騙局常新,請保持警惕!
By: Lisa
距上次披露“相同尾號空投騙局”沒多久,近日,我們又在用戶的反饋下捕捉到一種很相似的手法。
根據多名用戶的反饋,用戶在TRON 上的地址轉賬記錄中不斷出現陌生地址轉賬0 USDT,而這筆交易均是通過調用TransferFrom 函數完成的。
慢霧:警惕TransferFrom 零轉賬騙局
(圖1)
隨意點進一筆交易查看詳情,如圖1 紅框第一筆tx 為701e7 的交易:
慢霧:警惕TransferFrom 零轉賬騙局
(圖2)
這筆交易是TCwd 開頭的地址調用TransferFrom,將0 USDT 從以TAk5 開頭的地址轉到以TMfh 開頭的地址。
也就是說,罪魁禍首是以TCwd 開頭的地址,我們去看下這個地址的情況:
慢霧:警惕TransferFrom 零轉賬騙局
(圖3)
可以看到,這個地址在瘋狂地批量調用TransferFrom。
接著,我們看看此地址在USDT 的轉賬情況。
慢霧:警惕TransferFrom 零轉賬騙局
(圖4)
幾乎全是轉出0.001 數額的記錄。這讓我想起了尾數相同空投騙局也曾出現過類似的情況。也就是說,這個以TCwd 開頭的地址可能是作為主地址之一,將0.001 分發到不同的地址,而這些不同的地址都有可能是攻擊者用來空投的地址。我們選擇地址TMQy…6ZRMK 進行驗證:
慢霧:警惕TransferFrom 零轉賬騙局
(圖5)
USDT 接收地址都是TADXT…Lhbuo,再往下追溯:
慢霧:警惕TransferFrom 零轉賬騙局
(圖6)
從圖6 其實可以發現,地址TADXT…Lhbuo 曾經與TMQ…QZRMK 地址有過2 筆正常轉賬,而攻擊者利用尾號ZRMK 相同不斷空投小額USDT。也就是說,這個用戶不僅遭受尾號相同的空投騷擾,也遭受著本文提到的0 轉賬騷擾。那也可以認為,這兩種相似手法的背後是同一個團伙。
經過對該手法的分析,究其原因主要是代幣合約的TransferFrom 函數未強制要求授權轉賬數額必須大於0,因此可以從任意用戶賬戶向未授權的賬戶發起轉賬0 的交易而不會失敗。惡意攻擊者利用此條件不斷地對鏈上活躍用戶發起TransferFrom 操作,以觸發轉賬事件。
我們不禁猜想,除了TRON 上,在以太坊上會出現同樣的情況嗎?
於是我們在以太坊上進行了一個小小的測試。
慢霧:警惕TransferFrom 零轉賬騙局
(圖7)
測試調用成功,在以太坊上這個規則同樣適用。
不免想像到,如果用戶發現了非自己轉賬的記錄,可能會因此產生自己錢包是不是被盜的恐慌情緒,當用戶去嘗試更換錢包或者重新下載錢包,會有被騙被盜的風險;另一方面,用戶的轉賬記錄被攻擊者“霸屏”,可能會因為複制錯誤轉賬地址而導致資產丟失。
慢霧在此提醒,由於區塊鏈技術是不可篡改的,鏈上操作是不可逆的,所以在進行任何操作前,請務必仔細核對地址,同時,如果發現地址出現異常轉賬情況,請務必警惕並冷靜檢查,如有需要可以聯繫我們。
Ps. 感謝imToken 安全團隊的協助。
相關代碼鏈接:
https://etherscan.io/token/0xdac17f958d2ee523a2206206994597c13d831ec7#code
https://tronscan.org/#/token20/TR7NHqjeKQxGTCi8q8ZY4pL8otSzgjLj6t/code
展開全文打開碳鏈價值APP 查看更多精彩資訊
