背景

近期，一名受害者联系到慢雾安全团队，咨询 @pig_space 是否为慢雾员工。据了解，X 账号 @pig_space 假扮为 Web3 招聘人员，诱导受害者在电脑上安装恶意程序，随后，骗子接管了受害者的钱包和 X 账号。

慢雾安全团队收到消息后，第一时间展开分析并披露部分已知信息。

分析过程

@pig_space 自称还是慢雾的数据科学家，我们先通过骗子 X 主页挂的 Linktree 链接展开分析。打开骗子挂的 Linktree，得到了以下链接：

[1] https://referrals.linea.build/?refCode=2VPV86FK9s

[2] https://debank.com/profile/0x386f55fddbadf4920cc35920902215fe7ce94808

[3] https://opensea.io/GotRekt69

[4] https://mirror.xyz/gotrekt.eth/collection

从链接 [2] 我们找到了地址 0x386f55fddbadf4920cc35920902215fe7ce94808，沿着这个地址我们又找到了另一个 X 账号 @gotRekt1337。

从这个账号常常回复他人推文的行为和内容来看，应该是“活人”运营的。而且，继续分析发现骗子曾使用过繁体中文。

在分析链接 [4] 的过程中，我们发现 @pig_space 也有使用繁体中文的情况。

使用链上反洗钱和追踪工具 MistTrack 分析地址 0x386f55fddbadf4920cc35920902215fe7ce94808，我们找到一些相关 ENS。

根据其中一个 ENS hexxed.eth 分享在链上社交平台 Warpcast 的内容，我们可以推断这名骗子的母语是中文。

接下来，我们看看能从 X 账号 @gotRekt1337 中挖出什么来，在 Open Friend 上检索这个 X 账号，关联到了一个新地址：0x159382c5996dc7d05277e60e0ca47411c758c28e。

使用 MistTrack 查询该地址，发现该地址已被打上推特号为 @pig_space 的标签，从资金链路上看，0x159382c5996dc7d05277e60e0ca47411c758c28e 直接关联

0x386f55fddbadf4920cc35920902215fe7ce94808，而且地址 0x159 的手续费来源是 0x386，进一步证实了@gotRekt1337 和 @pig_space 为一个人所有。

通过分析地址 0x386f55fddbadf4920cc35920902215fe7ce94808 关联的另一个 ENS formosalabs.eth，我们了解到这个实验室在加拿大：

官网：https://www.formosalabs.com/

地址：4789 Yonge Street (Suite 303) Toronto, Ontario, Canada

这条线索不能明确印证骗子和该实验室有强关联，不过，骗子此前在 Warpcast 分享过关于加拿大的一些信息，我们推断黑客现 / 曾居住在加拿大。

骗子还曾在 Warpcast 上对被盗的人表示过同情和鼓励。

再用 MistTrack 分析受害者提供的骗子地址 0x79246fc9fa5c8f7f1fa87abfc474035b85b31bad，该地址用到以下跨链桥及平台: Relay Protocol, cryptomus.com, WhiteBIT, Changelly, Chainflip, Across Protocol, Bridgers.xyz, THORChain, Kucoin 等，后续转移地址交易量比较大，此处不详细展开。值得注意的是，我们发现这起事件的洗币手法跟骗局套路不是一个水平，因此，团伙作案的可能性比较大。

写在最后

慢雾创始人余弦在 X 上公开对这名骗子发了警告提醒后，骗子选择了屏蔽。本文仅披露了部分调查结果，且受害者已寻求执法介入，以上线索及暂不方便公布的线索我们都将提供给执法单位，我们再次建议骗子尽快退还受害者的资金。风险管理这方面，需要勤学多练，比如不取不义之财，比如做好账号隔离，比如不要冒充安全公司的员工。当然，及时回头亦是在管理风险。