据安全数据显示,今年以来,有记录的因诈骗和安全漏洞?带来的加密领域损失已近30亿美元。每一个区块链行业的参与:者都无异于”身处“大西部”,无时不刻受到、隐私、财产?损失的。风险。
虽?然业内;已经有部分对区块链诈骗、安全漏洞进;行分析的工作,但大多只是针对某些案例,或者对背后机制的讨论不够深入。因此,我们很高兴为大家带来这篇,由两位网络安全领域的专家所撰写的万字长文,为大家全面且深入的分析当前几乎所有安全隐患并提供应对策略。
自网络诞:生以来,攻防领域、就?一直是研究的热点;区块链诞生之后由于其巨大的财富效应与用”户对安全的认识不足,吸引了无数。的黑客挖空心思进行攻击。在近几年Defi与NFT高速发展的环境下,利用区块链网!络实施的钓鱼诈骗攻击更是越来越多,各类攻击场景及攻击方法层出不穷。
本文前半部分阐述了区块链安全基础知识香港独立服务腾讯香港bgp云服务器器ipmi如何使用,重点阐述了用户、在使用区块链相关应用时应重点关注的安全要素。后半部分整理常,见的利用区块;链欺骗用户”资产的攻。击:案例,通过对:黑客攻击手法进!行分析,引出、针对特定攻击手段的;防护方案。
根据柯克霍!夫原则,即使已掌握,了”密码系统的运作步骤,但是在密钥未,被泄?露的前提下,密码系统仍然是、安全的。在区块,链环境下,保护钱包;私钥,是保护,链上,数字资产的重要措施?和前提。
区块链钱包软件所管理的私钥通常是256bit长的随机字符串,为便于展;示区块链钱包工具会将256bit数据转换为32字节长的16进制编码。“0x40e667191f4497cc3ab018ce”b524a32c2f4875fbfb0103322767f46f5b319244”即为区块链钱包软件生成的钱包私钥。通过将私钥导;入区块链钱包,用户即可掌握钱包内。对应的数字资产。利用椭圆曲线密码框架,开发者可以利用私钥数据便捷”的计算出与之对应的公钥信息,通过对公钥进行keccak256运算[7]并取运算结果的最后20字节,即获得区:块链钱包、地址。使用以太坊et”hers工具库生成公私钥,并根据公钥信息计算钱包地址的代码运行结果;如下图所示:
考虑到哈希运算具“有抗强”碰撞;和弱碰撞特性,因此在不掌握钱包私钥的前提下攻击者难以通过随机碰撞的方式构造出两个完全一致的区块链钱包地址。为便于用户记:忆及保存,在BIP39提升改进计划中引入了使用助记词表示区块链钱包私钥的方法。为便于“理解,读者可以认为一组由12、15、18、21或24个单词组成的助记词列表即对应一组区块链钱包私钥。在助记词处于保密状态时,用户的钱包私钥及数字资产是安全的。
在创建区块链钱包时,助记词及私钥数据是异常敏感的,在进行敏感操作前用户检查周边环境是否有可疑人物、高清:摄像头等可能“产生窥屏事件的不安全因素。用户通常需要使用纸笔或助记词钢板记录钱包助记词并妥善保存(如锁入保险箱)。在使用区块链网络时,用户应当做到不向任何人透露与助记词及私钥相关的任何信息,切实保障用户数字资产的安全性。
智能合约的出现使以太坊网络相较比特币网络具备了更好的延展性,开发者可,通过;以太坊提供的SDK开发工具编写智能合约代码便捷的开发DAPP。在以太坊中,智能合约是一种部署后则代码逻辑无法被篡改的计算机程序。待智能合约:部署后,区块链用户即可以按照智能合约对应的代码逻辑与合约进行交互。
用户在与智能合约交互前,应检查:1)智”能合约代码是否已通过区块链浏览器完。成了开源?操!作;2)对智能、合约代码关“键逻辑(例如要调用的智能合。约方法)进”行审计,待确保代。码不存在恶意使用或转“移用户数字资产“的敏感行为后,再调用智能合约方法。
调用经过合约开源认证或已通过知名智能合约审计公司安全性审计的智能合约方法,能够在一定程度上保障用户持有数字资产的安全性。
区块链钱包软件为其用户提供了私钥管理腾讯香港bgp云服务器,钱包账户?管理,远程过:程调用(RPC)?节点管理、交易签名、交易管理、与智能合约交互及硬件钱包连接等、功能。区块链钱包软件存在的重要作用就是为用户提供了一个界面友好的私钥容器、密钥管理系统及交易签名代理工具,确保用户能够在不具备管理私钥及区块链交易广播工具能力的基础上,能够便捷的与区块链网络进行交互。
从钱包:是否与互联网存在直接连接进行分类,区块链钱包划分为1)冷钱包;2)热钱包。
从钱包运行平“台进行分,类,钱包可以划分为1)PC主机钱包;2)浏览器插件钱包;3)移动手机端钱包;4)硬“件钱包;5)网页、钱;包等。
优先选择从官方渠道分发的区块链钱。包软件。以浏览器插件钱:包为例,用户可以从官。方“网站,浏览器应用商店,插件钱包官方Github仓库等渠道下载并安装浏览器插件钱包。在日常使用过程中,需要,定期更新区”块链钱包、底层操作系统、浏览器、并保持其版本总是处于最新状态,以此来保护用户持有的数字资产”安全。
在使用区块链钱包软件时,用户应设置强解锁口令以避免遭受口令爆破攻击。在离开、电脑前,应主动锁定“屏幕和?钱包,以避“免遭遇:因?电脑?钱包处于未锁定状态导致数字资产被滥用。Me:tamask钱包提供的自动锁定定时功能如下所示。
用户应当优先选择”官方渠道购买的硬件钱包。待收?到钱包后,需要访?问硬!件”钱包官方网站对钱包完整性及固件版本进行验证,以避免遭受供应链攻击。针对硬件钱包实施的攻击层出不穷:在使用硬件钱包签名交,易,时,用户需,查看待签名交易的完整内容,并对交易合法性进行认证,避免进行盲签名,以避免:遭受非法!交易签名攻:击进而丢失数字资产。
用户在!收到硬件钱包并创建区块链账户时,应当多次执行创建钱包生成助:记词功能。通过记录硬件钱包生成的“助记词与之及对应、取得区块链钱包地址,比对不同创建钱包操作所生成的助记词差异,确保硬件钱包生成私钥所”使用:的随机数种子足够安全,创建钱包操、作所生成的私钥足够随机。
盲签名 又名 Blind Signing 起源?于一个问题:如果给我们提供了一份内容完全密封的合同,只留下签;名页可见,你会愿!意签署,这份合。同吗?我的答案:是否认的:不会签署这!份合同,避免签署对自己不利的合同内容。
在区块链环境中,应用硬件钱包与智能合约进行交?互与 Blind Signing 很像,因为签署智能合约交互交易时,用户无法通过硬件钱包获取智能合约的底层行为逻辑。Ledger的屏幕是非常小的,无法向用户与智能合约交互交易的全貌。用户若 enabl;e Blind Signing 时,就代表其已经接受尽管 Ledger 无法向用户!展示智能合约全貌的前提下,任然利用 Ledger 批准与智能合约进行交互的交易:此时,用户。已经同!意信任其发送的交易,而不是选择对交易合法性及行为进行校验。
以太坊中知名的RPC节点服务主要包括Inf,ura、Alche”my、Moralis等,BSC链的RPC节点服务商主要由BSC链官方提供。
近年来受到关注的新公链解决方案如P。ol:ygon、Optimism、Avalanche及Fantom的RPC节点服务主要由Ankr提供,区块链用户在使用特定公链时,需要通过在钱包内添加RPC节点地址链接的方式与对应的区块链R?PC节点建立连接,以便通过RPC远程调用的方式实现与区块链的通信及交互。RP?C节点的作用是重要的,如果没有RPC节点,用户个人将难以接入区块!链网络。
下图给?出;了ConfluxeS。pace ”区块链网络对外公开的 RPC 节点信息,通过钱包连接RPC节点,在用户发起转账和智能合约交互时,由RPC代理将交易打包发送至区块链网络,最终使交易以区块形式进上链。
用户应当选择安全性经过验证的RPC节点服务商,以保障其钱包数据来源的可靠性及与区块链网络交互的稳定性。恶意的RPC节点提供商可能会恶意显示不正确的区块链状态并记录用户的链上活动数据,严重危害”用户数据安全。
部分攻击者会通过使用社交网络私信或发送电子邮件等方式向。目标用户发起攻击,通过精心设计钓鱼场景的方式使受害者确信:只要按照攻击者指示进行操作(访问特定站点、与特定智能合约进行交互或将助记“词导入至区块链钱包),即可获。得奖励:当受害者选择,相信。攻击者时,其已进入了由攻击者;精心构造的钓鱼诈骗陷阱。由于区块链交易具有不可篡改和不可逆的特性:大量区块链钓鱼攻击受害者在发现资产因为自身疏忽而被转移至攻击者持有的区块链账户后,丢失的资产早已无法挽回。
下图给出了一封以盗取区块链数字资产为目标的钓鱼邮件:用户需、要在特定;截止日期(DDL)前在平台处登记区块链钱包,不然就冻结(威胁)账户。在收到这类电子邮件时,不点击邮件或私信中包含的任何超链接信息或按钮,待与官方核实确认邮件内容合法性后,再对邮件进行处理。
设置“防钓鱼码能够在一定程度解决钓!鱼邮件的问题,下图给出了premint平台提供的防钓鱼码功能:
开发者在开发DAPP应用时所使用的环境即为开发环境,保护开发环境!安全,是保护应用开发者及DAPP应用使用者资产安全的重要前提。DAPP应用是基“于区块链网络交互框架开发的(如ethers,web3.js等),为了方便;用户使用;DA?P:P,开发者通常需使用基于Ja日本和香港哪个服务器好些、vaS!cr;ipt脚本开发的前端框?架react或vue构建DAPP应用前端,便于用户直接利用前?端UI直接与智能合约进行交互。前端开发框架有助于DAPP开发团队便捷的开发支撑DAPP应用运行和使用的前端系统。
搜索”引擎,是一种”按照特定策略、运用特定计算机程序从互联网上采集信息,在对信息进行整理和“归纳后,对外向用户所提供的一种检索及结果展示系统,是帮助用户查找特定资料及信息的有力支撑工具。
在区块链环境中,用户需访问DAPP官方网;站时,通常也会将搜索引擎的检索结果作为参考之;一,这给”了攻击者可乘之机。攻击者可以、通过仿冒知名的DAPP平台界面UI,并对仿冒站点进行“SEO优化,使仿冒站、点出现在搜索引擎、结果的第一位或靠前位置。出于对搜索引擎结果的信任,最终导致用户持有。的数字资产丢失。仿冒DAPP通过SOE优“化进入搜索引擎结果靠前位置的案例。尽管 Goo“gle已将其标记为Ad,但由于其结果“出现在搜索结果第一位,仍然有部分用户中招。
被仿冒的DAPP应用为?x2y2这一 NFT交易平台,其官“方链接为x。2y2.io,而仿,冒站点链接为黑客通常会选取,与被仿冒DAPP相近或相关的域名以达到欺骗并盗取用户数字资产的目的。
在,开始这一:内容前,我们、需要明确”一个概念,什么是?交易?什么是?签名?什么、时候会;签名,在区块链中:的交易有以下几类。
所有交易在?上链之前,都需要使用交:易发起人对交易Hash进行签名,在交易上:链的过!程中,通过对签名结果认证的方式验证交易合法性,合法的交易打包上链的这一刻交易行为将生效:不管是转账的ETH还是转移的NFT都会进入目标地址中。
此外,还有另外一种签名,比如登录mirror时需要签名来验证用户掌握连接mirror的区块链账户。
确保交易签名安全。的重点是:1)确保用户在确认交易时所看到的待签名内容是符、合用户预期:的;2)确保,用户签;名的交易发送后,区块链能够按照用户对交易的预期执行。用户所见即所签,所签即所:行。确保经用户签名的交易、被发送后,执行结果是符合用户预,期的是保障签,名安全的重要指导方针。
在窃取?用,户私钥无?果。的前提下:部分黑客打起了盗用签名;数“据的,歪心思:通过诱导用户对不安全的交易数据进行签名:诱导用户访问钓鱼页面并在钓鱼页面中将存在盗取资产操作的交易利用keccak256生成待签名数据推送至用户,若用户因疏忽进行了签名操作,则黑客即获取到能够向区块链节点证明交易合法性的签名数据。此时,黑客只需要将签名数据和构造的交易广播至区块链网络,即可实现;滥用受害者账户,数字“资产的目的(通常为盗取NFT)。
下图给出”了“一个不安全的待签名请求,发起该请求的;站点为钓鱼站点https://thejewsnfts.xyz,在后文我们还将对其通过仿冒推特账户实施攻击的方法进行阐述。
在、站点向用户发起签名请求时,用户需要对站点和待签名数据的合法性进行认证,经确认无“误后。再执行签名操作,确保签名操作执行的链上行为符合用户预期。在遇到待签名消息为纯16进制不可读数据时,用户应坚持?拒绝签名。
下图给出了一个相:对安全的待签名消息,用户通过签名该消息实现使用区块链钱包账户登录进入Web3系统的目的:
区块链浏览器为用户提供一个界面友好的查询区块链链上数据的接口。以太,坊区块链浏览器Etherscan为用户提供了链上交易数据查询,资产转移;信息查询,智能合约代码查询,智能合约交互,区块数据查询,地址资产分:析、运算服务费用估算、区块链域名解析等功能香港独立服务器ipmi如何使用,利用这些功能,
用户可以快速的获取账户的余额信息;对智能合约代码进行安全审计,实时查询链上交易费用等。一笔以太坊交易主要包含以下信息:交易hash,交易状态,交易区块,号,交易“时间戳,交易提!交账户,交易接收,账?户腾讯香港bgp云服务器,交易发送金额(案;例中为0.1E“th),为完成交易所支付的交易费用及交易的单位燃料费”用成本等。在使,用区块链浏览器查询交易数据及交易详情时,应优先选择由区块链官方开发或推!荐的区块链浏览器,通过检查目标合约的交易安全与否规避潜在的钓鱼或基于合约的授权攻击。
区块链浏览器是帮助区块链使用者验证交易是否成功的”一项重要工具:用户A声称其通过区块链网络向用户B转账了1ETH,交易验证者可要求用户A分享交易Hash并使用区块链浏览器搜索检查交易信息中的交易接收账户是否为B,同时检查交易发送金额字段是否为1ETH来验证交易执行情况。此外,交易验证者还可以通过区块链浏览器直接检查用户B钱包地址余额变动情况,以验。证B?地址余额是否已增加1ETH。
区块链浏览器还提供了智能合约开源展示的功能,便于用户在与智能合约交互前对代码安全性进行审查。用户应当掌握检查智能合约是否已处于开源验证状态的方法。用户应当优先选择与已完成智能合约代码开源验证的处理的智能合约进行交互。用户应通过区块链浏览器,对智能合约代码安全性进行审计,在确保代码不存在权限滥用或恶意、使用用户数字资产的行为后,再与合约进行交、互。已完成智能合约代码开源验证处理的智能合约在区块链浏览器中的展示信息如下所示:
在这一章“节,我们将重点介绍黑客以盗取区块链数字资产为目标,通过构造钓鱼场景的方式在不需要掌握用户私钥的前提?下盗取数字资产,通过分析这类攻击的特性,按照1-”1对应的方式,给出;防护方案。例如2.1.1中,给出了DM,类仿冒攻击后马上即介绍针对D;M类钓鱼攻击的安全建议及防护方案。诈骗攻击的产生原因也就呼之欲出:既然用户在努力保护自己;的私钥,也知道私。钥很重要,那我就用一个更合理的办法让用户亲自把数字资产送;给我。
利用社交平台向用户发起私聊,实施。钓鱼攻击,是一种相对简单且易于实。施的攻击:通过精心构造的诈骗场景诱导用户向特定区块链地址转账或访问钓鱼页面。
用户参与某抽奖活动并中奖,奖品,是免费。向用户赠。送的,但用户需”要”向特定钱包“转。账0.02ET,H作为gas费,对方再将中奖奖品转发给中。奖用户。
黑客希望通过利益冲?昏被钓鱼者的头脑,在使用区块链时,应当:坚信没有免费的午,餐。
Ledger硬件钱包在其安全使用建议中专门指出:不要与在Discord、Twitter或任何其他社交平台上给你发送私人信息的人进行互动及交互,在Web3环境中,任何人都没有理由直接通过社交联系用户,并向其发送信息。
在使用 Discord 及 Twitter时,可以选择关闭DM选项或不查看推特的私信请求,眼不见为净。
通过:仿冒社交“账号”的方。式实?施钓鱼;攻。击:将社交;账号名称,头像,介绍等信息设置为与。被仿冒社交账。号相近的内容,并通过社交网络释放钓鱼链。接的方式实施钓鱼攻击。在区块链环境中,知名的DAPP项目方通常会遭受社交账号仿冒类”攻击,严重威胁到用户持有的数字资产安全。
在2022年7月13日左右,由明星代言的Theirsverse NFT项目就遭遇了域名仿冒攻击,攻击者仿造正版域名“”注册了仿。冒的域名“th;eir、ve:rse.com”,为了使访问到仿冒站点的用户更加确信其访问的是官方网站,攻击?者进行了如下工作使其站点看起来更加真实:
经链上数据分析发现了一名遭遇仿冒域名钓鱼攻击的受害者:其损失的,数字资产超过1.3w美金。这名受害者的遭遇为很多区块链用户提供了重要的警示作!用。Theirsverse项目发行的NFT在7月13日左右正在举办铸造NFT的活动,用户!可以支付;0.15ETH并min”t一个Theirsve:rse NFT。
1)受害者“为了及时?参与!到抢购活,动,在开车时尝试使用手机:钱包访问项目官方网、站;
2)由于受害者;没有记住项目方提供的官方网、站域名,在输入域名时,错将正版域名输入为仿冒域名,由于此时受害人正在开车,并没有注意到域名的差异;
3)”攻击者专门在仿冒域名处部署一套;完全克隆了官?方网站的代码,使受害人确信其访问的站点为项目官方站点;
4)仿。冒网;站与”官方网:站相差,无异,此时受:害者已进入攻击者所布置的钓鱼!陷阱,在没有连接区块链:钱包并进行交易授权时,此时其数字资产仍然是安全的;
5)受害者使用区!块链钱包连接仿冒网站,仿冒站点已具备查看受害者钱;包地址信息的权限,用户持有的数字资产及价值已被攻击者获取;
7)受害者误以为自己正在访问Theirsverse官方网站,且与区块、链交互所、需支付的g!a“s费?极低,误以为钓鱼站点发;出、的交易请求是兑换Theirsverse NFT的交易,因此点击了确认按“钮。
8)受害者点击了3次交易确认按;钮,将钱包中持有的WETH及g:OHM代币以及某知名NFT的spend权限(至少可以转移)授予至攻击者控制的区块链合约地址,此时攻击;者已具备转账其WETH、gOHM这两种ERC20代币权限。
9)”仿冒站点仍然持续弹出交易确认请求,此时受害者发觉异常,开始拒绝该网站发起的任何交易请求,才没有造成更严重?的损失。
10)在获得转账权限后攻击者通过运行自动化脚本立刻将用户持有的WETH、gOHM代币转移至其个人钱包地址,链上数据分析工具debank提供的、受:害者账户。资产被盗取的历史!记录如”下图所示:
受害者被钓鱼后授权了攻击者地址具备spend其WETH及gOHM代币的权限
通?过申请相近的域名,克隆目标网站的代码逻辑并修改其中与区块链交互的逻辑,使攻击。者能够从!钓鱼;攻击,中获利。
区块链钱包是;用户接入及区块链网络的重要方式:如果攻击者能够诱导用户下载并启用仿冒钱包,并尝试使用助记词恢复自己已有的区块链钱包,那么攻击者就有机会在用户不知情且无需发起区块链链上交易的情况下通过网络传输的方式。自动窃取用户输入到仿冒“钱包内的助记词或?私钥,进而掌?握用户的数:字资产。
大部分区块链、钱;包都会进行代码开源以供用:户审计,这也为攻击者进。行应用仿冒提供了一定的基础条件。通过下载开源代码的方式可以快速地构建一套带有盗用用户助记词逻辑的仿冒钱包:在不提供、完整的钱包功能的情况下仅保留助!记词导入、将用户输入?的助记词外发至攻击者所控制服务:器的功能。仿冒钱包盗取助记词进而盗取!用户数字资:产“攻击的!特点是:在资产。被盗时,用户,无法准确”的确“定资产丢?失原因。
与站点,仿冒攻!击类似:仿冒。钱包拥有!正版。钱包相似;的界面,但存?在外发:助记词!或私钥“等恶意行!为。相似的”界面!是钱包,仿冒类”攻击成功实施,的重要原因。
在以太“坊中,区块链用户可以持有符合E;RC20、ERC721及”ERC”1155标准的”代币。
上。述代币既可“以通过转账操作由用、户主动转移至其他账户,也可以通过授权操作授予特定地址使用或转移代币的权限。相关ERC标准中引入的授权方法如下所示:
授权操作在ERC20,ERC721及ERC1155标准中是合法的,但是在标准设。立”时没有考虑权限滥用问题:若用户将其持有的代币使用权限授予黑客所控制的区块“链地址,那么用户所有资产将面临被黑客滥用及盗取的风险。
通过分析链上记录分”析,受害者0118.eth?在攻”击者诱,导下,调用gOHM T:oken智能合约中的approve方法,将gOHM代币的使用权限授予至攻击者控制的智能合约账户:0xA31573be292BD03d36DB137B6C2AB6eAA3d5e572,授权其转移的代币数量是8.8058个(精度为18位)。随后攻:击者利用其控制的智能合“约账户,将受害者账户!中的资产全部转移至0xc、1a7575开头的攻击者账户。
这一节内容非常重要,攻击者瞄准的目标是用”户已授权给Opens!ea合约Seaport的;NFT,如下图所示,已完成步骤1的这类NFT:
用户。可以?在Ethe;rs”can上查看其授权、给Seaport合约的NFT,这类NF,T都是攻击者希望窃:取的目标:
看到了吗,就是下面这些NF、T是攻击者的目标,因为这些NFT用户已经授权Opensea使用了,随时可以通过上图C:o、nfirm listi、ng操作,只要一个签名就可以,进行挂;售及调低挂,售金额:
黑客还可以根据开源合约代码构造合法签名数据,并诱?导用户进行签署,使攻击者通过签名获利,这一攻击造成的后果是严重?的:攻击者能够以极低的价格购买受害者持有的NFT。这一攻击的基本实施流程如下:
有的攻击者会采用空投NFT的方式实施攻击,也有的会直接分发钓鱼站点,并在页面布置一个吸引用户点击的按钮(如mint按钮),用户点击,签名就“会中招。
SeaPort为Opensea官方交易所使用的智能合约,但发起签名请求的na;rotunft.com为攻击者钓鱼站点:钓鱼站点提供的待签名数据对攻击者有益,通过将签名数据中的售卖价格设置为1(单位不是1ETH而是1ether,相当于几乎不花钱就可以买走用户挂单的NFT),诱导用户签署(签署后,对应。的NFT将以低价挂售)最终获利。用户在实施签名操作时没有对待签名数据来源(钓鱼站点)及数据内容合法性进行认证是攻击成功实施的重要原因。
在;站点向用户发起签名、请求时,用户需要对站点和待签名数据的合法性进行认证,经确认无误,后再执行签名操作,确保签名操作执行的链上行为符合用户预期。在遇到待,签名消“息为纯16进制不可读数据时,用户应坚?持?拒绝;签名。
通过诱导用户执行存在恶意行:为的可执行程序,远程控制用户、电脑,若用户电脑。中存、在数字,资,产,则直接、转移是黑客通过钓鱼远控实施攻击的特点。
远控类攻击主要分为两种类型:1)恶:意程序攻击;2)远控软件口令破解类攻击。
运行不安全的exe程序,脚本,设置较弱的解锁口令是上述攻击实,施的主要原;因。
通常是尚未披露的应用类漏洞,攻击者利“用这类:漏洞通常:能够实现远程溢出,并执行任意命令实现控制用户电脑。在控制用户电脑后查询本地安装:钱包的信息,并尝试进行资产转移。
部分开发者在开发代码时,由于缺乏安全意识,直接将其持有的钱包私钥以明文形式存储至所开发的应用代码中,攻击者可直接利用Github等开源平台的API编写自动扫描脚本,在匹配并获取私钥后快速检测目标账户中持有的数字资产并转移。
随着前端开发框架应用场景逐步扩张,越来越多的前?端框架安全漏洞被披露,在2022年7月份,知名的NFT白名单领取平台premint就遭遇了黑客攻击,黑客在premint平台的前端代码中注入恶意JS脚本以实施钓鱼攻击:通过欺骗用户签署将NFT;使用!权授予攻击者钱包地;址的交易而实施。这一攻击所造成的后”果是严重。的,为补偿用,户损失,premint,共向受!害者赔付了超过340ETH。
部分灰色产业利用开源代码配合供应链的攻击方法,利用包管理分发存在恶意行为的区块链开发框架,利用恶意框架黑客可直接盗取DAPP开发者的账户私钥,严重影响用户和开发者的数字资产安全。下图给出了被供应链共、计污染的区块链开发框架,黑客可直接提取开发者所使用的钱:包助记词并发送至黑客控制的亚!马逊云服务器,对DAPP程;序开发者和用户持“有的数字资产安全带来严重的威胁。
开发者在选用区块链SDK开发套件时,需要对、开发框,架的合;规性及安全性进行分析,避免使用被供应链攻击污染的SDK开发套件。通过对开发框架所包含组件?的数据完整性,软件包;内容“分发网络安全性进行查验,能够避免“因供应链攻击、或前端框架漏洞导致存在恶意行为的JS脚本注入到DAPP运行网站的实际业务逻辑中所引发代码污染风险,切实有效的保障DAPP用户持有的数字资产安全。
2022年8月4日,知名公链Sol,ana发生!大规模;用户丢币事件,大量用户声“称其持有的SOL及SPL标准代币?被转移至特定的四个Solana钱包,随后Solana官方安全研究人员发现,盗币事件!与”支。持Solana的区块链钱包Slope相关:Slope钱包违规使用了sentry监控服务,将用户的任何行为及。操作数据都会被上传至Slope官方的服务器并被记录:在用户创建Solana,钱包时,钱包对应的助记词及私钥都以明文形式上传至服务器。安全研究人员通过抓包检测到。Slo。pe钱包“存在明文传输用户隐私信息行为如下:
不管该钱包是新创建的,还是用户导入的,其私钥都会被发送至Slope钱包服务器处保存
私钥丢失了,资产就不受用户控制了,只是缺少一、个触发的盗窃动作的时间点。在S!lope钱包、攻击案例中:不管该钱包是新创建的,还是用户导入的,其私钥都会被发送至Slope钱包服务器处保存。
硬“件钱包的”供应链。攻击也是一样的,半路被人调换一个一模一样的钱包,但固件已被人篡改的可能性同、样存在。
这应该是本文的最后一个。案例,是日常遇到的一个很有意思的钓:鱼,攻击!者先通过推特分发了一个钓鱼链接,进去之后就会弹窗要连钱包,随后请求授权,简单看!了一下站点的源代码。
1)以!0.02ETH的价格销售?NFT,但支、付的0.02ETH会直接通过转账打入黑客账户;
2)检测已连接钱包内持有的NF。T资产,一旦该NFT在最近7天内的最低交易价格大于0.1ETH,即诱导用户授权攻击者账户具备转账对应N;FT的权限,在授权后将NFT转移至攻击者账户并变现。
编写本文的缘由来自SeeDao投研工会的一次讨论,舟舟当时提”出了一个在2.2.2中介绍的钓;鱼攻击怎,么实施的问,题及为何会成功的?原因:正巧我最近在总结整理相关的案例,在日常使用中也遇到了一些通过这类方式实施的钓鱼攻击香港服务器需要cdn,就结合自己的理解做了解答。大家后续讨论了下,认为很有必要整理一篇相关的攻击手段及安全建议,供大?家进行参考,这便?是此篇文章产生的原。因。在这里也要特别感谢SeeDao及舟舟的提议。
利用区块链网络实施钓鱼欺骗及诈骗类的攻击越来越多,各类攻击手段层出不穷。追本溯源,很多钓鱼攻击其实是通过简单的攻击、进行组合后实施的,通过利用用户着急参与活动、希望通过Web3赚取更多?利润等心理向用户实施攻击。
在这:篇文章。中所:阐述。的攻击案例,基本上都是我及一些Web3的深度参与用户日常遇到的,素材全”部是,自己截图及使用?的,希望大家”能够尊重原创。为了这篇;文章的:出炉,我写了”两天时间,但素材。的积累和整理花、费了超过2个月的时间,本来希望以另一种形式与大家见面(可能是论文),但是发现该类文章!的实践性偏强,时效性不适合在论文中发表。但未来我也会仍然持续的探索,用更加。通用的方式发表相关的内容。此文中参考他”人的内容,基本都已通过;外链的方式放入,也特别感谢相关作者在构建更加安全的Web3使用环境所做出的努力。
作为一名网络安全专业的学生,我也深感荣!幸和责;任,掌握屠龙刀法应该让我们更好的惩恶扬善,即使没、有惩恶的能力(至少我这菜鸡没有),但把已有的攻击案例总结归纳,让大家有一颗防范之心,应该能在一定程度上减少受害者的损失及受害几,率。就像“Nice discor”d钓鱼的那次,我也在群里拦住?了很多访问目;标站点的网友,我想“一定程度上减少了他们的损失,这样大家都很开心。安全的研究和防护往往需要。从一件小事做起,才能支撑已经发展了多年还“在持续发展的链上系统。
编写这篇文章离;不开身:边朋友的支”持,谢谢豆子,w33d,yz:bba?n,Heisenber。g,SeeD。a?o安全学习;小组的群友们,Inkep!as;s群友们,LookmeDao的群友们以及老白链游群的群友!们。
由于时间匆忙,加上自己研究还不够”透彻,有些内容并没有完全展开或存在:纰漏,还请各位、批评指正。大家随时:可以在、Se!eD,ao。投研工:会联系我,期待大家的意见和建议。
