TxPhishScope: Towards Detecting and Understanding Transaction-based Phishing on Ethereum

TxPhishScope: Towards Detecting and Understanding Transaction-based Phishing on Ethereum
CCS 2023

笔记

本文介绍了一项关于TxPhish的研究，TxPhish是以太坊区块链上一种基于交易的新型网络钓鱼骗局。作者对 TxPhish 进行了首次实证研究，包括 TxPhish 活动的过程和网络钓鱼交易的细节。他们提出了 TxPhishScope，这是一个动态访问可疑网站、触发交易并模拟结果以检测 TxPhish 网站并提取网络钓鱼帐户的系统。作者成功检测并报告了 26,333 个 TxPhish 网站和 3,486 个钓鱼帐户，使 TxPhishScope 成为最大的 TxPhish 网站检测系统。他们还提供了四个网络钓鱼账户及其资金流向总额为150万美元的刑事证据，以帮助受害者追回资金。该文件还包括对 TxPhish 网站的全面分析，揭示了它们的寿命短、成本低和更新频率快。作者分析了钓鱼资金的流动情况，发现54.0%的钓鱼资金流入了中心化交易所。该研究为以太坊服务提供商提供了宝贵的见解，以保护用户免受 TxPhish 的侵害，并协助恢复受害者的加密资产。

大意：

• TxPhish 是以太坊区块链上基于交易的网络钓鱼骗局。
• TxPhishScope 是一个检测 TxPhish 网站并提取网络钓鱼帐户的系统。
• TxPhishScope 成功检测并报告了 26,333 个 TxPhish 网站和 3,486 个网络钓鱼帐户。
• 为追回资金提供了四个网络钓鱼账户及其资金流向共计 150 万美元的刑事证据。
• TxPhish 网站寿命短、成本低、更新频率快。
• 54.0%的网络钓鱼资金流入中心化交易所。
• 该研究为以太坊服务提供商提供了保护用户和收回资金的见解。

后续的研究方向

1. 开发钓鱼合约的自动检测技术：目前，钓鱼合约的检测主要依靠人工检测。未来的研究可以集中在开发自动化技术上，以便在网络钓鱼合约部署在链上后对其进行检测。这可能涉及分析合约代码、交易模式和其他相关功能，以识别潜在的网络钓鱼行为。

2. 分析 TxPhish 群组的工作流程：随着越来越多的个人加入网络钓鱼群组以及专门为 TxPhish 设计的工具包的可用性，需要对网络钓鱼群组使用的广告和利润分配流程进行全面研究。未来的研究可以侧重于分析 TxPhish 组织的工作流程，了解他们的策略，并识别其运营中的潜在漏洞。

3. 改进对网络钓鱼诈骗的检测和预防：虽然现有研究在检测和理解以太坊上基于交易的网络钓鱼方面取得了重大进展，但仍有改进的余地。未来的研究可以集中在开发更先进的人工智能模型和特征提取技术上，以增强对网络钓鱼诈骗的检测。此外，研究可以探索制定预防措施和安全机制，以保护用户免受网络钓鱼诈骗的受害者。

4. 调查新型网络钓鱼交易：随着诈骗者不断发展其技术，未来可能会出现新型网络钓鱼交易。未来的研究可以侧重于监测和分析新兴的网络钓鱼技术，识别新的模式和趋势，并制定有效的对策来降低与这些新型网络钓鱼交易相关的风险。

5. 与以太坊服务提供商合作：为了有效保护用户免受网络钓鱼诈骗并协助追回受害者的资金，与以太坊服务提供商的合作至关重要。未来的研究可以侧重于与服务提供商建立合作伙伴关系，以分享见解、交换信息并制定联合策略来打击以太坊网络上的网络钓鱼诈骗。

总体而言，未来的研究应旨在不断适应和发展，以跟上网络钓鱼诈骗的动态性质，并探索创新方法来检测、预防和减轻与以太坊上基于交易的网络钓鱼相关的风险。

摘要

以太坊的繁荣吸引了许多用户发送交易和交易加密资产。然而，这也催生了一种新的基于交易的网络钓鱼骗局，名为TxPhish。具体来说，受高利润的诱惑，用户被诱骗访问虚假网站并签署交易，使骗子能够窃取他们的加密资产。在过去的一年里，发生了11起大规模TxPhish事件，总损失超过7000万美元。

在本文中，我们对以太坊上的TxPhish进行了首次实证研究，包括TxPhish活动的过程和钓鱼交易的细节。为了检测TxPhish网站并自动提取钓鱼帐户，我们提供了TxPhishScope，它可以动态访问可疑网站、触发交易并模拟结果。在2022年11月25日至2023年7月31日期间，我们成功检测并报告了26333个TxPhishwebsites和3486个钓鱼帐户。在所有有文献记载的TxPhish网站中，78.9%是我们首次报告的，使TxPhishScope成为最大的TxPhishWebsite检测系统。此外，我们提供了四个网络钓鱼账户及其资金流的犯罪证据，共计150万美元，以帮助追回资金为受害者。此外，我们在六个以太坊项目中发现了漏洞，并获得了赞赏。

根据检测结果，我们对TxPhish网站和钓鱼账户进行了全面研究。我们的研究表明，TxPhish网站使用寿命短，成本低，更新频率快。此外，我们对钓鱼资金流的分析表明，54.0%的钓鱼资金（4370万美元）流入了集中交易所，在那里可以追踪所有者的身份。我们的研究可以为以太坊服务提供商提供宝贵的参考，以保护其用户免受TxPhish的攻击，并帮助追回受害者的加密资产。

引言

近年来，基于区块链的去中心化金融（DeFi）显著增长。以太坊是第二代区块链平台，以智能合约的形式支持点对点交易和程序执行[67]。基于这些属性，开发人员可以发行代币【我们使用“代币”一词来表示用户在区块链上的加密资产。】并构建去中心化应用程序（DApp）。由于这些特征，以太坊吸引了大量用户的大量投资。截至2023年8月，以太坊的总锁定价值（TVL）已超过241亿美元，占DeFi领域总锁定价值[60]的58.1%。

TxPhish的定义

随着用户通过在以太坊上发送交易来交易代币，一种新形式的网络钓鱼骗局出现了。与传统的以受害者个人或财务信息为目标的网络钓鱼不同[74，84，85，96，97]，这种类型的网络钓鱼通过交易窃取用户的资产。具体来说，骗子诱骗受害者签署交易或消息【为了简单起见，我们将在以下部分中使用“网络钓鱼交易”一词来指代网络钓鱼消息和用户被欺骗签名的交易。】，使他们能够在交易中提取受害者的代币。由于网络钓鱼骗局主要涉及受害者的签名交易，因此本文将其命名为TxPhish。在2022年2月至2023年4月期间，我们目睹了11起重大TxPhish事件[8-10、14、15、31-33、38、56、64]，导致集体损失超过7000万美元。

TxPhish活动的整个过程通常包括几个步骤。首先，骗子引诱用户访问网络钓鱼网站并连接他们的钱包。然后，该诈骗程序在用户的帐户中搜索有价值的代币，并创建钓鱼交易。用户被引导相信交易可以产生利润，并盲目签署。因此，他们的代币很快就会流失。

对抗TxPhish的现有解决方案

为了打击以太坊上的网络钓鱼骗局，一些Web3服务提供商[37，44]和安全组织[25，39]已经建立了网络钓鱼域名和帐户列表。这些列表的来源主要依赖于用户的报告，可分为三类。第一类是受害者被欺骗的证据[54]。第二类是社交平台上的虚假广告[52]。第三种类型来自Web3安全研究人员手动搜索与已知钓鱼网站共享相同代码哈希功能的网站[53]。

然而，上述方法无法及时屏蔽大量的TxPhish网站。首先，由于网络钓鱼网站在传播后会很快离线，前两种方法已经太迟了，无法阻止它们。因此，许多网站在被报道时已经被删除。其次，由于TxPhish网站的工具包不断快速更新，代码哈希特征映射很容易被绕过，这使得第三种方法在TxPhish网页的检测规模上有所不足。我们收集的数据显示，从2022年9月1日到2022年11月1日，在最先进的Web3反钓鱼平台Chainabuse[26]中，每天只有大约34个TxPhish网站被报告。第三，现有的方法都是基于手工工作。由于骗子可以随时启动网络钓鱼网站，因此部署一个能够及时识别他们的检测系统是很重要的。此外，在大多数情况下，钓鱼账户的信息被忽略了。以上三种方法都侧重于检测和报告TxPhish网站的域名。在某些情况下，只有那些欺骗数百万美元的网络钓鱼账户才会被举报。尽管如此，发现网络钓鱼账户有助于保护用户和为受害者追回资金。总之，需要一种能够及时检测大量TxPhish网站并同时提取钓鱼账户的自动化系统。

TxPhishScope

尽管钓鱼网站在不断发展，但我们观察到TxPhish的过程通常是固定的。因此，我们提出了一个通过动态触发和模拟交易来检测TxPhish网站的系统，称为TxPhishScope。首先，它通过证书透明度（CT）[22]从实时注册的证书中检索域。然后，它通过分析域和网页内容来评估这些域是否与以太坊有关。接下来，TxPhishScope动态访问目标网站，连接到钱包，然后点击代币交易按钮来触发交易。最后，它模拟交易的执行[47]，并采用严格的逻辑规则来确定它是否是钓鱼交易。当检测到网络钓鱼交易时，TxPhishScope会自动保存证据链，包括屏幕截图、网站源代码和网络钓鱼交易的详细信息，以供报告。

我们已经部署TxPhishScope对TxPhish网站进行了超过八个月的大规模检测。为了阻止检测到的TxPhish网站并防止用户损失，我们验证证据链，并将其报告给两个信誉良好的实体：最受欢迎的以太坊钱包MetaMask[44]和用于区块链活动安全监控的实时检测网络Forta[39]。此外，我们向以太坊上最流行的浏览器Etherscan[37]报告钓鱼账户。从2022年11月25日到2023年7月31日，我们报告了26333个TxPhish网站和3486个钓鱼账户，没有误报。其中，93.1%的TxPhishWebsite是我们首次发现的。我们从MetaMask和Chainabuse收集的数据显示，78.9%的TxPhish网站是我们首次报告的。据我们所知，TxPhishScope是最大的TxPhsh网站实时检测系统。此外，我们提供了四个网络钓鱼账户的犯罪证据及其150万美元的资金流，以帮助受害者追回资金。此外，我们的系统还帮助识别了x以太坊项目中的漏洞，避免了潜在的用户损失并获得了赞赏。

测量

在了解TxPhishScope的实施细节后，骗子可能会尝试开发旨在绕过我们的检测机制的特定技术。尽管如此，我们还是收集了大量用于测量的数据。为了进一步深入了解生态系统，我们从三个不同方面对TxPhish网站进行了全面分析，即使用寿命、成本和更新频率。我们的观察结果显示，TxPhish网站的平均在线时长为113小时。尽管该网站会很快离线，但同一个网络钓鱼帐户可能会出现在另一个网站上。据统计，我们发现445个网络钓鱼账户在不同网站上出现了一个多月。为了节省成本，骗子更喜欢注册免费证书，并在同一父域下托管多个网站。我们已经发现6754个这样的网站共享673个父域。令人震惊的是，建立网络钓鱼网站的成本低至0.13美元。此外，考虑到新的Web3项目和技术的快速出现，Tish网站的模仿目标也会随着热点事件而发生相应的变化（从TrustPad[61]、Blur[21]、zksync[70]、Arbitrum[16]、AIDOGE[12]到pepe[50]）。

最后，为了协助受害者追回资金，我们对钓鱼资金流进行了全面分析。为了实现这一点，我们总结了用于处理钓鱼资金的常见技术，包括通过集中交易所（CEX）进行交易和通过混合器或跨链桥进行洗钱。此外，我们收集了630个活跃钓鱼账户的10705笔传入交易，并为每个账户构建了资金流图。与导致数百万美元损失的以太坊攻击不同，网络钓鱼骗局通常只从一个账户赚取几千美元。尽管可以追踪CEX中基金所有者的身份，但所有受害者都很难收集证据并共同联系当局。因此，骗子更喜欢通过CEX直接交换网络钓鱼资金。我们的研究结果显示，在8080万美元的钓鱼资金中，54.0%流入了集中交易所，而只有14.7%流入了混合器或跨链桥。我们还发现几个账户收到了大量钓鱼资金，截至2023年8月10日，这些资金仍未处理。此外，我们观察到骗子向在线赌场服务转移了270万美元[58]，这也是一种难以追踪的洗钱形式。

贡献

尽管在检测和测量钓鱼网站方面进行了广泛的研究[72，74–76，84，88–90，92–97，100，102，107，109]，但据我们所知，我们还没有发现任何现有的文献专门针对以太坊上的TxPhish网站。我们的工作旨在填补这一空白。此外，TxPhishScope可以持续部署，以检测更多的TxPhish网站并揭示其更多属性。我们希望我们的工作可以作为指导，帮助以太坊服务提供商保护其用户免受网络钓鱼诈骗，并帮助追回受害者的代币。我们的贡献总结如下。

我们首先在以太坊上系统化TxPhish，涵盖TxPhish活动的过程和钓鱼交易的细节。

我们建立了最大的TxPhish网站检测系统，名为TxPhishScope。我们收集的数据显示，78.9%的TxPhish网站是我们首次报告的。

我们对TxPhish的网站进行了全面的测量，重点关注它们的使用寿命、成本和更新频率。

我们总结了处理钓鱼资金的常用技术，并对资金流目标进行了深入分析。