來自Etherscan 的數據顯示,一些加密貨幣詐騙者正在使用一種新技巧來瞄準用戶,這種技巧允許他們從受害者的錢包中確認交易,但沒有受害者的私鑰。只能對0 值的交易執行攻擊。但是,由於從被劫持的交易歷史中剪切和粘貼,可能會導致一些用戶意外地將代幣發送給攻擊者。
區塊鏈安全公司慢霧科技在去年12 月發現了這項新技術,並在一篇博文中進行了披露。從那時起,SafePal 和Etherscan 都採用了緩解技術來限制它對用戶的影響,但一些用戶可能仍然不知道它的存在。
最近,我們收到了社區報告的一種新型騙局:零轉賬騙局。如果你在錢包記錄中看到可疑的0 筆轉賬,請小心:
1/10
– 維羅妮卡(@V_SafePal) 2022 年12 月14 日
根據SlowMist 的帖子,該騙局通過將零代幣交易從受害者的錢包發送到一個看起來與受害者之前發送代幣的地址相似的地址。
例如,如果受害者將100 個硬幣發送到交易所存款地址,攻擊者可能會從受害者的錢包中將零個硬幣發送到一個看起來相似但實際上在攻擊者控制下的地址。受害者可能會在他們的交易歷史中看到這筆交易,並斷定顯示的地址是正確的存款地址。結果,他們可能會將他們的代幣直接發送給攻擊者。
未經所有者許可發送交易
在正常情況下,攻擊者需要受害者的私鑰才能從受害者的錢包發送交易。但Etherscan 的“合約標籤”功能表明,某些代幣合約中存在漏洞,攻擊者可以從任何錢包發送交易。
例如,Etherscan 上的美元硬幣(USDC) 代碼顯示“TransferFrom”功能允許任何人從另一個人的錢包中轉移硬幣,只要他們發送的硬幣數量小於或等於Etherscan 允許的數量即可。地址的所有者。
這通常意味著攻擊者無法從其他人的地址進行交易,除非所有者批准他們的津貼。
但是,此限制存在漏洞。允許的數量被定義為一個數字(稱為“uint256 類型”),這意味著它被解釋為零,除非它被專門設置為其他數字。這可以在“津貼”功能中看到。
因此,只要攻擊者交易的價值小於或等於零,他們就可以從他們想要的任何錢包發送交易,而無需私鑰或所有者的事先批准。
USDC 並不是唯一允許這樣做的代幣。在大多數代幣合約中都可以找到類似的代碼。它甚至可以在以太坊基金會官方網站鏈接的示例合約中找到。
零價值轉移騙局的例子
Etherscan 顯示,一些錢包地址每天在未經受害者同意的情況下從各個受害者的錢包發送數千筆零價值交易。
例如,一個標記為Fake_Phishing7974 的賬戶在1 月12 日使用未經驗證的智能合約執行了80 多筆交易,每筆交易包含50 筆零價值交易,一天內總共進行了4,000 筆未經授權的交易。
誤導性地址
更仔細地查看每筆交易可以揭示這種垃圾郵件的動機:攻擊者將零價值交易發送到看起來與受害者之前發送資金的地址非常相似的地址。
例如,Etherscan 顯示攻擊者針對的用戶地址之一如下:
0x20d7f90d9c40901488a935870e1e80127de11d74。
1 月29 日,該賬戶授權5,000 Tether (USDT) 發送至該收款地址:
0xa541efe60f274f813a834afd31e896348810bb09。
緊接著,Fake_Phishing7974 從受害者的錢包向這個地址發送了一筆零值交易:
0xA545c8659B0CD5B426A027509E55220FDa10bB09。
這兩個接收地址的前五個字符和後六個字符是完全一樣的,但是中間的字符都是完全不同的。攻擊者可能打算讓用戶將USDT 發送到第二個(假)地址而不是真實地址,從而將他們的代幣交給攻擊者。
在這種特殊情況下,該騙局似乎沒有奏效,因為Etherscan 沒有顯示從該地址到騙子創建的假地址之一的任何交易。但考慮到該賬戶完成的零價值交易量,該計劃在其他情況下可能奏效。
錢包和區塊瀏覽器在如何或是否顯示誤導性交易方面可能會有很大差異。
錢包
有些錢包可能根本不顯示垃圾郵件交易。例如,如果重新安裝MetaMask,即使賬戶本身在區塊鏈上有數百筆交易,也不會顯示任何交易歷史記錄。這意味著它存儲自己的交易歷史而不是從區塊鏈中提取數據。這應該可以防止垃圾郵件交易出現在錢包的交易歷史中。
另一方面,如果錢包直接從區塊鏈中提取數據,垃圾交易可能會出現在錢包的顯示屏上。在12 月13 日的Twitter 公告中,SafePal 首席執行官Veronica Wong 警告SafePal 用戶其錢包可能會顯示交易。為了減輕這種風險,她說SafePal 正在改變地址在其新版本錢包中的顯示方式,以便用戶更容易檢查地址。
(6/10) 對此,我們採取了以下行動:
1)在最新的V3.7.3更新中,我們調整了交易記錄中顯示的錢包地址長度。默認顯示錢包地址的前10位和後10位,方便查地址
– 維羅妮卡(@V_SafePal) 2022 年12 月14 日
12 月,一位用戶還報告說他們的Trezor 錢包顯示誤導性交易。
Cointelegraph 通過電子郵件聯繫Trezor 開發商SatoshiLabs 徵求意見。作為回應,一位代表表示,“每次用戶插入他們的Trezor 錢包時”,錢包確實會直接從區塊鏈中提取其交易歷史記錄。
但是,該團隊正在採取措施保護用戶免受詐騙。在即將推出的Trezor Suite 更新中,該軟件將“標記可疑的零價值交易,以便提醒用戶此類交易可能存在欺詐行為。” 該公司還表示,錢包始終顯示每筆交易的完整地址,他們“強烈建議用戶始終檢查完整地址,而不僅僅是第一個和最後一個字符。”
區塊瀏覽器
除了錢包之外,區塊瀏覽器是另一種可用於查看交易歷史的軟件。一些瀏覽器可能會以無意中誤導用戶的方式顯示這些交易,就像一些錢包一樣。
為了減輕這種威脅,Etherscan 已開始將非用戶發起的零價值代幣交易灰顯。它還用警告標記這些交易,“這是由另一個地址發起的零價值代幣轉移”,如下圖所示。
其他區塊瀏覽器可能已採取與Etherscan 相同的步驟來警告用戶這些交易,但有些可能尚未實施這些步驟。
避免“零值TransferFrom”技巧的技巧
Cointelegraph 就如何避免成為“零價值TransferFrom”把戲的犧牲品向SlowMist 尋求建議。
該公司的一位代表向Cointelegraph 提供了避免成為攻擊受害者的提示列表:
“在執行任何交易之前,請謹慎行事並驗證地址。” “利用錢包中的白名單功能來防止將資金發送到錯誤的地址。” “保持警惕和知情。如果你遇到任何可疑轉賬,請花時間冷靜地調查此事,以免成為騙子的受害者。” “保持健康的懷疑態度,始終保持謹慎和警惕。”
從這個建議來看,加密貨幣用戶要記住的最重要的事情是在向地址發送加密貨幣之前始終檢查地址。即使交易記錄似乎暗示你之前曾向該地址發送過加密貨幣,這種表像也可能具有欺騙性。
資訊來源:由0x資訊編譯自COINTELEGRAPH。版權歸作者Tom Blackstone所有,未經許可,不得轉載