماثل عن التقاعد من قبل مطور لعبة “Monkey Drainer”، والذي نجح في سرقة ما يقدر بنحو 13 مليون دولار حتى تلك اللحظة.













