以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

LUS:Honeypot 攻擊在過去一周內增長 6 倍,瞄準初到去中心化世界的新新人類

Author:

Time:1900/1/1 0:00:00

作者:GoPlusSecurity

受FTX事件影響,近期大量用戶將數字資產從中心化交易所向去中心化錢包轉移,導致鏈上活躍用戶激增,DEX用戶數及交易量均達到六個月內高點。

同時活躍的還有Honeypot攻擊者。截至2022年11月21日,GoPlusSecurity近一周監測到的新增攻擊方式超過120種,攻擊次數增長6倍。這些數據表明,近期鏈上用戶數量增長的同時,攻擊者也更加活躍。初到去中心化“黑暗森林”的新增用戶對陌生環境的安全意識、攻擊手段缺乏認知,被攻擊者屢屢得手。

GoPlusSecurity對Honeypot新增攻擊方式的分析表明,隨著資產發行合約攻防的加劇,攻擊方式愈加呈現復雜化和動態化的趨勢,我們梳理了幾種常用的攻擊方式:

韓國電信巨頭SK將在元宇宙平臺ifland舉行虛擬演唱會Meta Hong:9月19日消息,韓國電信巨頭SK將在其元宇宙平臺ifland舉行虛擬演唱會Meta Hong音樂巡演,其中10CM、善宇正雅、嘉德花園等樂隊歌手將參加此次音樂會,從9月19日到23日,每天將依次公開1組表演,之后從24日到25日將同時展示所有的公演內容。(News1)[2022/9/19 7:05:27]

混淆代碼

通過降低代碼可讀性,增加無效邏輯或混亂的調用關系,通過復雜的實現邏輯,增加安全引擎的分析難度。

偽造知名合約

把攻擊合約偽造成知名項目的合約,通過偽造合約名稱、偽造合約實現過程,誤導引擎,增加誤判概率。

美股盤前:區塊鏈概念股盤前走高 Marathon Digital漲超5%:3月1日消息,美股盤前,美股區塊鏈概念股走高,截至發稿,Marathon Digital(MARA.US)漲5.44%,Riot Blockchain(RIOT.US)漲4.18%,比特數字(BTBT.US)漲3.82%,MicroStrategy(MSTR.US)漲2.03%。根據加密數據公司Kaiko早前統計的數據顯示,使用盧布的比特幣交易量已飆升至今年5月以來的最高水平,而格里夫尼亞(烏克蘭貨幣)的比特幣交易量則攀升至去年10月以來的最高水平。比特幣一度升破44000美元,截至發稿,比特幣漲13.21%至43415美元。[2022/3/1 13:30:17]

隱蔽的觸發方式

Hackathon DAO獲得100萬美金捐助,推動去中心化、無許可的開源創新:11月19日消息,Hackathon DAO獲得100萬美金捐助,資助方為Dora Factory。Hackathon DAO是一個去中心化的開發者社區,通過資助黑客馬拉松的方式,幫助和鼓勵全球開源開發者,讓他們專注于真正有價值的技術難題和創新,推進開源運動在Web3及新科技領域中的發展。[2021/11/19 22:04:20]

把觸發條件隱藏在用戶交易行為里,交易行為再做復雜化處理,往往通過嵌套幾層判斷條件,才觸發交易中斷、增發或轉移等風險行為,達到實時修改合約狀態,盜取用戶資產的目的。

偽造交易數據

為了讓交易看起來更真實,攻擊者還會隨機觸發空投、對敲等行為,這樣一是可以引誘更多用戶上鉤,二是可以讓交易行為看起來更自然。

代碼示例

此示例中攻擊者使用多種方式掩蓋自己的攻擊意圖,最終達到兩個主要目標:

交易暫停

241行返回的lpTotalSupply不能減少,否則不滿足245行的require判斷導致交易失敗,達到交易暫停的目的。

_uniswapV2Pair不一定是UniswapPair合約,也有可能是項目方自己部署的其他實現了totalSupply方法的合約,只要這個方法的返回值小于上次交易的值,就能暫停交易。

先增發再轉賬

滿足257行的判斷條件from為特定地址,并且amount大于totalSupply,則會憑空給from增加大于totalSupply的余額,實現先增發再轉賬的效果。

GoPlusSecurity提醒用戶,Honeypot攻擊往往還會設計前置場景,比如通過錢包空投、在行情網站上線交易數據,或在社群散布虛假信息、碰瓷知名項目等方式引導用戶上鉤。市場恐慌情緒甚囂塵上、假信息橫飛、用戶操作變形等都會給攻擊者更可多趁之機。GoPlusSecurity會實時關注攻擊者動向,并對新型攻擊方式進行及時播報。

GoPlusSecurityAPI提供實時、準確的Honeypot識別。用戶可以在GoPlus合作伙伴的產品中使用安全檢測功能,調取GoPlus實時更新的安全數據,規避風險。

去中心化錢包:

TokenPocket—內置Token安全檢測及授權合約安全檢測功能。

ONTOWallet—內置Token安全檢測功能。

HyperPay—內置Token安全檢測功能。

BitKeep—內置Token安全檢測功能。

插件錢包:

MaskNetwork—可查詢Token及NFT的安全信息,同時具備授權合約安全檢測功能。

行情軟件:

AVE—可查詢Token的安全信息。

ApeSpace—可查詢Token的安全信息。

瀏覽器:

GoPlusEco—可直接輸入安全相關問題,搜索解決方案。

Tags:HONLUSPLUPLUSHonestCoinGlobal Digital Cluster CoFootie PlusViplus

酷幣下載
NAN:華爾街日報:SBF 曾在 FTX 此前 4.2 億美元 B-1 輪融資中出售個人持股套現 3 億美元

據華爾街日報援引FTX財報審查人員及知情人士報道,FTX前首席執行官SBF曾于去年10月,在FTX完成的4.2億美元B-1輪融資中通過出售個人持股套現3億美元資金.

1900/1/1 0:00:00
ARK:Beosin:FTX 攻擊地址已對大額資產進行兌換轉移跨鏈等操作

據Beosin旗下BeosinEagleEye安全風險監控、預警與阻斷平臺監測顯示,截止2022年11月15日,FTX攻擊地址已對大額資產進行兌換轉移跨鏈等操作.

1900/1/1 0:00:00
SDC:穩定幣的市場版圖將如何重塑?

撰文:Azuma,Odaily星球日報“第二次穩定幣大戰已然打響。”這是數天前?FTX??創始人??SamBankman-Fried在談及近期穩定幣市場的競爭及份額變化時給出的評語.

1900/1/1 0:00:00
Gate.io:知情人士:Gate.io 以太坊錢包資產僅有 4.79 億美元,其中 ETH 和 USDT 占總資產的 21%

鏈上分析師Lookonchain在社交媒體上稱,鏈上偵探ZachXBT披露加密交易所Gate.io曾在2018年4月21日被朝鮮黑客盜取2.3億美元,至今未向客戶公布.

1900/1/1 0:00:00
LID:Do Kwon:希望有更多事實被曝光,對 UST 事件受損者感到抱歉

Terra創始人DoKwon?發推表示:“我對在UST上蒙受損失的投資者感到抱歉,我仍然認為加密最重要的用例是成為超越一切的去中心化貨幣.

1900/1/1 0:00:00
SEE:SeeDAO 萬字專訪:11 個月 4 次低谷,一個 DAO 如何從停滯中重生?

作者:Jack(0x137),BlockBeats在談到國內DAO組織時,很多人最先想到的就是SeeDAO。這個年輕的DAO探索者,用了不到一年時間,就在國內外建立起了強大的社區認同.

1900/1/1 0:00:00
ads