揭秘新型骗局：恶意修改 RPC 节点链接骗取资产

背景

据合作伙伴 imToken 反馈，近期出现了一种新型的加密货币骗局。这种骗局一般以线下实物交易为主要场景，采用 USDT 作为付款方式，利用修改以太坊节点的 Remote Procedure Call(RPC) 进行欺诈活动。

作恶流程

慢雾安全团队对这类骗局展开分析，骗子的具体作恶流程如下：

首先，骗子会诱导目标用户下载正版的 imToken 钱包，并用 1 USDT 以及少量 ETH 为诱饵来取得用户的信任。然后，骗子会引导用户将其 ETH 的 RPC 网址重定向到骗子自己的节点 (https://rpc.tenderly.co/fork/34ce4192-e929-4e48-a02b-d96180f9f748)。

这个节点实际上已被骗子用 Tenderly 的 Fork 功能修改过，用户的 USDT 余额被造假，使其看起来就像骗子已经将款项打入用户钱包一样。于是，用户看到余额就会误以为已经到账。但当用户试图转入矿工费以变现账户中的 USDT 时，便会意识到自己上当了。而这时，骗子早已消声匿迹。

实际上，除了余额显示可以被修改，Tenderly 的 Fork 功能甚至可以改合约信息，对用户构成更大威胁。

(https://docs.tenderly.co/forks)

这里就得提一个问题 —— RPC 是什么？为了与区块链交互，我们需要通过合适的通用选项访问网络服务器的方法，RPC 就是一种连接和交互的方式，使我们能够访问网络服务器并执行查看余额、创建交易或与智能合约交互等操作。通过嵌入 RPC 功能，用户能够执行请求并与区块链进行交互。例如，如果用户通过连接钱包（如 imToken）使用去中心化交易所，其实就是在通过 RPC 与区块链服务器进行通信。一般来说，所有类型的钱包默认都会连接到安全的节点，用户无需进行任何调整。但是，若轻易相信他人，将钱包链接到不信任的节点，可能会导致钱包中显示的余额和交易信息被恶意修改，进而带来财产损失。

关于【揭秘新型骗局：恶意修改 RPC 节点链接骗取资产】的延伸阅读

• 长推：TON的2024夏季革命——内幕全解析

  NOTCoin作为TON summer 2024的代表，是一场被计划和组织的加密超级应用落地的大事件。最新数据显示，TON生态游戏用户数已突破1亿，TON wallet在Google Play排名第一，TON tvl突破4亿美金。此次TON summer 2024得益于内外双重利好，包括钱包支付功能、TON代币锁定、USDT部署、最快区块链纪录和Pantera投资。未来，TON生态将迎来超级联赛、Notcoin代币上线、Pantera投资等重大进展，为加密市场注入强心针。TON有望成为第五大加密生态，欢迎交流探讨。

• “粽”享端午：火币HTX多业务线开启限时福利活动

  火币HTX推出端午节限时福利活动，包括新币挖矿、KOL团队PK赛、合约争霸赛和合约跟单活动，总奖池高达120万美元。活动期间，用户可参与锁仓HTX瓜分奖励、分享Meme资产赢取端午周边、交易量达标可瓜分现金奖励，最高可得特斯拉Model Y。此外，火币HTX还推出多项活动，包括合约跟单、鲨鱼鳍产品、活期产品、HTX Square创意打卡等，参与者可获得丰厚奖励。活动时间为6月3日至6月16日，火币HTX致力于满足全球用户的需求，不断推出创新产品和服务。

MistTrack 分析

我们使用链上追踪工具 MistTrack 对其中一个已知的受害者钱包地址 (0x9a7…Ce4) 进行分析，可以看到该受害者地址收到了地址 (0x4df…54b) 转入的小额 1 USDT 和 0.002 ETH。

查看地址 (0x4df…54b) 的资金情况，发现该地址分别转出 1 USDT 到 3 个地址，看来这个地址目前已行骗三次。

再往上追溯，地址与多个交易平台关联，同时与被 MistTrack 标记为「Pig Butchering Scammer」的地址有交互。

总结

此类骗局的狡猾之处在于利用了用户的心理弱点。用户往往只关注其钱包中是否有款项到账，而忽视了背后可能存在的风险。骗子正是利用这种信任和疏忽，通过一系列如转账小额资金等让人信以为真的操作，对用户进行欺诈。因此，慢雾安全团队建议广大用户在进行交易时，一定要保持警惕，提高自我保护意识，不要轻信他人，避免自身财产受损。

免责声明：本文仅代表作者个人观点，不代表链观CHAINLOOK立场，不承担法律责任。文章及观点也不构成投资意见。请用户理性看待市场风险，以及遵守所在国家和地区的相关法律法规。
图文来源：Lisa，如有侵权请联系删除。转载或引用请注明文章出处！

标签：USDT加密