本文Hash (SHA1):418ea6548326a5f3b9496aa7912935fec8ca925c
編號: 鏈源科技 PandaLYSecurity Knowledge No.031
什么是區(qū)塊鏈釣魚攻擊?
大家可能對“釣魚”這個詞不陌生,最早它指的是那些通過假冒網(wǎng)站或郵件,誘導(dǎo)人們點擊鏈接然后騙取個人信息的網(wǎng)絡(luò)**手段。現(xiàn)在,隨著區(qū)塊鏈和加密貨幣的流行,這種“釣魚”也演變到了區(qū)塊鏈?zhǔn)澜纭?/p>
區(qū)塊鏈釣魚攻擊其實本質(zhì)和傳統(tǒng)釣魚差不多,都是攻擊者假裝成你信任的對象,比如某個你常用的錢包網(wǎng)站、交易平臺,甚至是你參與過的項目方。他們會通過偽造的鏈接、假冒的社交媒體賬號,或者看似正規(guī)但實則有漏洞的智能合約,引誘你輸入私鑰、助記詞,或者簽署一個惡意交易。結(jié)果呢?你的加密資產(chǎn)就這么不知不覺被轉(zhuǎn)走了。
舉個例子,想象一下你在某個社交平臺上看到一個“官方空投”活動,里面有個鏈接,看起來像你熟悉的錢包網(wǎng)站。你點進去輸入助記詞,然后發(fā)現(xiàn),里面的錢全都沒了。這就是一個典型的區(qū)塊鏈釣魚攻擊場景。
釣魚攻擊特別狡猾,因為它們專門瞄準(zhǔn)那些對區(qū)塊鏈技術(shù)不是很熟悉、對防護措施不夠了解的用戶。很多人都是因為一時疏忽,或貪圖小便宜,中了攻擊者的圈套。所以,我們必須對這些攻擊方式保持警惕,時刻防范。
那如何識別釣魚攻擊呢?這就得從他的原理講起了。
釣魚攻擊的工作原理
釣魚攻擊主要有四種方式,分別為虛假空投、誘導(dǎo)簽名、后門工具和上供助記詞。
虛假空投:
攻擊者利用地址生成器生成和用戶錢包地址非常相似的地址(一般是前幾位或后幾位相同),然后往這些地址里多次轉(zhuǎn)入小額的資金(如0.001 USDT),或是攻擊者自己部署的假USDT。這讓用戶誤以為這些地址是之前的正常收款地址。在用戶進行新的轉(zhuǎn)賬時,可能會復(fù)制歷史交易記錄,誤將資金轉(zhuǎn)入攻擊者的地址,導(dǎo)致資產(chǎn)丟失。
誘導(dǎo)簽名:
攻擊者通過創(chuàng)建偽造的網(wǎng)頁,如知名項目的仿冒網(wǎng)站、虛假的空投鏈接或購物平臺,誘導(dǎo)用戶連接錢包并執(zhí)行簽名操作,進而竊取資產(chǎn)。
常見的誘導(dǎo)簽名攻擊包括以下幾種:
直接轉(zhuǎn)賬
攻擊者將簽名操作偽裝成領(lǐng)取空投、錢包連接等功能,實際操作是把用戶的資產(chǎn)轉(zhuǎn)到攻擊者的地址。
授權(quán)代幣轉(zhuǎn)移
用戶在釣魚網(wǎng)站上簽署交易,如ERC20的approve調(diào)用或NFT的setApproveForAll,攻擊者得到授權(quán)后可以隨意轉(zhuǎn)移用戶的資產(chǎn)。
空白地址授權(quán)釣魚
空白地址授權(quán)釣魚是授權(quán)釣魚的升級版。用戶點擊釣魚鏈接進行授權(quán)時(通常也是approve或increaseAllowance),spender的地址是沒有任何鏈上記錄的空地址,如果受害者簽署授權(quán),空地址就會被通過create2方法部署一個合約,將受害者的資金轉(zhuǎn)走。采用空白地址授權(quán)可以避免授權(quán)地址被檢測工具標(biāo)記的情況,從而繞過一些錢包的安全檢查。
零元購NFT釣魚
欺騙用戶簽名 NFT 的銷售訂單,NFT 是由用戶持有的,一旦用戶簽名了此訂單,攻擊者就可以直接通過 OpenSea 購買用戶的 NFT,但是購買的價格由攻擊者決定,也就是說攻擊者不花費任何資金就能“買”走用戶的 NFT。
eth_sign空白支票(盲簽)
eth_sign也叫盲簽,使用eth_sign簽署任意哈希值,等于給攻擊者開了一張空白支票,因此攻擊者可以構(gòu)造任意自定義的交易竊取用戶資產(chǎn)。
Permit 釣魚
permit是erc20協(xié)議的一個擴展功能,它允許用戶通過簽名消息完成授權(quán)操作,并將簽名結(jié)果發(fā)送給另外一個錢包,這可以完成資產(chǎn)轉(zhuǎn)移操作。通過誘導(dǎo)用戶簽署ERC20的permit授權(quán),攻擊者可以獲得轉(zhuǎn)移用戶代幣的權(quán)限。
personal_sign簽名
personal_sign通常用于簽名可讀的內(nèi)容,但也可以將簽名的內(nèi)容處理成哈希值。
例如:0x62dc3e93b0f40fd8ee6bf3b9b1f15264040c3b1782a24a345b7cb93c9dafb7d8消息,是目標(biāo)明文被keccak256哈希后的結(jié)果。被釣魚的用戶,看不懂簽名的內(nèi)容,如果進行簽名的話,就會被釣魚攻擊。
惡意多重簽名:
多重簽名的本意為為了使得錢包更安全,允許多個用戶共同管理和控制同一個錢包的使用權(quán)限。
以TRON為例,TRON多重簽名分為了Owner(最高權(quán)限,可以管理權(quán)限和進行一切操作),Witness(參與投票管理)和Active(用于日常操作,如轉(zhuǎn)賬或調(diào)用合約),新建賬戶時,賬戶地址默認(rèn)擁有Owner權(quán)限。
當(dāng)攻擊者通過釣魚網(wǎng)頁/應(yīng)用獲取到用戶私鑰后,攻擊者可以將Owner/Active轉(zhuǎn)移或授權(quán)給自己的地址,注意轉(zhuǎn)移為移除用戶的Owner權(quán)限而授權(quán)則是不移除用戶的權(quán)限,但不論如何,用戶便失去了錢包資產(chǎn)轉(zhuǎn)出的權(quán)利。
由于用戶仍能轉(zhuǎn)入資金,攻擊者可能會“放長線釣大魚”,不會第一時間轉(zhuǎn)走受害者資產(chǎn),直到受害者發(fā)現(xiàn)錢包被惡意多簽,不再轉(zhuǎn)入資金后,攻擊者再轉(zhuǎn)走資金。
后門工具:
偽裝成科學(xué)家工具
“科學(xué)家工具”通常是指區(qū)塊鏈生態(tài)中的一些高級用戶(即所謂的“科學(xué)家”)使用的交易輔助工具,比如用于快速批量鑄造NFT,批量發(fā)送代幣或是快速執(zhí)行某些復(fù)雜的鏈上操作等。這類工具深受一級市場用戶歡迎,因為它們可以極大提高操作效率。
然而,攻擊者會偽裝成這類工具的開發(fā)者,發(fā)布看似合法的工具,實際上在工具內(nèi)部植入了后門程序。這些后門程序可能在用戶使用工具時偷偷獲取私鑰或助記詞,又或是直接操控用戶錢包發(fā)送代幣至攻擊者指定錢包,攻擊者隨后就可以通過這些敏感信息控制用戶的錢包。
虛假的瀏覽器插件
許多用戶喜歡使用瀏覽器插件(如MetaMask,Thuobien Pocket)來方便地進行區(qū)塊鏈交易。攻擊者可能會通過釣魚網(wǎng)站誘導(dǎo)用戶安裝假冒的插件。這些插件一旦安裝,會偷偷記錄用戶的交易行為,竊取私鑰,進行多重簽名。
交易加速器或優(yōu)化工具
這類工具通常聲稱能幫助用戶加速交易確認(rèn)或優(yōu)化鏈上操作,用戶往往需要輸入私鑰或簽名來使用這些功能。攻擊者通過誘導(dǎo)用戶在使用過程中輸入關(guān)鍵信息,將其偷偷記錄下來。
上供私鑰/助記詞:
攻擊者會創(chuàng)建一些偽造的交易網(wǎng)站或Telegram小程序(如偽造的Pepebot),要求用戶提供私鑰或助記詞來綁定錢包,誘騙用戶進行“土狗”交易或其他操作。實際上,攻擊者通過這些手段竊取用戶的私鑰,然后轉(zhuǎn)走錢包里的所有資產(chǎn)。
典型案例分析
假空投騙局:
項目Wormhole發(fā)布空投公告時,許多推特模仿官方賬戶發(fā)布假空投鏈接。圖1項目方名稱為@studioFMmilano·1h,圖2假冒項目方為@studioFMmilano,而真正的項目方為@wormhole。
誘導(dǎo)錢包簽名:
冒仿網(wǎng)站簽名:
以moonbirds-exclusive.com/釣魚網(wǎng)站為例,該網(wǎng)站為模仿www.proof.xyz/moonbirds的冒仿網(wǎng)站,當(dāng)用戶連接錢包并點擊Claim后,會彈出一個簽名申請框。此時,Metamask會顯示一個紅色警告,但由于彈窗上并未明確顯示簽名內(nèi)容,用戶很難判斷這是否是一個陷阱。一旦用戶進行了簽名,騙子就可以使用用戶的私鑰簽署任何交易,包括轉(zhuǎn)移資產(chǎn)。
Permit簽名:
某用戶在質(zhì)押期間在釣魚網(wǎng)站進行了Permit簽名,用戶第一時間去檢查了也沒發(fā)現(xiàn)異常授權(quán)。釣魚卻在之后上鏈這筆 permit 離線授權(quán)簽名,給目標(biāo)地址的目標(biāo)資產(chǎn)開了個授權(quán)風(fēng)險敞口,但目標(biāo)用戶并沒法知曉,直到目標(biāo)用戶提出相關(guān)再質(zhì)押的 ETH 資產(chǎn),釣魚立即轉(zhuǎn)走,因此該用戶丟失了 212 萬美金。
圖3.賬戶被permit離線授權(quán)簽名
惡意多重簽名:
惡意多重簽名的釣魚方法有很多,最常見的為“攻擊者故意泄漏私鑰”或“虛假插件/錢包”
攻擊者故意泄漏私鑰:
攻擊者在社交媒體或通過其他途徑泄露私鑰,通過各類話術(shù)誘騙受害者往錢包內(nèi)轉(zhuǎn)入加密資產(chǎn),直到受害者發(fā)現(xiàn)資產(chǎn)無法轉(zhuǎn)出后,攻擊者再將錢包資產(chǎn)進行轉(zhuǎn)移。
虛假ThuobienPocket錢包:
受害者在搜索引擎上搜索“TP錢包”并非官方網(wǎng)站下載“TP錢包”。而實際下載的并非官方錢包,而為攻擊者在互聯(lián)網(wǎng)投放的虛假錢包,用戶綁定助記詞后,受害者的錢包就會自動被多簽,從而無法將資產(chǎn)轉(zhuǎn)移。
后門工具:
受害者在推特發(fā)現(xiàn)了一個自稱專做WEB-3“擼毛”及各類腳本開發(fā)的博主,受害者下載并運行了該博主免費贈送的腳本,結(jié)果發(fā)現(xiàn)錢包被洗劫一空,失去了價值700USDT的代幣。
如何預(yù)防區(qū)塊鏈釣魚攻擊
核實鏈接和網(wǎng)址
在訪問任何與加密貨幣相關(guān)的網(wǎng)站時,務(wù)必核實鏈接和網(wǎng)址的真實性。釣魚攻擊者常常會創(chuàng)建與官方網(wǎng)站極為相似的假冒網(wǎng)站,僅修改幾個字符,一但不小心就可能中招。因此,防范的第一步就是:
1.避免點擊陌生鏈接:收到的任何陌生郵件、社交媒體消息或不明來歷的鏈接都需要格外小心,尤其是那些聲稱來自“官方”渠道的推廣信息、空投活動或賬戶問題提示。
2.使用書簽保存常用的官方網(wǎng)站:訪問加密貨幣交易所或錢包服務(wù)時,建議直接使用瀏覽器中保存的書簽,而不是通過搜索引擎查詢,以防誤入釣魚網(wǎng)站。
多重身份驗證(2FA)
多重身份驗證(2FA)是增加賬戶安全的重要措施之一。在賬戶登錄時,除了密碼外,還需要額外的驗證步驟,通常是通過手機短信、身份驗證器應(yīng)用程序生成的動態(tài)驗證碼,來確認(rèn)身份。
1.開啟2FA:務(wù)必為所有支持2FA的加密貨幣賬戶開啟這一功能,包括交易所賬戶、錢包應(yīng)用等。即便攻擊者獲取了你的密碼,沒有2FA的驗證碼,他們?nèi)匀粺o法登錄賬戶。
2.使用身份驗證器應(yīng)用:盡量選擇使用Google Authenticator、Authy等身份驗證器應(yīng)用,而非短信驗證,因為短信可能會遭遇SIM卡劫持攻擊。
3.定期更新2FA設(shè)備:確保你綁定的手機或驗證設(shè)備是最新的。如果手機丟失或更換,及時更新2FA設(shè)備,避免安全隱患。
安全意識培養(yǎng)
區(qū)塊鏈釣魚攻擊的手法不斷演變,因此必須持續(xù)學(xué)習(xí)和保持安全意識。
1.關(guān)注安全社區(qū)和新聞:定期關(guān)注區(qū)塊鏈和加密貨幣安全的相關(guān)新聞、博客和社區(qū)論壇,獲取最新的安全資訊和預(yù)警,避免掉入新的釣魚陷阱。
2.提高警惕:養(yǎng)成在任何敏感操作(如授權(quán)簽名、交易轉(zhuǎn)賬)前仔細檢查操作內(nèi)容的習(xí)慣,不隨意在陌生網(wǎng)站或平臺上連接錢包或進行簽名操作。
錢包安全管理
錢包是加密貨幣的核心存儲工具,妥善管理錢包的安全對防止釣魚攻擊起至關(guān)重要的作用。
1.不要泄露助記詞或私鑰:助記詞和私鑰是控制錢包的關(guān)鍵,一旦泄露,攻擊者可以直接獲取錢包中的資產(chǎn)。因此,助記詞和私鑰必須妥善保管,絕不能透露給任何人,也不要存儲在聯(lián)網(wǎng)設(shè)備上。
2.使用冷錢包儲存大額資產(chǎn):冷錢包是指未連接互聯(lián)網(wǎng)的錢包,通常是硬件錢包,安全性較高。對于長期持有的大額資產(chǎn),建議存放在冷錢包中,以防止在線攻擊。
3.合理使用熱錢包:熱錢包是連接互聯(lián)網(wǎng)的錢包,便于日常交易,但安全性相對較低。建議將少量的日常交易資金放在熱錢包中,盡量將大部分資金存放在冷錢包里,分散風(fēng)險。
4.定期備份錢包數(shù)據(jù):確保錢包助記詞、私鑰或恢復(fù)密碼等信息有可靠的備份。建議將備份信息存放在安全的、離線的地方,如加密的USB設(shè)備或?qū)嶓w紙張。
結(jié)語
在區(qū)塊鏈的世界中,用戶的每一步操作都可能直接影響資產(chǎn)安全。隨著技術(shù)的發(fā)展,釣魚攻擊手法也在不斷升級,因此我們必須時刻保持高度警惕,提升自我防護意識,避免掉入騙局。無論是核實鏈接、使用安全設(shè)備、開啟多重身份驗證,還是妥善管理錢包,這些細小的舉措都能為我們的資產(chǎn)構(gòu)筑起一道堅固的防線。
務(wù)必慎之又慎,莫操之過急!
鏈源科技是一家專注于區(qū)塊鏈安全的公司。我們的核心工作包括區(qū)塊鏈安全研究、鏈上數(shù)據(jù)分析,以及資產(chǎn)和合約漏洞救援,已成功為個人和機構(gòu)追回多起被盜數(shù)字資產(chǎn)。同時,我們致力于為行業(yè)機構(gòu)提供項目安全分析報告、鏈上溯源和技術(shù)咨詢/支撐服務(wù)。
感謝各位的閱讀,我們會持續(xù)專注和分享區(qū)塊鏈安全內(nèi)容。
鄭重聲明:本文版權(quán)歸原作者所有,轉(zhuǎn)載文章僅為傳播更多信息之目的,如作者信息標(biāo)記有誤,請第一時間聯(lián)系我們修改或刪除,多謝。
