【转】威胁情报：AUMMIT资金托管公司存在交易风险，用户损失高达500多万

0x1 前言

今日DVP收到了来自Punnisher团队的一则威胁情报，该情报披露了AUMMIT资金托管公司存在交易风险，并通过一系列技术手段对其进行了深入分析，最后发现其存在欺诈行为，500多万用户资产无法追回...

0x2 详情

AUMMIT资金托管公司(www.aummit.com)借用英国韦德金融集团，实行诈骗行为。在拿到网站webshell和管理员后台用户名密码后，我们发现AUMMIT资金托管公司存在很严重的交易风险，500多万用户资产无法追回。

在对AUMMIT资金托管公司进行背景调查发现，该公司宣称，其前身是英国外汇企业Westfield Financial Solutions（韦德金融）。通过对韦德金融进一步查找，发现其官网明确指出，AUMMIT资金托管公司套用韦德国际的品牌做虚假业务。

通过对该服务器和相关证书进行调查取证发现，该服务器在美国，证书的注册信息均为虚假信息。

我们深入调查发现，AUMMIT资金托管公司的交易模式有两种，一种是投资虚拟货币，比如：BTC、ETH、LTC、EOS、BCH；另外一种则是资金定投。

它的收益方式一共有三种：第一种，投资虚拟货币，也就是活期投资；第二种，定期投资，每日分红；第三种，直推入金（存在三级以上的层级关系，即：团队领导人推广），最早入伍，发展的下线越多，获得的奖励也就也多，这也是该平台不断扩大自己规模的主要手段。

这里，我们发现了一种很有意思的情况，虚拟货币的投资永远只有利润，但没有亏损，这与真实的虚拟货币交易背道而驰。Punisher安全团队通过深入调查发现，该交易所活期投资收益的利率，其实已经被设定好。该交易所币价走势虽然跟真实的币圈走势相同，但虚拟货币的转入利率和提现利率都已经被设置，真实的交易价格跟虚拟货币的走势毫无关系。

为了进一步取证，我们通过用户邀请码，注册了该平台，这里Punisher团队用《计算机网络》基础知识获取了webshell权限。

我们获取到管理员的后台密码，成功登录到网站后台。

我们发现，该平台注册用户达2282人。AUMMIT资金托管公司以团队的形式不断发展下线，发展的下线人数越多，获得的奖励也就越多。据网络树显示，AUMMIT资金托管公司的团队创建者是Anndye，其直属下属是杨某和蒋某丽，根据分工不同，杨某接发展下线人数达到1652，其获得奖励近40万。每天上级领导者都会获得一定的佣金奖励，通过这种短期收益，短时间内，获取更多用户的诈骗手段，在当今社会屡见不鲜。

我们通过网站后台，获取到用户的邮箱、姓名等信息，如：Anndye的邮箱：56***722@qq.com，杨某的邮箱：936***78@qq.com。对获取到的信息进行整理，将团队主要成员的邮箱信息进行社工分析，有些属于QQ邮箱。

我们根据后台财务报表显示发现，该平台用户充值金额达855178.626$（人民币约5900732.5194），95059.982$（人民币约655913.8758）然后，用户提现只有11%左右，这个说明，AUMMIT资金托管公司诈骗用户金额达530多万。

据不完全统计，从2018.10.10日起，该交易所对用户提现，都已经不在理踩。截至2018.10.28日，共计796笔交易被搁置，约500多万的用户资产无法提现。

从2018.9.14日开始，该平台资金提现通过率就降低很多，从最初的第一笔交易到9月14日，只有短短1个多月而已。也就是说，该平台在短短一个多月的时间内，已经计划跑路。

然而，该平台每日的返利只是迷惑用户的障眼法，虽然平台已经跑路，但每天用户的收益，仍然会定时计算出来，发放给用户，相当于给用户开了一张空头支票。

并且，AUMMIT资金托管公司通过提前设定好的利率，达到返利的效果。这里，利率的设置分为两种：第一种，层级利率，它的作用是发展下线，分级给予相应的回报；第二种，托管利率，托管利率的作用，让虚拟货币的回报金额，按照设定好的比例进行发放。这也是为何虚拟货币的走势在这家交易所形如虚设的原因。

AUMMIT资金托管公司通过系统钱包设定，操纵资金交易。Pubisher安全团队深入调查发现，AUMMIT资金托管公司虚拟货币的转入汇率总是比提现汇率低，也就是说，该交易所的资金交易，永远亏损。该手法，是很多非法交易所常采用的手段之一。

Punisher安全团队对AUMMIT资金托管公司的钱包交易地址进行进一步追踪。

在对比特币追踪过程中，我们发现，比特币官方钱包地址在2018.8.7日已经将比特币全部转出，ETH的钱包地址全部转出时间为2018.8.30日。在对ETH钱包地址跟踪过程中，我们发现地址：0x4Ce9f39d3a0426d8d1F2Ad4FCfF0B92e86b9B914，存在重大洗钱嫌疑。

0x3 最后

以上详细内容是由Punisher团队在DVP(dvpnet.io)提交，我们鼓励白帽子鼓励继续提交类似的威胁情报~