Abstract:
近一周,0U转账的链上地址投攻击愈演愈烈,截至12月2日,已经有超过37W地址被投,总计92个受害地址,被盗取金额超过164WUSD。
本篇文章,X-explore对攻击态势进行了全面分析,对攻击者进行了链上溯源,同时也深入分析了攻击的实现方式。
我们呼吁钱包APP加强风险提示,普通用户在转账时谨防此类攻击。因为我们注意到UTC时间11月2日10点38分,有一位链上用户损失惨重,近100万美金因投而被转到黑客地址。
本文由X-explore与吴说区块链联合发布。
1.背景
近期,我们的链上风险监控发现ETH、BSC链上频繁出现0u转账现象,以下图bsc链的交易数据为例,受害者A发出一笔正常交易将452BSC-USD发给B后,会收到C转来的0BSC-USD,同时,在同一笔交易hash内用户A自己也会不受控制的给C转0BSC-USD
在社区中,很多用户不知所以然,担心自己的钱包私钥已经泄漏,攻击者正在窃取资产。
2.攻击意图
其实遇到这种情况的用户不用紧张,大家的资产是安全的,私钥并没有泄漏,只需要仔细确认地址小心别转错账就没事,黑客的手法很简单:
Secret设立200万枚其代币基金帮助Terra链上项目迁移至其生态:9月16日消息,隐私公链Secret将拿出200万枚其代币建立Terra Builders Fund,旨在帮助Terra链上项目迁移至其生态。该基金的设立主要针对以下三类项目:Secret Apps,适用于直接构建在Secret Network之上的所有内容;生态系统,用于扩展秘密网络和提高一般可用性的工具;网络改进,用于对网络本身进行重大升级。(github.com)[2022/9/16 7:00:32]
在链上监控几个稳定币的转账信息,捕获受害者地址A正常发送给用户B的转账信息。
精心构造与用户地址B首尾一致的黑客地址C,使受害者A与黑客地址C互相转帐0U。
受害者A下次转账时粗心大意直接复制历史交易的地址时,很容易错误复制到黑客准备的地址C,从而将资金转错账
我们认为这种攻击是链上地址投攻击:
首先,黑客让自己的地址出现在用户交易历史中,诱导用户误认为是可信的交互地址。
此外,黑客构造出的地址与用户可信地址首尾相同,被用户当作下次交易的对象。链上投很容易使用户产生资损,链上用户需共同警惕!
Yuga Labs宣布将仅承认以太坊PoS链上的NFT:8月18日消息,Yuga Labs在推特上发布关于以太坊合并的声明,表示如果出现以太坊PoW分叉,Yuga Labs将仅承认以太坊PoS链上的NFT具有相关许可并有资格使用Yuga提供的实用程序。[2022/8/18 12:33:04]
3.攻击态势
截止12月2日,在BSC与ETH链上的攻击次数分别超过32万次和5万次,受攻击影响的独立地址数分别超过16万个以及4万个。
从趋势上看,BSC链自从11月22日开始爆发,ETH链则从11月27日开始爆发,两条链的攻击规模均愈演愈烈。
此外,可以看到攻击发生时间有显著规律性,在每天UTC时间17点到0点攻击量级显著减少。疑似攻击者处于亚洲时区。
截止12月2日,总共有92个独立地址受,累计被金额达到164万USD。伴随着攻击者攻击目标的增加,可以预见,近期还会不断有大量用户被。
此外,我们对攻击者的攻击成本进行了分析,目前总成本接近2.9WUSD,攻击者对BSC-USD和USDT非常偏爱,与稳定币的币种流通量和用户持有量有关
链上ChainUP云平台合约跟单2.0正式上线:据链上ChainUP官方消息,链上ChainUP云平台于2021年2月26日推出合约跟单2.0。据悉,本次跟单2.0增加了更多跟单玩法并且进行了全新UI设计,提升了产品的使用体验,提升跟单交易趣味性。
链上ChainUP云平台,致力于在第一时间上线优质资产,助力交易所实现运营目标,为交易所客户提供全方位的服务和运营工具。截止目前,链上ChainUP云平台已为全球600多家客户提供了区块链技术服务,累计触达6000多万全球用户。在非小号排名前100的交易所中,链上ChainUP云平台的客户占比超过30%。[2021/2/26 17:56:34]
攻击者溯源
我们对其中一个攻击者进行了链上溯源追踪,与两个主流中心化交易所关联,其完整过程如下图所示:
其攻击资金的来源地址与OKX.com存在关联,攻击者通过使用Transit.Finance跨链桥将原始攻击资金从TRON链转移到BSC链上。
其盗取资金最终归集到Huobi.com,攻击者依然使用Transit.Finance跨链桥将盗取资金转移到TRON链上。
让我们进一步展开,针对盗取资金的流向进行溯源。
首先,受害者地址0xe17c2b2b40574d229a251fe3776e6da2cc46aa5e向攻击者地址0x720c1cfe1bfc38b3b21c20961262ad1e095a6867分两次,共转账1300U。
接着,攻击者地址将资金归集到地址0x89e692c1b31e7f03b7b9cbb1c7ab7872ddeadd49
PAX Treasury在以太坊链上增发约778.3万枚BUSD:Whale Alert数据显示,北京时间3月31日20:23,PAX Treasury在以太坊网络上增发7,783,274枚BUSD。[2020/3/31]
攻击者在0x89e692c1b31e7f03b7b9cbb1c7ab7872ddeadd49地址上进行了资金的跨链转移,在txhash为0x72905bd839f682f795946d285500143ee7606e9690df2ad32968e878ad290d9f的交易中,如下图所示,将10561USDT通过Transit.Finance的合约进行了Cross操作。在这笔交易的EventLogs中,可以看到资金去向了TRON链的USDT,对应地址是TLUKBw37BVWDZdhbGco2ZEfdMd5Cit8TMD,对应TRON链上的交易hash是:716507136ad28717ffd5f2f437af753ff96d344d2bcbe83f24d801db49f5a884
最终,攻击者将TLUKBw37BVWDZdhbGco2ZEfdMd5Cit8TMD地址上的充值进了Huobi交易所。充值的入金地址分别是:TPtzsrCAG61QMwig3jZV8Px7Rd1WZVnRXG,TDp7r3S1hJeiNfH1CvCVXeY8notY47nagJ
动态 | 由微软参与开发的区块链游戏The Way of The Tiger将在VeChain Thor区块链上推出:由微软参与开发的区块链纸牌游戏The Way of The Tiger将在VeChain Thor区块链上推出。之所以被选中,“是因为该区块链具备可扩展性,可以在不处理所有加密物品的情况下创建该游戏的卡片和物品。”此外,VeChain Thor还实现了“费用委托”机制,即不需要加密货币就可以转移卡片。根据当前版本的路线图,该游戏将于2020年面世。
此前消息,微软、游戏开发商Eidos和游戏书公司Fabled Lands正在联合开发一款基于上世纪80年代畅销游戏书的区块链纸牌游戏。这款新纸牌游戏名为“死亡竞技场”,基于上世纪80年代Jamie Thomson和Mark Smith合著的畅销书《虎之道》(the Way of the Tiger)创建,其玩家将使用原始游戏系列中的功能参加奇幻主题的纸牌大战。(U.Today)[2019/12/2]
攻击原理分析
攻击者案例1:
EOA:0xBAA1451bE8C33998CD43F375c2e67E79c1a104AD
CA:0x7ceBeb6035B231A73CB5Fb4119c2FbBC04Ec6fD1
攻击者案例2:
EOA:0x616384a80f32aDb65243522971aE2ba7664B62E3
CA:0x6f00Ed594A6AceEf0E1A6FE023Ecd5Eb96c8665a
针对bsc链上的token攻击主要包含BSC-USD、BUSD、USDC、ETH等,大部分是通过攻击合约批量调用transferFrom()函数,也有手动调用transfer()函数的情况和针对主币的情况,原理基本一致。以下用BSC-USD的一个攻击合约举例
transferFrom()
在攻击者调用攻击合约的一笔交易中,攻击合约只调用了BSC-USD的transferFrom()函数,通过对参数填充sender、recipient、amount可以实现操控任意地址间的0USD转帐,同时产生授权Approval()与转账Transfer()的事件
Blocksecphalcon交易信息
BSC-USD的合约源码显示transferFrom()函数顺序调用了转账_transfer()与授权_approve()函数
_transfer()函数的作用很简单,首先排除交易中的全零地址,然后给发送方减钱,接受者加钱,最后记录转账事件。这里用到的加减函数add()/sub()是OpenZeppelin的safemath库,溢出会报错回退
_approve()函数同样排除全零地址,修改授权值,这个函数的重点在transferFrom中调用approve的参数计算里,用到了_allowances.sub(amount,"BEP20:transferamountexceedsallowance"),将已有的授权token数量减去转账数量,剩余的授权数量放入approve重新授权。这里用到的减函数sub是OpenZeppelin的safemath库,溢出会报错回退;但是如果整个流程的amount参数为零,没有任何检测机制能拒绝这笔交易,也就导致了链上大量的0U转账能正常发送,而黑客只需要付出手续费即可收获不菲的回报。
transfer()
调用transfer()函数的攻击方式原理一致,整个流程只有加减的溢出检测,没有对零转账的过滤。
BNB
在token的攻击追溯过程中,我们还发现了通过0BNB转账的首尾相同钓鱼攻击,原理与token钓鱼类似,构造首尾相同的地址进行钓鱼
攻击交易:https://bscscan.com/tx/0x5ae6a7b8e3ee1f342153c1992ef9170788e024c4142941590857d773c63ceeb3
构造地址后迷惑性非常高,一不小心就转错到黑客地址上
正常用户地址:0x69cb60065ddd0197e0837fac61f8de8e186c2a73
黑客构造地址:0x69c22da7a26a322ace4098cba637b39fa0a42a73
6.X-explore攻击检测
目前X-explore可针对此类攻击行为进行实时的链上监测,为了避免危害进一步加剧,我们建议:
钱包App通过颜色或其他提示帮助用户区分地址,并做好用户提醒;
用户在转账前仔细区分历史交易地址,逐字确认,最好自己存一份地址簿。
与此同时,我们在Dune中开源了此次攻击事件的态势感知大图。
https://dune.com/opang/first-and-last-address-construction
敬请关注我们。
Mirror:https://mirror.xyz/x-explore.eth
Twitter:https://twitter.com/x_explore_eth
来源:bress
标签:USDTRAANSRANGUSDT币Australian Safe ShepherdBattle of Guardians ShareTranche Finance
金色周刊是金色财经推出的一档每周区块链行业总结栏目,内容涵盖一周重点新闻、矿业信息、项目动态、技术进展等行业动态。本文是其中的新闻周刊,带您一览本周区块链行业大事.
1900/1/1 0:00:00撰文:SectioDivina编译:aididiaojp.eth,ForesightNews「这个项目现在已经有1亿美元市值了,所以就不可能再涨100倍了?」为了预测加密市场的历史演变.
1900/1/1 0:00:00近期,BainCapitalCrypto在zk领域保持了活跃的投资笔数,此前也因投资了Celestia、Scroll、Fuel等项目而知名.
1900/1/1 0:00:00原文作者:TalentDAO/img/20230515165726564564/0.jpg "/>图1:具有丰富输入集的说明性模型组件 元函数 以太坊客户端Geth发布v1.12.0版本.
1900/1/1 0:00:00作者:Nancy 相比GBTC的赎回有来自SEC的监管不确定性,stETH的赎回只是时间的问题,但短期的流动性或面临压力。在加密市场充斥着FUD情绪的当下,巨鲸的接连出逃正让stETH/ETH流动性池比例倾斜加剧.
1900/1/1 0:00:00作者:Mingwang?Zheng2022年10月10日,欧洲议会委员会通过了《加密资产市场监管法案》,欧洲议会还对《资金转移条例》进行了投票。接下来MiCA法案一旦通过并实施,将对欧盟的加密监管具有里程碑式的意义.
1900/1/1 0:00:00