慢霧：空白支票eth_sign釣魚分析

文/Lisa & Kong

近期，我們發現多起關于eth_sign簽名的釣魚事件。

當我們連接錢包后并點擊 Claim 后，彈出一個簽名申請框，同時 MetaMask 顯示了一個紅色提醒警告，而光從這個彈窗上無法辨別要求簽名的到底是什么內容。

其實這是一種非常危險的簽名類型，基本上就是以太坊的“空白支票”。通過這個釣魚，騙子可以使用您的私鑰簽署任何交易。

除此之外，還有一種釣魚：在你拒絕上述的 sign 后，它會在你的 MetaMask 自動顯示另一個簽名框，趁你沒注意就騙到你的簽名。而看看簽名內容，使用了 SetApprovalForAll 方法，同時 Approved asset 的目標顯示為 All of your NFT，也就是說，一旦你簽名，騙子就可以毫無節制地盜走你的所有 NFT。如下：

慢霧：Apple Store惡意釣魚程序可模仿正常應用程序，盜取賬號密碼以繞過2FA:7月25日消息，慢霧首席信息安全官23pds發推提醒用戶注意Apple ID出現的最新攻擊案例，其中Apple Store出現惡意釣魚程序，通過模仿正常應用程序盜取用戶賬號和密碼，然后攻擊者把自己的號碼加入雙重認證的信任號碼，控制賬號權限，用來繞過蘋果的2FA。“加密貨幣用戶務必注意，因為目前有不少用戶、錢包的備份方案是iCloud備份，一旦被攻擊，可能造成資產損失”。[2023/7/25 15:56:56]

我們使用 MistTrack 來分析下騙子地址：

0xa594f48e80ffc8240f2f28d375fe4ca5379babc7

慢霧：7月3日至7月7日期間?Web3生態因安全問題損失近1.3億美元:7月10日消息，慢霧發推稱，自7月3日至7月7日，Web3生態因安全問題遭遇攻擊損失128,419,000美元，包括Encryption AI、AzukiDao、NFT Trader、MIKE&SID、Bryan Pellegrino、Aptos Foundation、Multichain、CivFund。其中，Multichain被攻擊損失1.26億美元。[2023/7/10 10:12:36]

通過分析，騙子多次調用 SetApprovalForAll 盜取用戶資產，騙子地址目前已收到 33 個 NFT，售出部分后獲得超 4 ETH。

回到正題，我們來研究下這種釣魚方法。首先，我們看看 MetaMask 官方是如何說明的：

也就是說，MetaMask 目前有六種簽名方法（例如 personal_sign），只有一種方式會出現 MetaMask 警告，發生在 eth_sign 的簽名情況下，原因是 eth_sign 方法是一種開放式簽名方法，它允許對任意 Hash 進行簽名，這意味著它可用于對交易或任何其他數據進行簽名，從而構成危險的網絡釣魚風險。

慢霧：pGALA合約黑客已獲利430萬美元:11月4日消息，安全團隊慢霧在推特上表示，pGALA合約黑客已將大部分GALA兌換成13,000枚BNB，獲利超430萬美元，該地址仍有450億枚Gala，但不太可能兌現，因為資金池基本已耗盡。此外，黑客的初始資金來自幾個幣安賬戶。

今日早些時候消息，一個BNB Chain上地址在BNB Chain上地址憑空鑄造了超10億美元的pGALA代幣，并通過在PancakeSwap上售出獲利。pNetwork表示此為跨鏈橋配置錯誤所致，GALA跨鏈橋已暫停，請用戶不要在BNB Chain上DEX中交易pGALA。[2022/11/4 12:16:04]

根據 MetaMask 官方文檔說明，eth_sign 方法是可以對任意哈希進行簽名的，而我們在簽署一筆交易時本質上也是對一串哈希進行簽名，只不過這中間的編碼過程都由 MetaMask 替我們處理了。我們可以再簡單回顧下從編碼到交易廣播的過程：

慢霧：Solana公鏈上發生大規模盜幣，建議用戶先將熱錢包代幣轉移到硬件錢包或知名交易所:8月3日消息，據慢霧區情報，Solana公鏈上發生大規模盜幣事件，大量用戶在不知情的情況下被轉移SOL和SPL代幣，慢霧安全團隊對此事件進行跟蹤分析：

已知攻擊者地址：

Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV、CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu、5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n、GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy

目前攻擊仍在進行，從交易特征上看，攻擊者在沒有使用攻擊合約的情況下，對賬號進行簽名轉賬，初步判斷是私鑰泄露。不少受害者反饋，他們使用過多種不同的錢包，以移動端錢包為主，我們推測可能問題出現在軟件供應鏈上。在新證據被發現前，我們建議用戶先將熱錢包代幣轉移到硬件錢包或知名交易所等相對安全的位置，等待事件分析結果。[2022/8/3 2:55:22]

在進行交易廣播前，MetaMask 會獲取我們轉賬的對象（to）、轉賬的金額（value）、附帶的數據（data），以及 MetaMask 自動幫我們獲取并計算的 nonce、gasPrice、gasLimit 參數進行 RLP 編碼得到原始交易內容（rawTransaction）。如果是合約調用，那么 to 即為合約地址，data 即為調用數據。

慢霧：警惕 Honeyswap 前端被篡改導致 approvals 到惡意地址風險:據慢霧區消息，Honeyswap官方推特發文，Honeyswap 前端錯誤導致交易到惡意地址 “0xD3888a7E6D6A05c6b031F05DdAF3D3dCaB92FC5B” ，目前官網仍未刪除該惡意地址，請立即停止使用Honeyswap進行交易，到revoke.cash排查是否有approvals 交易到惡意地址，避免不必要的損失。[2022/5/10 3:03:22]

rlp = require('rlp');// Use non-EIP115 standardconst transaction = {    nonce: '',    gasPrice: '',    gasLimit: '',    to: '0x',    value: '',    data: '0x'};// RLP encodeconst rawTransaction = rlp.encode([transaction.nonce, transaction.gasPrice, transaction.gasLimit, transaction.to, transaction.value, transaction.data]);隨后再對此內容進行 keccak256 哈希后得到一串 bytes32 的數據就是所需要我們簽名的數據了。

// keccak256 encodeconst msgHex = rawTransaction.toString('hex');const msgHash = Web3.utils.keccak256('0x'+ msgHex);我們使用 MetaMask 對這串數據簽名后就會得到 r, s, v 值，用這三個值再與 nonce/gasPrice/gasLimit/to/value/data 進行一次 RLP 編碼即可得到簽名后的原始交易內容了，這時候就可以廣播發出交易了。

rlp = require('rlp');const transaction = {    nonce: '',    gasPrice: '',    gasLimit: '',    to: '',    value: '',    data: '',    v: '',    r: '',    s: ''};// RLP encodeconst signedRawTransaction = rlp.encode([transaction.nonce, transaction.gasPrice, transaction.gasLimit, transaction.to, transaction.value, transaction.data, transaction.v, transaction.r, transaction.s]);而如上所述，eth_sign 方法可以對任意哈希進行簽名，那么自然可以對我們簽名后的 bytes32 數據進行簽名。因此攻擊者只需要在我們連接 DApp 后獲取我們的地址對我們賬戶進行分析查詢，即可構造出任意數據（如：native 代幣轉賬，合約調用）讓我們通過 eth_sign 進行簽名。

這種釣魚方式對用戶會有很強的迷惑性，以往我們碰到的授權類釣魚在 MetaMask 會給我直觀的展示出攻擊者所要我們簽名的數據。如下所示，MetaMask 展示出了此釣魚網站誘導用戶將 NFT 授權給惡意地址。

而當攻擊者使用 eth_sign 方法讓用戶簽名時，如下所示，MetaMask 展示的只是一串 bytes32 的哈希。

總結

本文主要介紹 eth_sign 簽名方式的釣魚手法。雖然在簽名時 MetaMask 會有風險提示，但若結合釣魚話術干擾，沒有技術背景的普通用戶很難防范此類釣魚。建議用戶在遇到此類釣魚時提高警惕， 認準域名，仔細檢查簽名數據，必要時可以安裝安全插件，如：RevokeCash、ScamSniffer 等，同時注意插件提醒。

慢霧科技

個人專欄

閱讀更多

寧哥的web3筆記

金色財經 龐鄴

DoraFactory

金色財經Maxwell

新浪VR-

Foresight News

Footprint

元宇宙之道

Beosin

SmartDeerCareer

Tags：NBSBSPTRAIONnbs幣最新消息BSP價格ASTRADAO價格OptionRoom

比特幣行情