Специалисты компании F.A.C.C.T. обнаружили новую мошенническую схему, направленную на сотрудников криптобирж и криптоэнтузиастов с использованием доменов ENS (распределенная система доменных имен, построенная на блокчейне Ethereum).
Эксперты Департамента расследований F.A.C.C.T. подробно рассказали, как работает новая криптосхема, о чем и пойдет речь в нашей статье.
Золото-бриллианты
Все начинается с того, что злоумышленники устанавливают бизнес-контакты с криптоинвесторами или сотрудниками криптобирж, обещая инвестиции в различные проекты. Фактически этот этап необходим для «прогрева» контрагента, то есть злоумышленники втираются в доверие, ставя контрагента в «зависимое положение».
В ходе дальнейшего общения злоумышленники просят помощи в поиске доверенных продавцов криптовалюты. Они утверждают, что нуждаются в криптовалюте для покупки бриллиантов и золота в странах, где операции с наличными якобы затруднены (в числе таких стран упоминалась Индия).
Чаще всего, когда продавцы криптовалюты требуют предоплату, мошенники отказываются и выдвигают встречные условия. Кража происходит в день, когда должна состояться сделка купли-продажи – должен приехать курьер с наличными деньгами из банка. Однако за несколько часов до назначенного для сделки времени злоумышленники запрашивают видеозвонок.
На видеозвонке они рассказывают, что им необходимо убедиться в «чистоте» криптовалюты, что она не засветилась в нелегальных переводах, так как такие переводы могут привести к заморозке криптовалюты на счёте при попытке вывода или связать покупателя с каким-либо исследуемым полицией уголовным делом.
Процесс верификации заключается в том, что продавец криптовалюты должен перевести свои средства с одного адреса на другой. Именно во время этого процесса проверки криптовалюта продавцов и похищается.
Во время видеозвонка продавец переведет свою криптовалюту с одного кошелька на другой (чтобы доказать, что криптовалюта настоящая). Поэтому, продавцу потребуется два криптоадреса. Затем злодей попросит продавца отправить деньги обратно на первоначальный криптоадрес продавца. Прежде чем продавец сделает это, покупатель попросит добавить строку «.eth» в конце адреса назначения, утверждая, что это ничего не меняет. В этот момент продавец обычно настроен скептически и подозрительно. Чтобы проверить обоснованность претензий покупателя, продавец отправляет небольшую сумму денег (например, 100 USDT, 10 USDT) на адрес вида свой_адрес.eth. Данный адрес фактически является ENS-доменом и на самом деле ведёт на другой ETH –адрес. Заметив, что деньги действительно поступили на его первичный адрес, он доверяет покупателю и переводит все оставшиеся средства на тот же домен ENS.
К сожалению, криптовалюта, переведенная в последней транзакции, так и не попадает к продавцу. Вместо этого она оказывается на адресе злодея.
Как же злодею удалось это провернуть?
Дело в том, что после того, как продавец совершил первую транзакцию, показавшую, что криптовалюта реальна, покупатель немедленно зарегистрировал домен ENS, идентичный адресу, с которого были отправлены деньги.
ENS (служба именования Ethereum) — это распределенная система доменных имен, построенная на блокчейне Ethereum. Подобно тому, как DNS связывает доменное имя с IP-адресом, ENS связывает доменное имя с Ethereum-адресом. Владелец домена проверяется в первую очередь по его адресу в блокчейне.
В нашем случае единственное различие в написании между адресом продавца и созданным доменом ENS заключается в наличии строки «.eth» в домене ENS. Зарегистрированный домен ENS будет указывать на криптоадрес злодея (а не продавца). Таким образом, когда продавец отправляет тестовую сумму в 10 USDT на ENS-адрес, покупатель (злодей) получает ее вместо него. Получив ее, он переводит ту же сумму на второй адрес продавца (не зная продавца) менее чем за 1 минуту.
Со стороны продавца, похоже, все в порядке, и он теперь доверяет покупателю. На основе этого доверия продавец отправляет оставшуюся сумму (обычно немалую) на свой адрес, добавляя в конце «.eth» в соответствии с указаниями покупателя. Это делается для того, чтобы доказать, что вся криптовалюта чистая и у получателя якобы не возникнет проблем с законом.
Как объяснялось ранее, деньги окажутся в крипто-кошельке злодея, указанном в записях ENS. Записи ENS можно проверить, указав адрес ENS на сайте https://app.ens.domains. Связанный криптоадрес можно увидеть на вкладке «Записи» («Records»). На этот раз злодей не будет переводить деньги на адрес продавца. Вместо этого он отправит средства на один из своих других криптоадресов, тем самым украв криптовалюту продавца. Через некоторое время продавец заметит, что так и не получил переведенные средства, но отменять транзакцию будет уже поздно.
Проверка записей ENS, которая показывает криптокошелек злодея:
Как и DNS-записи, ENS-записи могут быть изменены. То есть адрес, на который указывает домен ENS, может быть изменен его владельцем в любое время.
Просмотрев записи ENS, можно увидеть Ethereum адрес злодея и, воспользовавшись тем же сайтом (app.ens.domains), получить список всех ENS доменов, которые были созданы с использованием этого адреса. Используя криптоадрес злодея, было обнаружено, что на этот криптоадрес зарегистрировано несколько ENS доменов. Все эти ENS домены выглядят как действительные криптоадреса. Это означает, что злоумышленник, предположительно, нацелился на нескольких других продавцов криптовалют (жертв).
Домены, зарегистрированные с использованием криптоадреса злодея:
В начале 2024 года криптобирже предупреждали о новой угрозе. Департамент расследований F.A.C.C.T. детально рассмотрели механизм новой криптосхемы, а также обнаружили различные уловки злодеев.
Как не попасться на подобную схему?
Специалисты компании F.A.C.C.T. советуют быть внимательнее к условиям сделок, инвестирования, тщательно проверять информацию и не забывать о появлении новых мошеннических схем.
Изучайте опыт других инвесторов, возможно кто-то уже сталкивался с подобной схемой и написал об этом отзыв. Кроме того, схема уже могла использоваться за рубежом, и ее описали специалисты.
Обязательно подпишитесь на наш канал "Кибербез по фактам". Мы знаем о киберпреступности всё. Рассказываем самое интересное.
