简介
近期丢币盗币事件频发,各种盗币手法层出不穷,无所不用其极,不得不说这些攻击者手段高明,零时科技安全团队收到大量客户的求助,称其钱包资产被盗,这无疑给币圈的朋友敲响了警钟。
为了大家能清晰了解最近盗币事件,并且加强防范,本篇总结了近期零时科技安全团队收到协助的盗币事件类型,大致可分为如下四类:
”伪装客服取私钥“
”扫描二维码盗币事件“
”获取空投盗币事件“
”交易所客服盗币事件“
这里简单介绍一下以上四类盗币流程:
伪装客服取私钥
1.攻击者伪装为客户潜伏在社群中
2.当有用户出现转账或者提取收益求助时,攻击者及时联系用户协助其处理
3.通过耐心的解答,发送伪装成去中心化网桥的工单系统,让用户输入助记词解决其交易异常
4.攻击者拿到私钥后盗取资产,拉黑用户
二维码盗币事件
1.攻击者将预先准备好的恶意二维码发送给用户;
2.攻击者诱导用户使用钱包扫描二维码进行转账;
3.用户输入指定金额后确认转账交易;
4.随后用户钱包大量USDT丢失。
获取空投盗币事件
1.攻击者伪造成交易平台或者DeFi项目;
2.攻击者通过媒体社群发起可明显薅羊毛的空投活动;
3.攻击者诱导用户使用钱包扫描二维码领取空投;
派盾:0xC994开头Nomad黑客地址已将约3785枚ETH转至中间地址并开始使用TornadoCash进行混币:8月2日消息,派盾监测显示,Nomad黑客地址之一0xC994...0cf599已将约1205枚ETH转移至中间地址0x7a98...dFa308,约2580枚ETH转移至中间地址0x8d5D...121124,并开始使用TornadoCash进行混币。[2022/8/2 2:52:57]
4.用户扫码后点击领取空投;
5.随后受害者账户大量USDT被转走
交易所客服盗币事件
1.攻击者伪造成币安,火币等交易所客服;
2.攻击者告知用户账户异常并触发了风控,使用资金需要解除异常状态;
3.攻击者客服诱导用户将资金转至安全账户,并对受害者账户进行升级;
4.用户将资金转移至安全账户后,攻击者随即将用户拉黑。
以上盗币事件中,二维码盗币是目前发生频率较高,客户反馈最多的盗币事件类型,所以本篇将对扫码盗币事件进行详细分析及复现,让读者更清晰了解攻击者盗币过程,防止资金被盗。
扫描盗币过程分析
二维码盗币事件复盘我们从攻击者角度出发,完整复盘二维码盗币过程。
测试使用的攻击地址为:
?TMmunHQsjSdUKZT1suksWBM7n6jVWkUGwL
测试使用的攻击者归集资产地址为:
TKjxdVUpyqwmqMGUh9kyRg196f1zesb3m9
安全团队:新统计Crema Finance被黑客攻击损失约880万美元:7月4日消息,据CertiK安全团队监测,北京时间2022年7月3日,Solana上的Crema Finance项目被黑客攻击,目前最新统计数据发现损失约880万美元。
Crema Finance是一个建立在Solana上强大的流动性协议,为交易者和流动性提供者提供各项功能。在发现黑客攻击后,该项目方暂时终止了项目运行,以防止攻击者从平台上抽取更多资金。
CertiK的分析表明,在这次黑客攻击中,攻击者通过使用Solend协议中的6个不同闪电贷来利用合约。初步调查表明,攻击者能够存入和提取借来的代币,并调用了如下三个函数来实现,“DepositFixedTokenType”,“Claim”以及“WithdrawAllTokenTypes”。通过调用”Claim \"函数,黑客能够获得额外的代币。[2022/7/4 1:48:33]
测试使用的合约为TRON链上USDT合约:
TR7NHqjeKQxGTCi8q8ZY4pL8otSzgjLj6t
测试使用的受害者地址为:
THcDZSMmGdecaB2uAygPvHM7uzdE2Z4U9p
第一步:攻击者制作扫码盗币二维码
该步主要为攻击者将代币授权写入二维码,也是攻击成功最重要的基础功能,此步骤中,攻击者需要创建自己的钱包地址,调用USDT合约API及approve()接口。
二维码需要实现的功能:
//调用TRON链上USDT合约,并调用合约的approve方法,给攻击者地址授权9000000000枚USDT.
Nickydooodles.eth遭黑客攻击,17枚ETH和Doodles等NFT藏品被窃:6月28日消息,据知名NFT创建人和沉浸式Web3项目Meta bergs创作者Nickydooodles.eth在社交媒体披露,其钱包遭到黑客攻击,损失了17枚ETH(约合21,077美元)和全部NFT藏品,包括Goblintown NFT、Doodles NFT、Sandbox Land等。据Nickydooodles.eth称,黑客使用了钓鱼攻击手段,之后还设法控制了他的个人Twitter帐户。[2022/6/28 1:35:30]
USDTToken.approve(TMmunHQsjSdUKZT1suksWBM7n6jVWkUGwL,9000000000)
之后将该功能在Web端进行实现,最终得到的盗币二维码如下:
第二步:攻击者制作后台提款功能
该步为攻击者诱导用户授权资金后的转账操作,此步骤中,攻击者需要调用USDT合约API及transferfrom()接口。
后端提币需要实现的功能如下:
//调用TRON链上USDT合约,并调用合约的transferFrom方法,给攻击者地址转账大于0,并且小于9000000000枚USDT.
Fswap遭受黑客攻击,目前正配合Certik处理黑客问题:据官方消息,Fswap于6月13日22:08分遭受黑客攻击,目前Fswap正在和Certik积极配合处理黑客问题,目前与黑客方尝试通过区块链进行加密沟通,但黑客方加密信息出现错误,正在尝试继续沟通。这次为非被攻击项目漏洞事件,是恶意借贷攻击事件,黑客从BISWAP借贷至FSWAP进行交易攻击,FSWAP通过certik全合约审计,我们正在与certik沟通配合进行处理,更多消息请持续关注Fswap官方推特。[2022/6/14 4:23:58]
USDTToken.transferFrom(TMmunHQsjSdUKZT1suksWBM7n6jVWkUGwL,TKjxdVUpyqwmqMGUh9kyRg196f1zesb3m9,0<value<9000000000)
第三步:攻击者给受害者用户发送盗币二维码,并诱导用户给该二维码转账
该步为攻击者成功最重要的一步,如果受害者扫描了盗币二维码并将进行了转账,则表示转账成功;反之受害者未扫描二维码或者转账,则攻击失败。
所以这里攻击者可能会采用多种方式诱导受害者进行扫码转账,常见的诱导方式如下:
攻击者在交易所进行交易时,将盗币二维码发送给用户,防范不高的用户就会进行转账;
恶意空投,伪造成可以获取空投的二维码,诱导用户进行转账;
熟人作案,直接将二维码发送给好友,在毫无防备的情况基本都会转账;
第四步:受害者用户扫描二维码进行转账
该步为受害者用户进行的操作,在攻击者诱导用户同意扫码二维码转账后,会收到如下二维码:
韩国交易所Coinrail遭黑客攻击后,数字货币市场总市值损失约460亿美元:来自韩国交易所Coinrail黑客攻击事件再次引发了人们对虚拟货币安全的担忧,比特币价格三个交易日下跌了近12%,引发了460亿美元的抛售,并将今年以来比特币的跌幅扩大至50%以上。根据Coinmarketcap的数字货币的市场价值数据显示,目前数字货币市值已降至近两个月低点2940亿美元,而在1月初的全球加密货币狂潮的高峰期时,市值约为8300亿美元。[2018/6/11]
用户使用TokenPocket钱包进行扫码,会得到如下页面:
这里用户的初衷是给二维码进行转账,但这里的需要注意的细节是,当用户输入转账数目进行发送时,这里执行的操作其实并不是转账transfer,而是授权approve,如下页面:
我们可以在页面端更清楚看到此步执行的交易详情,如下图:
这里可清楚看到,扫码点击发送交易后,这里请求方法为approve,授权的地址为TMmunHQsjSdUKZT1suksWBM7n6jVWkUGwL,授权的金额为9000000000,确定该笔交易后,攻击者地址就可转走用户钱包中9000000000额度的USDT,当然前提是用户钱包有这么多资金,只有用户钱包有不超过9000000000枚USDT,均可以转出。链上的这笔授权交易可查询到:
第五步:攻击者通过后台提取受害者用户资金
该步为攻击者的最后一步,也就是将用户授予的USDT取出,如下图:
用户扫码进行转账后,攻击者后台会显示用户目前钱包授权的USDT数目,这里可以看到用户钱包USDT余额为1枚,此时攻击者进行归集,也就是调用transferFrom将资金转入自己的钱包,如下图,进行3U和1U的两笔测试,最终归集回来会被平台扣掉10%手续费:
至此,攻击完成,攻击者盗走受害者钱包中的其余USDT。这里只是对一个用户进行测试,攻击者实际金额远远比这个多。整个盗币事件能成功的原因只是因为二维码中的approve授权,而用户如果转账时细心查看交易详情,可能会及时发现此笔交易的猫腻,从而保护自己的资金安全。
通过调查,我们了解到,目前这种扫描二维码进行盗币的方法已经被规模化,不仅支持TRON链还支持ETH链,形成一个小型产业链:
技术专门负责开发程序并搭建自动化平台,此平台可自动生成钓鱼二维码,生成代理账户,管理员自动归集受害者钱包资产;
代理专门负责推广平台生成的钓鱼二维码,然后让更多人来扫描授权,成功后可获得分红;
管理员坐收渔利,将成功授权的钱包资产转走,并分红给代理;
管理员将盗走的资产转移到其他交易平台进行资产兑换洗白。
代码分析
这里我们从代码层面分析一下原理,其实很简单:
首先用户收到一个转账二维码,扫描之后会到这个页面:
在这个页面中,输入转账金额,当点击这个发生按钮时,会触发一个js操作,如下:
这个js中就明显发现,这里不是transfer而是一个approve操作。
当授权成功后,这个平台后台可自动进行归集,也就是转账受害者钱包中的钱,通过transferfrom方法。
所以,整个过程,全自动化完成。
上面所有的过程都是针对USDT的盗币过程分析,其实攻击者可以针对任何合约Token进行攻击,只需要修改合约Token的地址以及abi即可。
为了广大币圈用户能切实保护好资金的资产,对于以上盗币事件,零时科技安全团队给出以下建议:
安全建议
不给不信任的二维码扫描转账;
给他人转账时需注意转账操作是否为预期操作;
不要给未经审计的项目轻易授权钱包;
陌生电话要警惕,在不确定身份的前提下及时挂断;
不要将私钥导入未知的第三方网站;
领取空投需确认项目真实性。
前言 元宇宙,一个被越来越多人讨论的词汇,到底是什么?它与我们普通人的关系是什么?会给我们带来什么价值?在7月29日举办的中国国际数字娱乐产业大会首届“中国元宇宙产业发展论坛”上,万向区块链董事长兼总经理肖风博士受邀发表主题演讲.
1900/1/1 0:00:00DeFi数据 1.DeFi总市值:722.63亿美元 市值前十币种排名数据来源DeFiboxDeFi总市值数据来源:Coingecko2.过去24小时去中心化交易所的交易量:36.
1900/1/1 0:00:00原标题:美国新法案让所有加密用户KYC7月31日Compound总法律顾问,发推文表示:美国新基础设施法案或将让所有行业参与者变为KYC用户并提交IRS报告,政府部门计划通过该法案对加密货币征税筹集约280亿美元.
1900/1/1 0:00:002020年12月1日,以太坊通过启动信标链开启了向权益证明共识机制的过渡之路。虽然这个阶段允许用户质押他们的ETH,但仍然存在着几个摩擦点:无法解除质押:一单存款后,在启用信标链的转账功能之前,质押者无法取消质押并提取资金.
1900/1/1 0:00:00美国的两党政策制定者和州执法部门都在对加密货币市场施加压力。参议员波特曼和白宫在基础设施法案草案中要求了加密市场参与者应进行税务报告的责任。与此同时,针对加密货币借贷平台BlockFi的两党监管机构继续扩大,现已达到五个州.
1900/1/1 0:00:00DeFi数据 1.DeFi总市值:838.4亿美元 市值前十币种排名数据来源DeFiboxDeFi总市值数据来源:Coingecko2.过去24小时去中心化交易所的交易量:33.
1900/1/1 0:00:00