簡介
近期丟幣盜幣事件頻發,各種盜幣手法層出不窮,無所不用其極,不得不說這些攻擊者手段高明,零時科技安全團隊收到大量客戶的求助,稱其錢包資產被盜,這無疑給幣圈的朋友敲響了警鐘。
為了大家能清晰了解最近盜幣事件,并且加強防范,本篇總結了近期零時科技安全團隊收到協助的盜幣事件類型,大致可分為如下四類:
”偽裝客服騙取私鑰“
”掃描二維碼盜幣事件“
”獲取空投盜幣事件“
”交易所客服詐騙盜幣事件“
這里簡單介紹一下以上四類盜幣流程:
偽裝客服騙取私鑰
1.攻擊者偽裝為客戶潛伏在社群中
2.當有用戶出現轉賬或者提取收益求助時,攻擊者及時聯系用戶協助其處理
3.通過耐心的解答,發送偽裝成去中心化網橋的工單系統,讓用戶輸入助記詞解決其交易異常
4.攻擊者拿到私鑰后盜取資產,拉黑用戶
二維碼盜幣事件
1.攻擊者將預先準備好的惡意二維碼發送給用戶;
2.攻擊者誘導用戶使用錢包掃描二維碼進行轉賬;
3.用戶輸入指定金額后確認轉賬交易;
4.隨后用戶錢包大量USDT丟失。
Moonbirds創始人錢包遭黑客攻擊,25枚Chromie Squiggles被盜:1月26日消息,NFT項目Moonbirds創始人凱文·羅斯(Kevin Rose)發布推文表示,其個人錢包遭到黑客攻擊,共丟失25枚Chromie Squiggles以及其它NFT(約合150萬美元)。
Rose表示在被盜NFT被標記之前,建議用戶避免購買任何Chromie Squiggles。Chromie Squiggles是Art Blocks的創始人Erick Calderon(又名Snowfro)推出的第一款生成NFT項目。截止發稿,Chromie Squiggles在NFT交易市場OpenSea地板價為13.3ETH,總交易額為60,475枚ETH。[2023/1/26 11:30:31]
獲取空投盜幣事件
1.攻擊者偽造成交易平臺或者DeFi項目;
2.攻擊者通過媒體社群發起可明顯薅羊毛的空投活動;
3.攻擊者誘導用戶使用錢包掃描二維碼領取空投;
4.用戶掃碼后點擊領取空投;
5.隨后受害者賬戶大量USDT被轉走
交易所客服詐騙盜幣事件
1.攻擊者偽造成幣安,火幣等交易所客服;
2.攻擊者告知用戶賬戶異常并觸發了風控,使用資金需要解除異常狀態;
SBF:Mango黑客事件表明預言機規范的重要性:金色財經報道,FTX創始人SBF在社交媒體分析了Mango Markets黑客時間的教訓,他表示:“真正的問題取決于預言機的規范是什么,預言機準確地報告了 MNGO 的當前價格,只是'當前價格'與'公平價格'并不接近。一些頭寸,如 MNGO,規模龐大且流動性不足,以至于風險引擎(提供市場風險測量和投資分析的軟件)迫使頭寸被完全抵押。” 完全抵押意味著在整個貸款過程中,借款人提供抵押品。在這種情況下,抵押品是加密貨幣。Mango Markets 要求初始抵押品比率為 120%,維持抵押品比率為 110%。如果用戶的抵押率低于 110%,賬戶將被清算,而Mango Market 攻擊者利用漏洞來模擬擁有足夠的抵押品。
SBF補充稱:“如果一個預言機報告‘MNGO:0.40 美元’,是不是錯了?如果它只是承諾告訴你 MNGO 目前的交易價格,而且,在短時間內,在某些交易所,MNGO 實際上的交易價格為 0.40 美元。問題在于使用原始預言機價格。預言機有時能告訴你一切,有時也無法代表任何信息,它們只是反映市場的歷史和現狀,風險引擎的工作就是利用這些信息,并決定哪些頭寸是安全的,有時風險引擎不能只是反芻預言機所說的話,而是要自己去認真分析。”[2022/10/13 10:33:16]
3.攻擊者客服誘導用戶將資金轉至安全賬戶,并對受害者賬戶進行升級;
OneRing確認遭到閃電貸攻擊,黑客竊取逾145萬美元:3月22日消息,Fantom生態穩定幣收益優化器OneRing發文表示,北京時間3月22日02:44:10,黑客通過閃電貸攻擊竊取了1454672.244369枚USDC,且合約已被配置為在特定區塊自毀,因此幾乎不可能跟蹤合約中的哪些特定功能被調用以竊取資金。目前,團隊已暫停保險庫,正在努力重新設置。并且團隊正在制定為受影響的人提供具體的中長期還款計劃,此外,OneRing宣布將提供被盜資金的15%以及1,000,000個RING代幣作為返還資金的賞金。此前,派盾報告顯示,Fantom生態穩定幣收益優化器OneRing疑似遭到攻擊。[2022/3/22 14:10:24]
4.用戶將資金轉移至安全賬戶后,攻擊者隨即將用戶拉黑。
以上盜幣事件中,二維碼盜幣是目前發生頻率較高,客戶反饋最多的盜幣事件類型,所以本篇將對掃碼盜幣事件進行詳細分析及復現,讓讀者更清晰了解攻擊者盜幣過程,防止資金被盜。
掃描盜幣過程分析
二維碼盜幣事件復盤我們從攻擊者角度出發,完整復盤二維碼盜幣過程。
測試使用的攻擊地址為:
?TMmunHQsjSdUKZT1suksWBM7n6jVWkUGwL
測試使用的攻擊者歸集資產地址為:
TKjxdVUpyqwmqMGUh9kyRg196f1zesb3m9
動態 | EOS五周內解決42個漏洞問題 獎勵黑客近35萬美元:據Daily Hodl報道,自6月初EOS宣布了漏洞獎勵計劃以來,已經有42個EOS網絡漏洞被修復,參與黑客已獲得34.8萬美元獎勵。EOS對重大漏洞的獎勵從5000到1萬美元不等。[2018/7/10]
測試使用的合約為TRON鏈上USDT合約:
TR7NHqjeKQxGTCi8q8ZY4pL8otSzgjLj6t
測試使用的受害者地址為:
THcDZSMmGdecaB2uAygPvHM7uzdE2Z4U9p
第一步:攻擊者制作掃碼盜幣二維碼
該步主要為攻擊者將代幣授權寫入二維碼,也是攻擊成功最重要的基礎功能,此步驟中,攻擊者需要創建自己的錢包地址,調用USDT合約API及approve()接口。
二維碼需要實現的功能:
//調用TRON鏈上USDT合約,并調用合約的approve方法,給攻擊者地址授權9000000000枚USDT.
USDTToken.approve(TMmunHQsjSdUKZT1suksWBM7n6jVWkUGwL,9000000000)
之后將該功能在Web端進行實現,最終得到的盜幣二維碼如下:
幣安懸賞25萬美元等值賞金通緝黑客:3月11日,幣安發布黑客通緝令,稱如有用戶能將2018年3月7日企圖攻擊幣安的黑客繩之以法,幣安將獎勵25萬美元的等值賞金作為感謝。據了解,幣安在3月7日遭到了一次大規模有組織的黑客攻擊。[2018/3/12]
第二步:攻擊者制作后臺提款功能
該步為攻擊者誘導用戶授權資金后的轉賬操作,此步驟中,攻擊者需要調用USDT合約API及transferfrom()接口。
后端提幣需要實現的功能如下:
//調用TRON鏈上USDT合約,并調用合約的transferFrom方法,給攻擊者地址轉賬大于0,并且小于9000000000枚USDT.
USDTToken.transferFrom(TMmunHQsjSdUKZT1suksWBM7n6jVWkUGwL,TKjxdVUpyqwmqMGUh9kyRg196f1zesb3m9,0<value<9000000000)
第三步:攻擊者給受害者用戶發送盜幣二維碼,并誘導用戶給該二維碼轉賬
該步為攻擊者成功最重要的一步,如果受害者掃描了盜幣二維碼并將進行了轉賬,則表示轉賬成功;反之受害者未掃描二維碼或者轉賬,則攻擊失敗。
所以這里攻擊者可能會采用多種方式誘導受害者進行掃碼轉賬,常見的誘導方式如下:
攻擊者在交易所進行交易時,將盜幣二維碼發送給用戶,防范不高的用戶就會進行轉賬;
惡意空投,偽造成可以獲取空投的二維碼,誘導用戶進行轉賬;
熟人作案,直接將二維碼發送給好友,在毫無防備的情況基本都會轉賬;
第四步:受害者用戶掃描二維碼進行轉賬
該步為受害者用戶進行的操作,在攻擊者誘導用戶同意掃碼二維碼轉賬后,會收到如下二維碼:
用戶使用TokenPocket錢包進行掃碼,會得到如下頁面:
這里用戶的初衷是給二維碼進行轉賬,但這里的需要注意的細節是,當用戶輸入轉賬數目進行發送時,這里執行的操作其實并不是轉賬transfer,而是授權approve,如下頁面:
我們可以在頁面端更清楚看到此步執行的交易詳情,如下圖:
這里可清楚看到,掃碼點擊發送交易后,這里請求方法為approve,授權的地址為TMmunHQsjSdUKZT1suksWBM7n6jVWkUGwL,授權的金額為9000000000,確定該筆交易后,攻擊者地址就可轉走用戶錢包中9000000000額度的USDT,當然前提是用戶錢包有這么多資金,只有用戶錢包有不超過9000000000枚USDT,均可以轉出。鏈上的這筆授權交易可查詢到:
第五步:攻擊者通過后臺提取受害者用戶資金
該步為攻擊者的最后一步,也就是將用戶授予的USDT取出,如下圖:
用戶掃碼進行轉賬后,攻擊者后臺會顯示用戶目前錢包授權的USDT數目,這里可以看到用戶錢包USDT余額為1枚,此時攻擊者進行歸集,也就是調用transferFrom將資金轉入自己的錢包,如下圖,進行3U和1U的兩筆測試,最終歸集回來會被平臺扣掉10%手續費:
至此,攻擊完成,攻擊者盜走受害者錢包中的其余USDT。這里只是對一個用戶進行測試,攻擊者實際詐騙金額遠遠比這個多。整個盜幣事件能成功的原因只是因為二維碼中的approve授權,而用戶如果轉賬時細心查看交易詳情,可能會及時發現此筆交易的貓膩,從而保護自己的資金安全。
通過調查,我們了解到,目前這種掃描二維碼進行盜幣的方法已經被規模化,不僅支持TRON鏈還支持ETH鏈,形成一個小型產業鏈:
技術專門負責開發程序并搭建自動化平臺,此平臺可自動生成釣魚二維碼,生成代理賬戶,管理員自動歸集受害者錢包資產;
代理專門負責推廣平臺生成的釣魚二維碼,然后讓更多人來掃描授權,成功后可獲得分紅;
管理員坐收漁利,將成功授權的錢包資產轉走,并分紅給代理;
管理員將盜走的資產轉移到其他交易平臺進行資產兌換洗白。
代碼分析
這里我們從代碼層面分析一下原理,其實很簡單:
首先用戶收到一個轉賬二維碼,掃描之后會到這個頁面:
在這個頁面中,輸入轉賬金額,當點擊這個發生按鈕時,會觸發一個js操作,如下:
這個js中就明顯發現,這里不是transfer而是一個approve操作。
當授權成功后,這個平臺后臺可自動進行歸集,也就是轉賬受害者錢包中的錢,通過transferfrom方法。
所以,整個過程,全自動化完成。
上面所有的過程都是針對USDT的盜幣過程分析,其實攻擊者可以針對任何合約Token進行攻擊,只需要修改合約Token的地址以及abi即可。
為了廣大幣圈用戶能切實保護好資金的資產,對于以上盜幣事件,零時科技安全團隊給出以下建議:
安全建議
不給不信任的二維碼掃描轉賬;
給他人轉賬時需注意轉賬操作是否為預期操作;
不要給未經審計的項目輕易授權錢包;
陌生電話要警惕,在不確定身份的前提下及時掛斷;
不要將私鑰導入未知的第三方網站;
領取空投需確認項目真實性。
原文標題:《已銷毀近4000枚ETH的EIP-1559導致網絡費用飆漲?這里有五大原因》8月5日晚8點半,以太坊主網抵達指定區塊高度12,965,000,伴隨著倫敦硬分叉升級正式啟動.
1900/1/1 0:00:00原文標題:《NFT交易量再創新高,ETH通脹率驟降引領行情回暖|ForesightVenturesWeeklyBrief》 概要 StarkWare?推出L2集成流動池解決方案dAMM.
1900/1/1 0:00:001.搶購稀有NFT這份攻略需要收好隨著可口可樂、Burberry等頭部企業的入局,搶購稀有NFT,成為了一種熱潮。為此,金色財經整理了近期將開展的NFT拍賣,并附上時間以及參與方式.
1900/1/1 0:00:00金色財經報道,ElectricCoinCompany首席執行官兼Zcash創始人ZookoWilcox今天在一篇博客文章中提議.
1900/1/1 0:00:00AavePro為機構用戶參與DeFi提供了新的通道,但也可能隨之帶來公平性和中心化等問題。 AavePro簡介 Aave是一個去中心化、開源、非托管的借貸平臺.
1900/1/1 0:00:00ETH繼續從7月的低點反彈,在網絡使用增加的情況下,突破了2500美元。這種興趣的增加主要是由NFTs和游戲的爆炸性增長推動的.
1900/1/1 0:00:00