黑客通過這些方法盜取數字資產:看看你是否中招


复盤錢包被盜案例,總結8條安全建議,助你在web3.0實現資產安全

黑客通過這些方法盜取數字資產看看你是否中招?

當前區塊鏈技術和應用尚處於快速發展的初級階段,面臨的安全風險種類繁多,從區塊鏈生態應用的安全,到智能合約安全,共識機制安全和底層基礎組件安全,安全問題分佈廣泛且危險性高,對生態體系,安全審計,技術架構,隱私數據保護和基礎設施的全局發展提出了全新的考驗.

黑客們是如何竊取錢包資金呢?

“偽裝客服騙取私鑰”

1. 攻擊者偽裝為客戶潛伏在社群中

2. 當有用戶出現轉賬或者提取收益求助時,攻擊者及時聯繫用戶協助其處理

3. 通過耐心的解答,發送偽裝的專業工單系統,讓用戶輸入助記詞解決其交易異常

4. 攻擊者拿到私鑰後盜取資產,拉黑用戶

“掃描惡意二維碼被盜”

1. 攻擊者將預先準備好的惡意二維碼發送給用戶;

3. 用戶輸入小額或者指定金額後,確認轉賬交易(實際運行的是用戶approve授權給攻擊者USDT的過程);

4. 隨後用戶錢包大量USDT丟失(攻擊者調用TransferFrom轉走用戶USDT)。

“貪小便宜,隨意領取空投被盜”

1. 攻擊者偽造成各種交易平台,DeFi,NFT等區塊鏈項目;

2. 攻擊者通過媒體社群發起可明顯薅羊毛的空投活動;

4. 用戶掃碼後點擊領取空投(其實也是用戶approve授權給攻擊者USDT的過程);

5. 隨後受害者賬戶大量USDT被轉走(攻擊者調用TransferFrom轉走用戶USDT)

“在線雲平台賬號被盜”

多數人將秘鑰/助記詞通過截屏、拍照或者拷貝粘貼,然後同步保存在雲端,例如通過郵件、QQ、微信、網盤、筆記等進行傳輸或存儲,攻擊者會通過攻擊這些雲端平台賬號,從而盜取私鑰/助記詞。

目前零時科技安全團隊已經收到大量用戶反饋稱將私鑰/助記詞保存在網盤或者筆記中,由於平台賬號被盜,導致錢包資產被盜。

“熱錢包服務器被攻擊”

很多區塊鏈應用都會使用到熱錢包,熱錢包中存有大量數字資產,由於熱錢包服務器為進行安全加固,或者運維不當,安全意識缺失,導致熱錢包服務器被黑客攻擊,導致熱錢包中數字資產被盜,甚至通過熱錢包服務器作為跳板,攻擊其他錢包。

“被身邊人竊取私鑰”

日防夜防,家賊難防。被身邊熟人無意間竊取錢包私鑰/助記詞,最終導致資產丟失。

“網絡釣魚竊取私鑰”

攻擊者通過克隆一個知名區塊鏈項目,通過精心設計成同原始真實項目一模一樣的假項目釣魚網站,對於精心設計的這個釣魚網站,普通用戶無法辨別真假,通過各種渠道發布這些信息,以假亂真,這樣即可輕易引誘用戶訪問釣魚網站並引導他們輸入帳戶加密貨幣或密鑰,盜取用戶錢包中數字資產。

“電信詐騙”

近年來,電信詐騙事件突發,詐騙手段越發高明,由於互聯網的大量信息洩露,攻擊者通過郵件,短信,電話對受害者進行詐騙,例如打著區塊鏈幌子的中心化詐騙項目,殺豬盤項目,高額收益的投資項目等,誘騙受害者投資,導致最終血本無歸。

“惡意軟件”

黑客以某些加密貨幣資源的名義,將應用程序添加到Google Play商店,或者通過網絡釣魚的方式,欺騙用戶下載改應用程序,該應用程序實則為一個惡意軟件,當下載、啟動該應用程序後,攻擊者即可控制受害者電話或者手機,然後允許攻擊者竊取帳戶憑據,私鑰等更多信息,導致錢包被盜。

“通過公共Wi-Fi進行攻擊”

在火車站、機場、酒店等人流量較大的公共區域,Wi-Fi 網絡尤其不安全,受害者用戶的設備能夠連接到與黑客相同的的Wi-Fi 網絡中,甚至黑客會專門搭建一些惡意Wi-Fi熱點供大家使用,此時,受害者用戶通過網絡下載或發送的所有信息,在一定情況下,都可被攻擊者攔截查看,包括數字貨幣包私鑰/助記詞等。

PART02

如果密鑰丟了怎麼辦?

1、 是否還留有備份助記詞私鑰,盡快重新導入助記詞,將資產轉移到其他錢包;

2、 確認被丟失的錢包中是否有在質押或者鎖倉的資產,計算好時間,等這部分資產解鎖後第一時間轉移;

3、 如果被丟失錢包資產已經被轉移,使用專業資金監控小程序,進行資金實時監控,第一時間了解資金狀況,同時尋求幫助。

4、 可以聯繫專業的安全團隊進行協助,找回秘鑰及丟失的資產。

從錢包被盜總結Web3的安全指南

事件

2022 年元旦假期的某個早上,小C 準備寫代碼,繼續測試Web3js 的鏈上合約交易。突然發現自己的測試賬號(Bsc 鏈)在 MetaMask 歸零了,明明前一晚賬戶內還有100usd,然後查完轉賬就發現:

錢都沒了,錢哪去了?

背景

技術出身的小C,最近在學習區塊鏈開發。本身是專業開發者,已經很謹慎小心了,通常都是在測試網絡上跑,跑完之後,再會去正式網絡上部署,但是沒有意識到整個產業目前還處在相對混亂的階段,麻痺大意,順手習慣導致造成了損失。

損失是如何造成的?

2021 年的最後一天,小C 偶然看到一個賬號很有趣(這個賬號有很多活躍的交易),就追踪了他的一些鏈上交易,然後看到了一個非常有意思的項目(有很高的年化收益率),然後就鬼使神差地連上了自己的MetaMask,然後鬼使神差的進行了approve,因為一般Web3 的項目就是這個流程,approve 然後轉賬就結束了。

但是令人驚呆的一幕出現了:點完之後,整個網站突然卡死了(其實在卡死這段時間,盜取者就把錢轉走了),沒有任何反應,小C 當時沒當回事,把站點給關了,去做其他事情了。

過了大概一天,小C 重新回來開發的時候,發現賬上的錢全部沒有了,去查了歷史記錄,發現賬上的餘額已經被全部轉走。

回顧過程

盜取者是怎麼把小C 賬戶上的錢都轉走的?

現象:只要你approve 了,不需要私鑰理論上也可以把對應的錢全部轉走。

小C 進行了下溯源,大概是在一個釣魚網站的approve 出了問題,於是追溯該轉賬記錄。

如圖,可以看到,先是approve(授權)了一個合約,授權了釣魚合約能夠對賬號裡面BUSD 進行操作,而且是沒有數量限制的。

為什麼會是BUSD 呢?小C 回憶了一下,一進入這個釣魚站點是默認選了BUSD ,估計在瀏覽站點鏈接錢包之後,盜取者就已經篩選了出了賬號裡面錢最多的token 了。

然後當小C 以為這是一個新的swap 合約,並且有很高的年化收益,準備先試試的時候,按照常規流程就進行approve。 approve 結束後,網站直接卡了。

後來經過追溯,大概在授權之後幾十秒,合約就直接觸發了一個轉賬操作,直接把BUSD token 給轉走了。

後來去查了一下授權的信息

黑客通過這些方法盜取數字資產:看看你是否中招

基本上MetaMask 默認授權的時候是:

轉換成數字,我們認識的就是1.157920892373162 乘以10 的59 次方。基本上就可以理解為無限量轉賬了,也就是這個授權的操作,可以讓這個合約無限量的操縱我賬號的token。看到這裡感覺背後一涼,因為以前點過很多次approve 都是不會去看的。

然後黑客操縱一個可以控制這個合約方法的錢包地址,就發起合約轉賬方法,把錢轉走了。所以小伙伴之後點metamask 授權的時候一定要小心。

小C 查了下,盜取者現在這個賬號里大概已經有了3w 美金的token 了,現在還有源源不斷的受害者在轉錢。但是面對區塊鏈沒有辦法,根本無法找不到這個黑客是誰。

出現問題的環節

問題到底出在哪裡?

因為最近在學習區塊鏈。小C 大概理了一下這個釣魚的邏輯方式,害人之心不可有,防人之心不可無。大家有興趣可以了解一下:

正常轉賬

案例一:直接用戶間轉賬A 用戶向B 用戶轉賬BUSD

合約正常會檢查以下邏輯

1)判斷A 用戶賬戶餘額是否有足夠的錢;2)是否是A 用戶發起的轉賬

流程如下圖

黑客通過這些方法盜取數字資產:看看你是否中招

正常合約兌換

就是我們平時使用pancakeswap、uniswap 等兌換時候的流程

案例二:通過swap 進行token 兌換A 用戶進行token 兌換(BUSD 兌換WBNB)流程合約進行判斷:

1)A 用戶賬戶餘額是否有足夠的BUSD,(假設已經授權swap 合約可以操作A 賬戶的BUSDtoken)

2)swap 合約取A 賬戶下的500BUSD 放入swap 的合約礦池中(假設匯率是1:500)

3)成功後合約再向A 賬戶轉入1BNB

注意第2、3點,是由合約控制token 進行操作。那麼也就是說合約可以繞過我們直接發起對我們賬號下的token 的操作。

黑客通過這些方法盜取數字資產:看看你是否中招

釣魚合約

先看這張溯源圖

黑客通過這些方法盜取數字資產:看看你是否中招

正常的轉賬,轉賬方和合約執行的轉賬方應該是同一個人,即上圖(1)與(2)應該是由同一個人發起的。而我被轉賬的這筆交易,這兩個不是同一個地址。推測應該是由一個可以執行釣魚合約的錢包地址控制執行了合約,然後將我授權給釣魚合約裡的BUSD 轉走了。

去查看釣魚合約,不出意料釣魚合約是一個加密貨幣的合約。不過想一下也不難,稍微學過Solidity 的人都知道,在合約定義的時候,多設置幾個Admin 或者Owner 就可以了。

所以以後一定要注意項目方的背書,不要隨便給不知道的項目授權

安全建議

因為這件事,小C 搜了一些有用的建議和方法,也看到了很多血淋淋的教訓。

這裡上架來一些方法大家可以根據自己的需要選擇。

1)不要共用密鑰

之前看有帖子說一個助記詞生成多個賬號的,這種我不建議哈,因為很可能被一鍋端。

2)密鑰離線保存

因為現在有很多剪貼板工具輸入法會將你的剪貼板記錄上傳到雲端,如果你直接複製了,如果雲端洩漏,你的密鑰就直接無了。

我的建議就是生成之後,第一時間抄到本子上。當然抄到本子上,你也可以參考我對密鑰自己的字典加密貨幣,比如a 用1 代替,b 用2 代替,1 用a 代替,這樣就可以保證即使有人看到了你的紙質密鑰,也不能動你的數字資產。

3)開發和測試分開(空投和主賬號隔離)

安裝2 個瀏覽器,一個可以是chrome,一個是brave。一個管理你的主錢包。另外一個可以參與領取空投,各種鏈上操作等

4)不要下載來歷不明的軟件

不要去用baidu 這些下載來歷不明的軟件,我看到有案例是下載盜版metamask,直接破產的。一定要去正規的地址下載,有條件的可以參考google play。 chrome web store 等

5)立即檢查你的授權

黑客通過這些方法盜取數字資產:看看你是否中招

看到圖上所示,基本上就是無限的。

每次喚起MetaMask 的時候一定要多看看授權,不要像我現在這樣無腦點授權下一步。

6)進行授權前,對合約安全進行確認

可以使用慢霧的合約審計功能。

也可以看看該合約是否開源,如果開源的話需要確認該合約是否是可升級合約等等。

7)擼空投和福利的時候注意安全

用小號去領取,別用大號,授權的時候可以設置額度

8)警惕社工的入侵,小心 Discord 私聊你的陌生人

比如Discord 或者Telegram,有人跟你認識幾天,說要帶你賺錢拿空投,讓你安裝他發給你的軟件並登錄,這種99.99% 你會血本無歸。賬號被盜。

特別地,Discord 裡面,進NFT 的官方Discord,會有人私聊你,告訴你獲得了白名單,附帶一個mint 鏈接。騙子會把頭像和名稱改成官方的樣子,其實是把他和你拉了一個組來實現的。

其實只要不貪,這種騙局還蠻好識破的,一般會告訴你在幾個小時內mint,數量1-10。很多大熱項目一個白名單mint 一兩個不錯了,這一上來頂格10 個還帶時間限制。

還有,會有騙子模仿項目官網做個假網站,私信給項目Server 裡的人,讓他們來mint.

還有小伙伴在opensea 買了假NFT 後來發現不是官方的然後過了幾天那個NFT 就從賬戶消失了然而已經扣了…(怎麼發現的?看鏈條還有官方discord 發了官方Opensea 網址 )

還有假的collab.land 騙錢包加密貨幣,給大v 空投然後號稱大v 買了那個NFT/token.

新的一年到來,大家一定要注意安全呀,希望看到本文的朋友都能平平安安順順利利

防止盜幣,數字貨幣錢包,你需要知道的都在這裡

首先大家都知道比特幣最早的市場定位是支付,存放比特幣的就是錢包,類似於支付寶,但又有不同,我們是把財產的安全性交給了支付寶,但比特幣的安全性完全由我們自己負責。

比特幣錢包對於大多數人來說熟悉又陌生,熟悉是因為聽到很多,但是了解的並不多,因為錢包中的公鑰、私鑰、地址等諸多概念是難以理解的。我們看一下數字貨幣錢包類型:

全節點客戶端

全節點客戶端也被稱之為(重錢包),是由比特幣核心開發組(Bitcoin Core)設計開發比特幣全節點客戶端,是擁有完整區塊鏈賬本的節點,全節點需要佔用內存同步所有的區塊鏈數據,能夠獨立校驗區塊鏈上的所有交易並實時更新數據,全節點在區塊鏈分佈式賬本中主要的作用是負責區塊鏈的交易的廣播和驗證。

但由於比特幣網絡數據較大,首次使用下載同步需要的時間較長,對網絡寬帶以及硬分叉也有一定的要求,據比特幣官方數據,需要佔用超過20G的硬分叉空間。

因此,比特幣全節點客戶端並不適用於普通用戶,一般都是一些專業的礦工,組織或者機構在使用。

根據bitnodes數據顯示,全球比特幣全節點客戶端有10556個,主要分佈在北美洲和歐洲。

輕錢包

輕錢包不存儲比特幣全部的交易數據,主要是用於支付和收款,交易信息只需要通過連接全節點調取即可。因此,輕錢包也稱之為(SPV)Simple-payment-verification,這是早期比特幣用於快捷支付的方式之一。

在線錢包

一般都是我們把錢包和私鑰交給第三方進行管理,我們常用的交易所,各種錢包APP都是在線錢包的一種,例如比特幣錢包比太錢包,多鏈錢包imtoken等等,他們也都是輕錢包的一種。但是,imtoken同時還是一個多重簽名錢包,私鑰掌握在用戶手中。

硬件錢包(冷錢包)

硬件錢包一般是存儲加密貨幣數字貨幣的硬件設備,可以是電腦,硬分叉,手機,U盤等等。

但是他們也存在一定的風險,目前,安全係數最高的還是專業的硬件錢包設備,也是目前幣圈公認的最安全的存放加密貨幣的方式。

專業的硬件錢包設備之所以安全可靠,主要是因為這些設備都會安裝專業的芯片,例如有些硬件錢包使用的是軍工級芯片CC EAL6 +。

區塊鏈錢包的核心就是私鑰,而私鑰其實質就是一串隨機數,隨機數的安全性直接影響著私鑰的安全性。

安全性較好的芯片就是採用真隨機數發生器生成的隨機數,真隨機數發生器通常採用來自熱噪聲方式生成隨機數,隨機性強,安全性高,很難被預測,這從源頭上保證了私鑰的機密性,也即確保了錢包的安全性。

專業的硬件錢包適用戶大多數普通用戶,非專業的硬件錢包設備需要掌握一定的技術才能更安全的存儲用戶的加密貨幣。

紙質錢包

紙質錢包就是把私鑰抄寫或者打印出來存放起來,也可以是生成的二維碼。

這種方式也被稱之為“冷存儲”,技術含量低,安全係數也是比較高的。這也是早期離線存儲加密貨幣的方式之一。

錢包只是一個軟件,錢包的選擇不重要,重要的是錢包裡的加密貨幣需要安全。

網絡是不安全的,只有離線保存私鑰才是最安全的存儲方式。

但幣種硬件錢包設備不適合大多數用戶,因為,普通用戶不只是有比特幣資產,還會有以太坊網絡的各種資產等。

他們需要的是一個可以安全的存儲多種加密貨幣的錢包,這時就需要一個多鏈性能的錢包來支持用戶對不同加密貨幣資產存儲的需求與日常使用。

資訊來源:由0x資訊採集自互聯網。版權歸作者“Enjoy元宇宙”所有,未經許可,不得轉載

Total
0
Shares
Related Posts