前有周杰伦无聊猿NFT被钓鱼攻击,损失超300万人民币。
后有全球最大的NFT交易平台之一OpenSea大批用户遭遇钓鱼攻击,多人资产受损。
可见Web3世界黑客依然猖狂作祟,为了打击黑客嚣张的气焰,我们将为大家持续输出干货系列文章,教导大家NFT防技巧。
本文研究了两类典型的NFT的钓鱼攻击,一类是盗取用户签名的钓鱼攻击,如:Opensea钓鱼邮件事件;一类是高仿域名和内容的NFT钓鱼网站。跟我们一起看看
「盗取用户签名的钓鱼」
2022年2月21日,全球最大的加密数字藏品市场Opensea遭遇黑客攻击。根据Opensea官方回复,有部分用户由于签署了给黑客的授权而导致用户NFT被盗。
我们将本次事件再次复现一下,在本次事件攻击事件中,攻击者信息如下:
攻击者地址(Fake_Phishing5169):
0x3e0defb880cd8e163bad68abe66437f99a7a8a74
攻击者合约(Fake_Phishing5176):
经济学家:津巴布韦黄金支持数字代币无法解决该国货币困境:金色财经报道,津巴布韦劳动和经济发展研究所(LEDRIZ)的高级研究经济学家和政策顾问Prosper Chitambara表示,黄金支持数字代币不是解决该国面临困境的灵丹妙药。
专家们对黄金支持数字代币的实力持怀疑态度的原因是,它可能不足以阻止货币供应的增长,而货币供应的增长才是当前的真正问题。Chitambara说,如果没有强有力的宏观经济政策,数字代币就无法减少经济中流通的货币量。专家指出,为了真正改善本国的货币困境,津巴布韦必须制定合理的政策。
根据Investing.com的数据,5月8日,当黄金代币发行时,1美元价值1109新津巴布韦元,高于一个月前的949新津巴布韦元。此后,对此代币的需求急剧下降。根据央行6月份的最新数据,当时只有35份新的申请。[2023/6/27 22:03:32]
0xa2c0946ad444dccf990394c5cbe019a858a945bd
攻击者获得相关NFT的交易具体如下图所示:
针对其中一笔交易进行分析,
0xee038a31ab6e3f06bd747ab9dd0c3abafa48a51e969bcb666ecd3f22ff989589,具体内容如下:
比特币矿企Hut 8 5月产出147枚比特币,出售179枚比特币:金色财经报道,北美比特币矿企Hut 8发布5月运营数据,2023 年 5 月的生产了147 枚比特币,平均每天产生约 4.7 枚比特币,2023 年 5 月出售了179 枚比特币,总收益为680 万美元。截至5 月 31 日,储备中未支配的比特币总余额为 9,233枚,截止5月底,Hut 8艾伯塔省工厂安装的ASIC算力容量为 2.6 EH/s。[2023/6/9 21:26:39]
由上图可知,攻击者是获得了用户的授权,之后直接调用transferfrom方法将用户的NFT盗走。
根据Opensea的CEO Devin Finzer发布的twitter,攻击者是通过钓鱼的方式获取到用户在Opensea上的挂单授权。
通过分析攻击交易,黑客攻击主要分为以下三个步骤。
1.构造正确的待签名交易;
2.诱用户点击授权;
3.获取用户签名后构造攻击合约盗取用户NFT。
步骤一
首先对攻击者构建的交易签名内容进行分析,跟踪函数调用栈发现具体的签名信息如下:
Base:正努力将下一个10亿人带到链上:金色财经报道,Base在社交媒体上表示,“我们正在努力实现一个伟大的愿景,将下一个10亿人带到链上。要做到这一点,我们需要把下个一百万名建设者带到链上,并让他们掌握DApp开发的基本原理,编写和部署智能合约。”
此前昨日报道,Coinbase面向Web3开发者推出教育平台Base Camp。[2023/5/18 15:11:25]
由上图可知,签名的计算方式为:keccak256("\x19 Ethereum Signed Message:\n32", hashOrder(order));这种签名方式会在order前再加一个消息前缀:’\x19 Ethereum Signed Message:\n32’,以确保改签名不能在以太坊之外使用。之后将加上消息前缀的完整数据再计算keccak256值,最后用私钥进行签名。
但是该方式仅能声明所有权,无法防止重放攻击。如:用户A签署了消息发送给合约M,另一用户B可以将这个签名重放给合约N。下图为订单签名中具体涉及到的信息。
其中涉及到的签名主要参数为:
Side:买入或卖出
比特币年初至今上涨50%成今年表现最好的资产,超越股市和黄金:金色财经报道,年初至今,即使一些专注于加密货币的银行倒闭,甚至是加密货币交易所消失,比特币仍大涨50%,超越全球主要股指和黄金表现,成为今年表现最好的资产。
加密货币交易所Luno负责企业发展和国际业务的副总裁Vijay Ayyar表示,虽然Silvergate、Signature银行和硅谷银行的倒闭给金融市场带来了冲击波,但这些失败也可能推动比特币的反弹。上周围绕硅谷银行和其他银行倒闭的事件,也突显了人们可以完全托管和拥有的去中心化货币的力量。从概念上讲,分散式金融开始深入人心,现在已经吸引了更多的人。[2023/3/17 13:10:31]
paymentToken:用于支付订单的代币类型
basePrice:订单中NFT的价格
maker:订单发出地址
taker:接收订单的目标地址
上述签名信息中包含订单金额、目标地址等敏感信息,但是经过keccak256计算Hash后的值只是一串二进制字符串,用户无法识别。
攻击者根据上述Order信息构造签名,可以随意将上述签名中涉及到的basePrice参数金额设置为0,接收地址设置为自己等。
步骤二
攻击者构造好待签名数据后就可以诱用户点击授权。由于签名的元数据是经过Keccak256计算后得到的包含0x的66个十六进制字符,用户无法得知其代表的具体含义,因此可能直接点击签名,使得攻击者获得了用户的挂单授权。
40,000,000 SAND 从未知钱包转移到 Binance:金色财经报道,Whale Alert监测数据显示,北京时间2023年2月5日02:03,40,000,000 SAND (价值约31,231,469美元) 从未知钱包转移到Binance。[2023/2/5 11:47:45]
上图中的签名对于用户来说类似盲签,即所签的消息内容对签名人来说是盲的,签名人不能看见消息的具体内容。
步骤三
在步骤二中攻击者获取到ECDSA签名消息中的R、S、V值,即可利用其构造攻击合约盗取用户NFT。下图为OpenSea: Wyvern Exchange v1合约中验证order的函数validateOrder(),具体源码如下:
由源码可知,订单验证首先会校验order的有效性和是否包含有效参数,接着校验订单是否曾经通过链上校验。其中approvedOrders是一个mapping变量,该变量保存了所有已经通过链上批准验证的订单。如果订单曾经校验过则直接返回true,无需再使用ecrecover()校验 ECDSA 签名,以便智能合约可以直接下订单。
以下是其中一笔NFT盗取交易,可以发现攻击者利用用户签名通过调用攻击者合约(Fake_Phishing5176):
0xa2c0946ad444dccf990394c5cbe019a858a945bd,以0 ether的价格盗取了用户的NFT。
综上,该类事件主要是因为用户在签署交易签名时,由于签署的交易内容是加密后的字符串,导致用户无法直观的看到签署交易的具体内容,习惯性的点击确认,从而造成攻击者获取到用户的卖单权授权,盗走用户的NFT。
「高仿域名的NFT钓鱼」
这一类的钓鱼网站主要是对NFT项目官网的域名和内容等进行几乎一致的模仿,一般会先连接用户钱包查询用户余额之后,再进行其他诱操作。这种钓鱼网站是最常见的,主要分为以下几种类型:
1 仅更换原官网的顶级域名
案例一
官网:https://invisiblefriends.io/
钓鱼网站:https://invisiblefriends.ch/
查看钓鱼网站的网页源码,可以发现如下攻击地址:
0xEcAcDb9FA4Ed4ACD8977821737da7bCe688be1e0的相关交易:
可以发现上述两笔交易是攻击者获取到的收益。
案例二
官网:https://cyberbrokers.io/
钓鱼网站:https://cyberbrokers.live/
查看钓鱼网站源码,发现如下攻击地址:
2 主域名添加单词或符号进行混淆
有的钓鱼网站会在主域名添加单词或符号进行混淆,比如othersidemeta-airdrop、otherside-refunds.xyz等。
官网:https://otherside.xyz/
钓鱼网站:http://othersidemeta-airdrop.com/
查看钓鱼网站源码,发现页面存在setApprovalForAll()函数,该函数会授权_operator具有所有代币的控制权。如果用户授权了攻击者,则用户账号中所有的NFT将会被盗走。
3 添加二级域名进行混淆
有的钓鱼网站会添加二级域名进行混淆,进行钓鱼。
?
官网:https://www.okaybears.com/
钓鱼网站:https://okaybears.co.uk/?
查看网页源码,根据solana web3的官方文档API,确认如下地址为攻击地址:
在如今钓鱼事件频发的情况下,用户需提高安全意识,保护自己。以下是我们的安全建议:
1 签名时应当明确签署的交易内容,包括交易价格、交易地址等信息,如下图红框处内容所示:
如果存在签署内容仅为二进制字符串内容等无法明确的内容,请勿签署。
2 切勿点击任何邮件中的链接、附件,或输入任何个人信息。
3访问NFT官网时,一般在官网右上角等处会显示官方twitter、discord等社交帐号,需在官方账号上确认官网地址。
4安装钓鱼插件,可辅助识别部分钓鱼网站。比如下面这一款(复制链接谷歌浏览器直接安装)
https://chrome.google.com/webstore/detail/beosin-alert/lgbhcpagiobjacpmcgckfgodjeogceji?hl=zh-CN
熊市里,NFT投机者Alice自动变成了NFT收藏者和Builder。除了持续在所持有的NFT社区中进行推广之外,Alice也想为手中的“小图片”寻求新的商业价值.
1900/1/1 0:00:00在 1960 年代,由于安迪·沃霍尔(Andy Warhol),坎贝尔的罐头汤成为了一件艺术品.
1900/1/1 0:00:007月22日,美国财政部货币监理署(OCC)发布了一封解释函,阐明了国家银行和联邦储蓄机构为客户提供加密货币托管服务的权利。该解释函适用于各种规模的国家银行和联邦储蓄机构,也同样适用于许多已经授权州银行或信托公司提供类似功能的州.
1900/1/1 0:00:00给这两天沸沸扬扬 OP 开个话题。我发现市场上大家都在说对 OP 估值,但是估值之前要想清楚 OP 整个的底层逻辑,比如 OP 代币的价值到底是什么,这种价值怎么体现,多少能 price in 等等,我想简单探讨一下.
1900/1/1 0:00:00作为21世纪的新生事物,元宇宙的基本价值诉求应该是促进人类、社会与自然的可持续发展。元宇宙与旅游的结合如何正确地跨出第一步,进而实现从0到1再到的发展,是旅游行业亟待深思的问题.
1900/1/1 0:00:00自从早期互联网的聊天室和游戏 MUD(“多人地下城multi-user dungeons”)诞生以来,人们就一直在数字空间中游荡。但如今,数字世界在我们的活动和时间中所占的份额越来越大,而且比以往任何时候都更加实体化.
1900/1/1 0:00:00