Куда-то улетели USDT с кошелька (наполняется)

[Mask]

Имеется некий адрес: 0xEB1DA064cd0eaC3C0Ed3416f64447773875601fD

Он использовался для проверки аирдропов и токены не планировалось с него какие-либо выводить, но их наличие постоянно отслеживалось.

Вся суть в том, что на кошельке в BEP-20, среди прочих фантиков, было 14,2 USD (Binance-Peg BSC-USD, контракт 0x55d398326f99059fF775485246999027B3197955), но 21 июня они были выведены в неизвестном направлении злоумышленниками. Цель данного топика, обсудить эту ситуацию. Может подобные случаи у кого были, может кто-то встречался с данными смарт-контрактами. Главное выяснить, как это могло статься, что бы в будущем подобная история не повторилась на рабочем адресе.

 

Для полноты картины, что бы легче понять что, откуда и куда приходило/уходило, воспользовался сервисом Arkham:

Несмотря на то, что я указывал для проверки 0xEB1DA064cd0eaC3C0Ed3416f64447773875601fD, в сервисе отображается 0x48d30Aa96019D881eaA0b96556c99463D38b8EC3.  

Дело в том, что это некий смарт-контракт, которому дан неограниченный доступ к токену USDT. 

 

Если посмотреть через revoke.cash, то можно в этом убедится:

 

Ситуация следующая. Месяц назад с одного гемблинг-ресурса (0x59A0de180702386D7E9A2ec5796fB88997Cd8e08), пришли 9.6 USDT, четыре дня назад ещё 4,6 USDT. 

 

Два дня назад, в начале суток 21 июня, с адреса 0x38b4272e3a3e30396BBB729030Bc28372320BFC7 пришли 0.019 BNB, затем тогда же с BewSwapUpgradeableProxy (0x48d30Aa96019D881eaA0b96556c99463D38b8EC3) ещё 0.056 BNB.

Затем все 14.2 USDT были переведены на 0x48d30Aa96019D881eaA0b96556c99463D38b8EC3, а оставшиеся BNB на FixedFloat Deposit (0x26fBF58d4aeA97c8E2De7C0173892436E1a9deee).

 

Были ли подключены на момент этой махинации какие-либо сайты к кошельку?

Да, накануне подключался сайт dappbay.bnbchain.org, поскольку на нём проводилась викторина, с возможностью выиграть 100 USDT. 

После произошедшего, в теме, которой я прочитал о данной викторине на одном из форумов, я отписался, что после посещения указанного ресурса, вскоре пропали с адреса USDT.

Автор той темы сообщил, что из-за моего сообщения, он прошерстил форумы в интернете с темой про эту викторину и не обнаружил нигде подобной ситуации. Как бы там не было, только этот сайт оставался подключен в момент ограбления. 

 

Выдвигается одна из теорий, что dappbay.bnbchain.org может быть не причастен и доступ к кошельку был предоставлен намного раньше другому ресурсу.

Допустим, но 9,4 USDT уже как месяц лежали на адресе и никто их не трогал или может есть некий порог, допустим, наличие от 10 USDT активирует функцию кражи актива?

 

Что известно в Интернете, про фигурирующие выше адреса.

0x48d30Aa96019D881eaA0b96556c99463D38b8EC3 - смарт-контракт, который получил все USDT. Адрес создателя 0x5bc36cbD4314e8Ed6D6a9440392efa004a2eBE97

 

0x38b4272e3a3e30396BBB729030Bc28372320BFC7 - с этого адреса пришли 0.019 BNB. Этот адрес пополнялся 20 июня, видимо специально, что бы задействовать в ограблении. 20 июня это тот момент, когда получены 4,6 USDT от гемблинг-ресурса и пройдена викторина на dappbay.bnbchain.org.

 

На данный момент на моём уже бывшем адресе для проверки аирдропов, так же значится некий токен (контракт 0xd048B4c23af828e5BE412505a51A8Dd7b37782DD), который в bscscan обозначен как Phish / Hack. Указано, что было выпущено 2,000,000 токенов, которые распределены среди 5,152,224 адресов. 

Данный токен согласно Arkham, называется AIAvail. Согласно coinpaprika это AI Avail, AI-A.

 

 

[Helber]

@Old Miner, извините, что побеспокою. Вы видели эту тему? Не можете ли высказаться по ситуации, в которую попадал наш модератор?

[Old Miner]

1 час назад, Helber сказал:

Не можете ли высказаться по ситуации, в которую попадал наш модератор?

Да, в общем, топикстартер все и так хорошо расписал. Если он по своей инициативе не совершал транзакции с контрактом 0x48d30Aa96019D881eaA0b96556c99463D38b8EC3, значит этот контракт вредоносный.

 

На сайте dappbay.bnbchain.org, упомянутом топикстартером, есть раздел, посвящённый высокорисковым проектам. Там нет поиска по адресу контракта, но можно попробовать поискать по названию проекта, с которым взаимодействовал топикстартер.

[Mask]

21 час назад, Old Miner сказал:

Если он по своей инициативе не совершал транзакции с контрактом 0x48d30Aa96019D881eaA0b96556c99463D38b8EC3, значит этот контракт вредоносный.

Транзакции не совершал. На тот момент был подключен только вышеуказанный сайт к адресу.

Не мог же тот контракт быть подключен год или более назад, а проявить себя как на адресе появились USDT? Ну и если бы он был подключен год назад, то там вначале раньше упало 9,6 USDT, почему то на них он не сработал или у него возможно установка, проявлять себя, как на адресе допустим от 10 USDT? 

Появился наводящий вопрос, если на него вновь закинуть 1 USDT, что произойдёт? Или он будет ждать вновь некую сумму, например от 10 USDT или он моментально переведёт на него BNB, что бы снять  USDT? Если переведёт BNB, то есть вероятность успеть перевести их на другой адрес?

[Drow]

Так можно же проверить все самому, закинул 5$ подождал, закинул еще 5$ и смотришь будет забирать или нет. Вполне возможно что крадут только когда >10$

Можно отозвать разрешение https://bscscan.com/tokenapprovalchecker?search=0xEB1DA064cd0eaC3C0Ed3416f64447773875601fD

и закинуть снова 10$ и посмотреть что будет.

[Mask]

В 05.07.2023 в 18:34, Drow сказал:

ак можно же проверить все самому, закинул 5$ подождал, закинул еще 5$ и смотришь будет забирать или нет. Вполне возможно что крадут только когда >10$

Как бы 10 баксов кидать стрёмно для проверки. Бакс можно, но там до инцидента больше 9 лежало и не нужны были.

Функция Revoke денег стоит, проще новый адрес завести.

 

Edited 11 Jul 2023, 10:24 by Mask