原文作者:Lisa&Kong
近期,我們發現多起關于eth_sign簽名的釣魚事件。
釣魚網站1:https://moonbirds-exclusive.com/
當我們連接錢包后并點擊Claim后,彈出一個簽名申請框,同時MetaMask顯示了一個紅色提醒警告,而光從這個彈窗上無法辨別要求簽名的到底是什么內容。
其實這是一種非常危險的簽名類型,基本上就是以太坊的「空白支票」。通過這個釣魚,騙子可以使用您的私鑰簽署任何交易。
除此之外,還有一種釣魚:在你拒絕上述的sign后,它會在你的MetaMask自動顯示另一個簽名框,趁你沒注意就騙到你的簽名。而看看簽名內容,使用了SetApprovalForAll方法,同時Approvedasset?的目標顯示為AllofyourNFT,也就是說,一旦你簽名,騙子就可以毫無節制地盜走你的所有NFT。如下:
慢霧:過去一周Web3生態系統因安全事件損失近160萬美元:6月26日消息,慢霧發推稱,過去一周Web3生態系統因安全事件損失近160萬美元,包括MidasCapital、Ara、VPANDADAO、Shido、Slingshot、IPO、Astaria。[2023/6/26 22:00:21]
釣魚網站2:https://dooooodles.org/
我們使用MistTrack來分析下騙子地址:
0xa594f48e80ffc8240f2f28d375fe4ca5379babc7
通過分析,騙子多次調用SetApprovalForAll盜取用戶資產,騙子地址目前已收到33個NFT,售出部分后獲得超4ETH。
回到正題,我們來研究下這種釣魚方法。首先,我們看看MetaMask官方是如何說明的:
慢霧:Ribbon Finance遭遇DNS攻擊,某用戶損失16.5 WBTC:6月24日消息,Ribbon Finance 發推表示遭遇 DNS 攻擊,慢霧MistTrack通過鏈上分析發現攻擊者與今天早前的Convex Finance 攻擊者是同一個,地址 0xb73261481064f717a63e6f295d917c28385af9aa 是攻擊者共用的用來調用惡意合約的錢包地址。同時分析發現,Ribbon Finance某用戶在攻擊中損失了 16.5 WBTC,具體交易為:https://etherscan.io/tx/0xd09057f1fdb3fa97d0ed7e8ebd8fd31dd9a0b5b61a29a22b46985d6217510850。[2022/6/24 1:29:35]
也就是說,MetaMask目前有六種簽名方法,只有一種方式會出現MetaMask警告,發生在?eth_sign?的簽名情況下,原因是eth_sign方法是一種開放式簽名方法,它允許對任意Hash進行簽名,這意味著它可用于對交易或任何其他數據進行簽名,從而構成危險的網絡釣魚風險。
動態 | 慢霧:2020年加密貨幣勒索蠕蟲已勒索到 8 筆比特幣:慢霧科技反洗錢(AML)系統監測:世界最早的知名加密貨幣勒索蠕蟲 WannaCry 還在網絡空間中茍延殘喘,通過對其三個傳播版本的行為分析,其中兩個最后一次勒索收到的比特幣分別是 2019-04-22 0.0584 枚,2019-09-01 0.03011781 枚,且 2019 年僅發生一次,另外一個 2020 還在活躍,2020 開始已經勒索收到 8 筆比特幣支付,但額度都很低 0.0001-0.0002 枚之間。這三個傳播版本第一次發生的比特幣收益都是在 2017-05-12,總收益比特幣 54.43334953 枚。雖然收益很少,但 WannaCry 可以被認為是加密貨幣歷史上勒索作惡的鼻主蠕蟲,其傳播核心是 2017-04-13 NSA 方程式組織被 ShdowBrokers(影子經紀人) 泄露第三批網絡軍火里的“永恒之藍”(EternalBlue)漏洞,其成功的全球影響力且匿名性為之后的一系列勒索蠕蟲(如 GandCrab)帶來了巨大促進。[2020/2/23]
根據MetaMask官方文檔說明,eth_sign方法是可以對任意哈希進行簽名的,而我們在簽署一筆交易時本質上也是對一串哈希進行簽名,只不過這中間的編碼過程都由MetaMask替我們處理了。我們可以再簡單回顧下從編碼到交易廣播的過程:
聲音 | 慢霧:警惕“假充值”攻擊:慢霧分析預警,如果數字貨幣交易所、錢包等平臺在進行“EOS 充值交易確認是否成功”的判斷存在缺陷,可能導致嚴重的“假充值”。攻擊者可以在未損失任何 EOS 的前提下成功向這些平臺充值 EOS,而且這些 EOS 可以進行正常交易。
慢霧安全團隊已經確認真實攻擊發生,但需要注意的是:EOS 這次假充值攻擊和之前慢霧安全團隊披露過的 USDT 假充值、以太坊代幣假充值類似,更多責任應該屬于平臺方。由于這是一種新型攻擊手法,且攻擊已經在發生,相關平臺方如果對自己的充值校驗沒有十足把握,應盡快暫停 EOS 充提,并對賬自查。[2019/3/12]
在進行交易廣播前,MetaMask會獲取我們轉賬的對象、轉賬的金額、附帶的數據,以及MetaMask自動幫我們獲取并計算的nonce、gasPrice、gasLimit參數進行RLP編碼得到原始交易內容。如果是合約調用,那么to即為合約地址,data即為調用數據。
rlp=require('rlp');
//Usenon-EIP115standard
consttransaction={
nonce:'',
gasPrice:'',
gasLimit:'',
to:'0x',
value:'',
data:'0x'
};
//RLPencode
constrawTransaction=rlp.encode();
隨后再對此內容進行keccak256哈希后得到一串bytes32的數據就是所需要我們簽名的數據了。
//keccak256encode
constmsgHex=rawTransaction.toString('hex');
constmsgHash=Web3.utils.keccak256('0x'msgHex);
我們使用MetaMask對這串數據簽名后就會得到r,s,v值,用這三個值再與nonce/gasPrice/gasLimit/to/value/data進行一次RLP編碼即可得到簽名后的原始交易內容了,這時候就可以廣播發出交易了。
rlp=require('rlp');
consttransaction={
nonce:'',
gasPrice:'',
gasLimit:'',
to:'',
value:'',
data:'',
v:'',
r:'',
s:''
};
//RLPencode
constsignedRawTransaction=rlp.encode();
而如上所述,eth_sign方法可以對任意哈希進行簽名,那么自然可以對我們簽名后的bytes32數據進行簽名。因此攻擊者只需要在我們連接DApp后獲取我們的地址對我們賬戶進行分析查詢,即可構造出任意數據讓我們通過eth_sign進行簽名。
這種釣魚方式對用戶會有很強的迷惑性,以往我們碰到的授權類釣魚在MetaMask會給我直觀的展示出攻擊者所要我們簽名的數據。如下所示,MetaMask展示出了此釣魚網站誘導用戶將NFT授權給惡意地址。
而當攻擊者使用eth_sign方法讓用戶簽名時,如下所示,MetaMask展示的只是一串bytes32的哈希。
總結
本文主要介紹eth_sign簽名方式的釣魚手法。雖然在簽名時MetaMask會有風險提示,但若結合釣魚話術干擾,沒有技術背景的普通用戶很難防范此類釣魚。建議用戶在遇到此類釣魚時提高警惕,?認準域名,仔細檢查簽名數據,必要時可以安裝安全插件,如:RevokeCash、ScamSniffer等,同時注意插件提醒。
原文鏈接
Tags:ETAASKMASAMADry Doge Metaversemetamask真的假的metamask下載安裝FUTURAMA
10月11日消息,Ripple合作伙伴、澳大利亞金融科技公司Airwallex宣布以55億美元估值完成1億美元新一輪融資.
1900/1/1 0:00:00近幾日,自稱是谷歌第21號員工JackLevin創立的項目XENCrypto在海內外社區引起了FOMO.
1900/1/1 0:00:00這是一般性公告,此處提及的產品和服務可能不適用於您所在的地區。親愛的用戶:幣安理財每週三將為您推出一系列新的收益活動.
1900/1/1 0:00:00簡單來說: 從ETH中提取的收入可能會導致抵押收益降低。研究聲稱它可能會影響網絡安全。zkEVM部署可能會主導L2生態系統。最近對第2層以太坊擴展生態系統發展的研究揭示了該網絡的潛在問題.
1900/1/1 0:00:00SBT簡介 Soulbound代幣(SBT)的概念于2022年5月通過以太坊聯合創始人VitalikButerin、PujaOhlhaver和E.GlenWeyl共同撰寫的白皮書首次引入.
1900/1/1 0:00:00親愛的ZT用戶: ZTJINGAN板即將上線KMC,並開啟KMC/YPT交易對。具體上線時間請關註平臺公告.
1900/1/1 0:00:00