BSP:慢霧：被盜急救指南之鏈上留言

背景

據慢霧發布的《2023 上半年區塊鏈安全與反洗錢總結》 的數據，2023 上半年，遭受攻擊后仍能全部或部分收回損失資金的事件共有 10 起。這 10 起事件的被盜資金總計約 2.32 億美元，其中的 2.19 億美元被返還，占被盜資金的 94%。在這 10 起事件中，有 3 起事件的資金被全部退回。 

資金被盜后又被歸還或許將成為一個新趨勢。無論是給予賞金還是以合理談判的方式拿回被盜資金，主要有兩種傳遞消息的方式：一個是在項目方媒體平臺發聲，另一個則是攻擊者與項目方通過鏈上留言進行溝通。

例如 2023 年 3 月 13 日，DeFi 借貸協議 Euler Finance 遭到攻擊，攻擊者獲利約 1.97 億美金。3月20日，攻擊者在給 Euler 的鏈上消息  中聲稱，他們現在希望與 Euler “達成協議”。攻擊者寫道：“我們想讓所有受影響的人都輕松些，不打算保留不屬于我們的東西。建立安全通信，讓我們達成協議吧。” 

幾個小時后，Euler 在鏈上回復  稱：“消息已收到，讓我們通過 Euler Deployer 地址和你的一個 EOA 在 Blockscan 上私下討論，通過電子郵件 contact@euler.foundation 或你選擇的任何其他渠道。請回復你想選哪種方式。”

慢霧：針對macOS系統惡意軟件RustBucket竊取系統信息:金色財經報道，SlowMist發布安全警報，針對macOS 運行系統的 Rust 和 Objective-C 編寫的惡意軟件RustBucket，感染鏈由一個 macOS 安裝程序組成，該安裝程序安裝了一個帶后門但功能正常的 PDF 閱讀器。然后偽造的 PDF 閱讀器需要打開一個特定的 PDF 文件，該文件作為觸發惡意活動的密鑰。[2023/5/23 15:20:27]

有趣的是，在 3 月 15 日，0x2af 用戶向黑客發送鏈上消息 ，請求希望能返回其畢生積蓄 78 枚 wstETH，該用戶表示，“請考慮退回 90% / 80%。我只是一個用戶，我畢生的積蓄只有存入 Euler 的 78 wstETH ，我不是巨鯨或百萬富翁。你無法想象我現在的處境有多糟，全毀了。我很確定 2000 萬美元已經夠你改變生活了，而且你能讓很多受影響的人重獲快樂”。隨后，黑客向其發送了 100 枚 ETH。緊接著有不少地址效仿該用戶的行為向黑客發送消息。

當然，也有在鏈上留言釣魚的情況。2023 年 3 月 22 日，Euler 黑客在攻擊完成后，為了混淆視聽逃避追查，轉了 100 ETH 給盜取了 6.25 億多美金的 Ronin 黑客。Ronin 黑客順水推舟，將計就計，隨即回禮了 2 枚 ETH，并給 Euler 黑客發了一條鏈上消息 ，要求其解密一條加密信息。但專家稱，該消息是一個網絡釣魚騙局，試圖竊取 Euler 攻擊者錢包的私鑰。是否真的如此？慢霧曾對此事寫過一篇分?析，有興趣可以查閱。在 Ronin 黑客錢包向 Euler 黑客錢包發送消息幾分鐘后，Euler Finance 的開發人員試圖用自己的消息  進行干預，他們警告 Euler 黑客警惕所謂的解密軟件，稱“最簡單的方法就是退還資金”。Euler 的開發人員在另一個交易  中繼續說道：“在任何情況下都不要試圖查看該消息。不要在任何地方輸入你的私鑰。提醒你，你的機器也可能被入侵。”

慢霧：Quixotic黑客盜取約22萬枚OP，跨鏈至BNB Chain后轉入Tornado Cash:7月1日消息，據慢霧分析，Quixotic黑客盜取了大約22萬枚OP（約11.9萬美元），然后將其兌換成USDC并跨鏈到BNB Chain，之后將其兌換成BNB并轉入Tornado Cash。[2022/7/1 1:44:55]

眾所周知，無論是比特幣還是以太坊主網，實質上都是一個分布于全球的賬本系統。拿以太坊舉例，目前，有超過上萬個以太坊節點復制以太坊主網上的所有數據，這意味著以太坊主網上的任何消息、交易等信息都會被復制上萬次，這也確保了區塊鏈信息不可篡改。相對比特幣網絡來說，以太坊主網上的費用更“便宜”，因此大部分人都會把以太坊主網作為留言的第一選擇。正如剛剛所說，區塊鏈的本質是分布式賬本，我們進行轉賬交易的時候可以順便留言，這些留言都會被記錄在所有節點的賬本上，它們無法被修改，并將在區塊鏈上永久留下痕跡。

最先帶頭在區塊鏈上留言的是中本聰。2009 年 1 月 4 日，中本聰在創世區塊上留下了當天泰晤士報的頭條新聞標題，“EThe Times 03/Jan/2009 Chancellor on brink of second bailout for banks”，直到今天，我們仍能在鏈上找到這條留言。

（1）通過 https://app.mycrypto.com/send 轉賬留言

連接錢包，填上接收地址及轉賬金額（可以為 0 ETH），在 Data 中的 0x 后輸入你想要留言的內容，接著點擊下一步，最后 Confirm 就可以了。

慢霧：BSC項目Value DeFi vSwap 模塊被黑簡析:據慢霧區情報，幣安智能鏈項目 Value DeFi 的 vSwap 模塊被黑，慢霧安全團隊第一時間介入分析，并將結果以簡訊的形式分享，供大家參考：

1. 攻擊者首先使用 0.05 枚 WBNB 通過 vSwap 合約兌換出 vBSWAP 代幣；

2. 攻擊者在兌換的同時也進行閃電貸操作，因此 vSwap 合約會將兌換的 vBSWAP 代幣與閃電貸借出的 WBNB 轉給攻擊者；

3. 而在完成整個兌換流程并更新池子中代幣數量前，會根據池子的 tokenWeight0 參數是否為 50 來選擇不同的算法來檢查池子中的代幣數量是否符合預期；

4. 由于 vSwap 合約的 tokenWeight0 參數設置為 70，因此將會采用第二種算法對池子中的代幣數量進行檢查；

5. 而漏洞的關鍵點就在于采用第二種算法進行檢查時，可以通過特殊構造的數據來使檢查通過；

6. 第二種算法是通過調用 formula 合約的 ensureConstantValue 函數并傳入池子中緩存的代幣數量與實時的代幣數量進行檢查的；

7. 在通過對此算法進行具體分析調試后我們可以發現，在使用 WBNB 兌換最小單位(即 0.000000000000000001) vBSWAP 時，池子中緩存的 WBNB 值與實時的值之間允許有一個巨大的波動范圍，在此范圍內此算法檢查都將通過；

8. 因此攻擊者可以轉入 WBNB 進行最小單位的 vBSWAP 代幣兌換的同時，將池子中的大量 WBNB 代幣通過閃電貸的方式借出，由于算法問題，在不歸還閃電貸的情況下仍可以通過 vSwap 的檢查；

9. 攻擊者只需要在所有的 vSwap 池子中，不斷的重復此過程，即可將池子中的流動性盜走完成獲利。詳情見原文鏈接。[2021/5/8 21:37:37]

慢霧：Let's Encrypt軟件Bug導致3月4日吊銷 300 萬個證書:Let's Encrypt由于在后端代碼中出現了一個錯誤，Let's Encrypt項目將在撤銷超過300萬個TLS證書。詳情是該錯誤影響了Boulder，Let's Encrypt項目使用該服務器軟件在發行TLS證書之前驗證用戶及其域。慢霧安全團隊提醒：數字貨幣行業有不少站點或內部系統為安全目的而使用 Let's Encrypt 自簽證書，請及時確認是否受到影響。如有影響請及時更新證書，以免造成不可預知的風險。用戶可查看原文鏈接在線驗證證書是否受到影響。[2020/3/4]

注意：留言信息需要是十六進制數據，所以，可以提前通過一些轉換工具或網站進行轉換。如：

（2）通過手機錢包轉賬留言

你需要用帶有一些 ETH 的以太坊錢包（如 MetaMask、imToken 錢包）來完成交易，并支付 Gas fee。例如，打開 imToken 錢包，輸入一個轉賬地址進行轉賬交易，點擊高級模式，輸入十六進制格式的留言信息，請記得開頭帶上“0x”。

（3）通過 Etherscan IDM ?具 留言

使用該工具，不需要在 Input Data 輸入處理過的十六進制數據，可以直接輸入你想要留言的內容，它會自動為你處理成十六進制數據，結果顯示如下：

聲音 | 慢霧：Dapp、交易所等攻擊事件造成損失已近41億美金:慢霧數據顯示Dapp、交易所等攻擊事件造成的損失已達4098587697.68美金，半月增加近3億美金。據2月28日報道，慢霧區上線“被黑檔案庫(SlowMist Hacked)”，目前各類攻擊事件共造成約 3824082630.12 美金的損失。[2019/3/13]

上面介紹了未加密留言，相應的也存在加密留言。我們先看一個例子：

(https://bscscan.com/tx/0xfa1fa7cdfa3c5fe2cfaf61e14caf4b5174302d3801b09bb650d3f90ec706c3e9)

地址 0x313 向被標記為 TransitFinance Funds Receiver 的地址發送了一條鏈上消息：“請使用您地址的私鑰來解密該消息”，并附上了一大段需要解密才能看到的信息。

加密的鏈上留言是如何實現的呢？

（1）加密

首先，通過 Etherscan 點擊交易哈希進行搜索：

接著，獲取交易哈希的原始交易十六進制數據：

然后，根據原始交易十六進制數據獲取公鑰：

下一步，輸入 SecretMessage 和 publicKey 并運行以下代碼：

最后，使用以上工具發送。

（2）解密

輸入 PrivateKey 和 encrypted 并運行以下代碼：

作為一家區塊鏈威脅情報安全公司，慢霧常常收到項目方或個人用戶的協助請求，這里舉一個例子。2022 年 10 月 2 日，跨鏈交易平臺聚合器 Transit Swap 遭到黑客攻擊，被盜資產超 2890 萬美元。在項目方的請求下，我們協助項目方與攻擊者進行談判。

以下是談判過程中的部分內容：

(https://bscscan.com/tx/0x7491671cfab5066d5a36299cf295e721611bae6ff61a847a32b11d1cf716c274)

根據官方在 2022 年 10 月 12 日的聲明，“白帽已返還價值 2400 萬美元的資金”。

本文主要介紹了鏈上留言的相關知識及使用方法。鏈上留言作為匿名溝通的方式之一，一方面，由于鏈上信息的不可篡改及透明性，這也相當于被動接受大眾的“審視”，或許能在一定程度上避免某一方事后反悔；另一方面，這也為受害者與攻擊者之間提供一個溝通的平臺，增加了隱私性，為受害者減少資金損失提供機會，但也要當心留言里是否附帶釣魚信息。

除了鏈上留言，用戶和項目方仍可以通過以下方式增加追回資金的可能性：

立即通知相關機構：向當地執法機構、金融監管機構和相關的區塊鏈項目團隊報案和申訴。提供詳細的信息和證據，并配合相關機構的調查；

聯系交易平臺：如果資金被盜是在某個交易平臺上發生的，立即與其聯系，并提供有關事件的詳細信息。交易平臺可能會采取措施調查并協助解決問題；

與社區合作：將事件公之于眾，并與相關社區成員合作，共享信息和經驗。其他用戶可能提供有關攻擊者或攻擊技術的有用信息；

尋求專業幫助：咨詢專業的區塊鏈安全公司或律師，尋求法律和技術方面的專業幫助。他們可以提供相關建議和指導，幫助盡可能追回資金或采取其他合適的法律措施。也可以通過提交表單  聯系慢霧 AML 團隊。

當然，最重要的是采取預防措施，降低資金被盜的風險，包括使用安全可靠的錢包和交易平臺；保護好私鑰和訪問憑證；避免點擊可疑鏈接和下載未知來源的軟件；以及保持安全意識和知識更新。最后，非常建議閱讀慢霧出品的《區塊鏈黑暗森林自救手冊》。

參考鏈接：

 https://www.slowmist.com/report/first-half-of-the-2023-report(CN).pdf

 https://etherscan.io/tx/0xcc73d182db1f36dbadf14205de7d543cfd1343396b50d34c768529aaab46a1c0

 https://etherscan.io/tx/0x9c25b6ca65c5bd0597a13ceae6f0d6edcef4b10279f338114550926ad0387ce4

 https://etherscan.io/tx/0xbe21a9719a4f89f7dc98419f60b247d69780b569cd8869c0031aae000f98cf17

 https://etherscan.io/tx/0xcf0b3487dc443f1ef92b4fe27ff7f89e07588cdc0e2b37d50adb8158c697cea6

 https://etherscan.io/tx/0x054409f252ac293a0ed34108b25e5906476817c5489bd3e98a5d3e1ee0825020

 https://etherscan.io/tx/0x1fd6d2e67a2ac4cf7c1718cc3058d5625171b95d66744801c97a4de54a41197b

 https://etherscan.io/idm

 https://aml.slowmist.com/recovery-funds.html

 https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md

https://cryptobook.nakov.com/asymmetric-key-ciphers/ecies-example

慢霧科技

個人專欄

閱讀更多

Foresight News

金色財經 Jason.

白話區塊鏈

金色早8點

LD Capital

-R3PO

MarsBit

深潮TechFlow

Tags：BSPNBSETHEULBSPNetworknbs幣發行量togetherbnb游戲攻略eul幣總量

狗狗幣價格