以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads

當硬核黑客開始研究“釣魚” 你的NFT還安全嗎?_以太坊:PIXLS Vault (NFTX)

Author:

Time:1900/1/1 0:00:00

前有周杰倫無聊猿NFT被釣魚攻擊,損失超300萬人民幣。

后有全球最大的NFT交易平臺之一OpenSea大批用戶遭遇釣魚攻擊,多人資產受損。

可見Web3世界黑客依然猖狂作祟,為了打擊黑客囂張的氣焰,我們將為大家持續輸出干貨系列文章,教導大家NFT防騙技巧。

本文研究了兩類典型的NFT的釣魚攻擊,一類是盜取用戶簽名的釣魚攻擊,如:Opensea釣魚郵件事件;一類是高仿域名和內容的NFT釣魚網站。跟我們一起看看

「盜取用戶簽名的釣魚」

2022年2月21日,全球最大的加密數字藏品市場Opensea遭遇黑客攻擊。根據Opensea官方回復,有部分用戶由于簽署了給黑客的授權而導致用戶NFT被盜。

我們將本次事件再次復現一下,在本次事件攻擊事件中,攻擊者信息如下:

攻擊者地址:

0x3e0defb880cd8e163bad68abe66437f99a7a8a74

攻擊者合約:

0xa2c0946ad444dccf990394c5cbe019a858a945bd

Arbitrum已創建賬戶總量突破640萬個:金色財經報道,數據顯示,Arbitrum鏈上活躍賬戶總量已突破500萬,本文撰寫時達到546萬個,已創建賬戶總量為646.4萬個。當前Arbitrum鏈上已創建的智能合約總量為2,313,079個。[2023/5/12 14:59:12]

攻擊者獲得相關NFT的交易具體如下圖所示:

針對其中一筆交易進行分析,

0xee038a31ab6e3f06bd747ab9dd0c3abafa48a51e969bcb666ecd3f22ff989589,具體內容如下:

由上圖可知,攻擊者是獲得了用戶的授權,之后直接調用transferfrom方法將用戶的NFT盜走。

根據Opensea的CEODevinFinzer發布的twitter,攻擊者是通過釣魚的方式獲取到用戶在Opensea上的掛單授權。

Coinbase法務官:OFAC對Tornado Cash的新制裁超出了國會授予OFAC的權限:金色財經報道,Coinbase法務官Paul Singh Grewal在社交媒體上稱,最近,OFAC刪除了Tornado Cash,然后又將其重新添加到其美國制裁名單中。但這些制裁超出國會授予OFAC的權限,因此Coinbase繼續支持挑戰這種過度擴張的聯邦訴訟。我們支持OFAC的總體國家安全目標,并非常尊重其重要工作。我們還致力于遵守所有適用的制裁義務,并為此開發了行業領先的工具。但是,當OFAC采取前所未有的措施制裁Tornado Cash(一種被許多人用來保護隱私的協議)及其智能合約(開源技術)時,我們感到有必要支持那些愿意站出來反對的人。[2022/11/24 8:01:59]

通過分析攻擊交易,黑客攻擊主要分為以下三個步驟。

1.構造正確的待簽名交易;

2.誘騙用戶點擊授權;

3.獲取用戶簽名后構造攻擊合約盜取用戶NFT。

步驟一?

首先對攻擊者構建的交易簽名內容進行分析,跟蹤函數調用棧發現具體的簽名信息如下:

由上圖可知,簽名的計算方式為:keccak256("\x19EthereumSignedMessage:\n32",hashOrder(order));這種簽名方式會在order前再加一個消息前綴:’\x19EthereumSignedMessage:\n32’,以確保改簽名不能在以太坊之外使用。之后將加上消息前綴的完整數據再計算keccak256值,最后用私鑰進行簽名。

多家Web3隱私技術公司發起成立通用隱私聯盟,還將設立UPA法律辯護基金:10月13日消息,多家Web3隱私技術公司在以太坊開發者大會DevCon發起成立通用隱私聯盟Universal Privacy Alliance(UPA),這些Web3公司包括Nym、p0xeidon labs(Manta Network)、Orchid、Secret Network(SCRT Labs)和Oasis Network(Oasis Foundation)等。該聯盟將設立UPA法律辯護基金,以捍衛構建和使用全棧隱私工具的權力。[2022/10/13 10:33:11]

但是該方式僅能聲明所有權,無法防止重放攻擊。如:用戶A簽署了消息發送給合約M,另一用戶B可以將這個簽名重放給合約N。下圖為訂單簽名中具體涉及到的信息。

其中涉及到的簽名主要參數為:

Side:買入或賣出

paymentToken:用于支付訂單的代幣類型

basePrice:訂單中NFT的價格

maker:訂單發出地址

taker:接收訂單的目標地址

上述簽名信息中包含訂單金額、目標地址等敏感信息,但是經過keccak256計算Hash后的值只是一串二進制字符串,用戶無法識別。

Michael J. Casey:向股權證明的重大轉變的影響并未計入以太坊市場:金色財經報道,CoinDesk首席內容官Michael J. Casey表示,向股權證明的重大轉變的影響并未計入以太坊市場。眾所周知,合并是加密貨幣歷史上對區塊鏈協議最重要的改變。投資者的問題是,以太坊的原生代幣ETH市場是否正在為這一重大轉變定價。我認為不是,主要是因為機構投資者最終會在“以太坊 2.0”中找到價值。我對更高的以太坊價格的期望并不一定意味著以太坊 2.0 將完全遵守最純粹的去中心化原則。它們是兩個不同的東西。

以太坊的投資者有多年的歷史先例,懷疑這件事能否繼續發展。即使合并確實進行了,在這個極其復雜且具有內在爭議的轉變中,故障和失敗的可能性很大。如果發生這種情況,DappRadar 警告說,去中心化金融 (DeFi) 協議和其他建立在以太坊之上的系統可能會產生負面的連鎖反應。[2022/9/3 13:05:47]

攻擊者根據上述Order信息構造簽名,可以隨意將上述簽名中涉及到的basePrice參數金額設置為0,接收地址設置為自己等。

步驟二?

攻擊者構造好待簽名數據后就可以誘騙用戶點擊授權。由于簽名的元數據是經過Keccak256計算后得到的包含0x的66個十六進制字符,用戶無法得知其代表的具體含義,因此可能直接點擊簽名,使得攻擊者獲得了用戶的掛單授權。

今日恐慌與貪婪指數為44,恐慌程度有所上升:金色財經報道,今日恐慌與貪婪指數為44(昨日為45),恐慌程度較昨日有所上升,等級仍為恐慌。注:恐慌指數閾值為0-100,包含指標:波動性(25%)+市場交易量(25%)+社交媒體熱度(15%)+市場調查(15%)+比特幣在整個市場中的比例(10%)+谷歌熱詞分析(10%)。[2022/8/16 12:28:29]

上圖中的簽名對于用戶來說類似盲簽,即所簽的消息內容對簽名人來說是盲的,簽名人不能看見消息的具體內容。

步驟三?

在步驟二中攻擊者獲取到ECDSA簽名消息中的R、S、V值,即可利用其構造攻擊合約盜取用戶NFT。下圖為OpenSea:WyvernExchangev1合約中驗證order的函數validateOrder(),具體源碼如下:

由源碼可知,訂單驗證首先會校驗order的有效性和是否包含有效參數,接著校驗訂單是否曾經通過鏈上校驗。其中approvedOrders是一個mapping變量,該變量保存了所有已經通過鏈上批準驗證的訂單。如果訂單曾經校驗過則直接返回true,無需再使用ecrecover()校驗ECDSA簽名,以便智能合約可以直接下訂單。

以下是其中一筆NFT盜取交易,可以發現攻擊者利用用戶簽名通過調用攻擊者合約:

0xa2c0946ad444dccf990394c5cbe019a858a945bd,以0ether的價格盜取了用戶的NFT。

「高仿域名的NFT釣魚」

這一類的釣魚網站主要是對NFT項目官網的域名和內容等進行幾乎一致的模仿,一般會先連接用戶錢包查詢用戶余額之后,再進行其他誘騙操作。這種釣魚網站是最常見的,主要分為以下幾種類型:

1僅更換原官網的頂級域名

案例一

官網:https://invisiblefriends.io/

釣魚網站:https://invisiblefriends.ch/

查看釣魚網站的網頁源碼,可以發現如下攻擊地址:

查看

0xEcAcDb9FA4Ed4ACD8977821737da7bCe688be1e0的相關交易:

可以發現上述兩筆交易是攻擊者獲取到的收益。

案例二

官網:https://cyberbrokers.io/

釣魚網站:https://cyberbrokers.live/

查看釣魚網站源碼,發現如下攻擊地址:

綜上,該類事件主要是因為用戶在簽署交易簽名時,由于簽署的交易內容是加密后的字符串,導致用戶無法直觀的看到簽署交易的具體內容,習慣性的點擊確認,從而造成攻擊者獲取到用戶的賣單權授權,盜走用戶的NFT。

2主域名添加單詞或符號進行混淆

有的釣魚網站會在主域名添加單詞或符號進行混淆,比如othersidemeta-airdrop、otherside-refunds.xyz等。

官網:https://otherside.xyz/

釣魚網站:http://othersidemeta-airdrop.com/

查看釣魚網站源碼,發現頁面存在setApprovalForAll()函數,該函數會授權_operator具有所有代幣的控制權。如果用戶授權了攻擊者,則用戶賬號中所有的NFT將會被盜走。

3添加二級域名進行混淆

有的釣魚網站會添加二級域名進行混淆,進行釣魚欺騙。

?

官網:https://www.okaybears.com/

釣魚網站:https://okaybears.co.uk/?

查看網頁源碼,根據solanaweb3的官方文檔API,確認如下地址為攻擊地址:

在如今釣魚事件頻發的情況下,用戶需提高安全意識,保護自己。以下是我們的安全建議:

1簽名時應當明確簽署的交易內容,包括交易價格、交易地址等信息,如下圖紅框處內容所示:

如果存在簽署內容僅為二進制字符串內容等無法明確的內容,請勿簽署。

2切勿點擊任何郵件中的鏈接、附件,或輸入任何個人信息。

3訪問NFT官網時,一般在官網右上角等處會顯示官方twitter、discord等社交帳號,需在官方賬號上確認官網地址。

4安裝釣魚插件,可輔助識別部分釣魚網站。比如下面這一款

https://chrome.google.com/webstore/detail/beosin-alert/lgbhcpagiobjacpmcgckfgodjeogceji?hl=zh-CN

Tags:NFT以太坊ORDHTTPIXLS Vault (NFTX)以太坊幣最高價格是多少人民幣Ordinal Chainhtt幣價格今日行情

火必下載
下一輪周期到來之際 DeFi和GameFi誰有更大潛力?_EFI:defi幣圈

轉自:老雅痞 大多數關注加密貨幣的用戶聽說過DeFiSummer,這發生在2020年,當時,看起來DeFi將是加密貨幣和區塊鏈的主流用例。然而,一年后,一些類似于口袋妖怪的游戲起飛了.

1900/1/1 0:00:00
元宇宙“之父”尼爾·斯蒂芬森推出元宇宙區塊鏈_元宇宙:VES

尼爾·斯蒂芬森(NealStephenson)于30年前創造了“元宇宙”一詞,這位作家正在推出一個名為LAMINA1的以元宇宙為中心的區塊鏈項目.

1900/1/1 0:00:00
某省召開NFT領域風險提醒會 意味著什么_ETH:男生突然把網名改成Ethereal

“某省清理整頓各類交易場所工作小組關于召開NFT領域風險提醒會的通知”在網絡上不脛而走,這對于NFT行業及二級市場意味著什么,對于“監管”機關如何引導“有刺的”新興行業發展,且聽颯姐分解.

1900/1/1 0:00:00
向web3的轉移也許是一場殘酷無情的洗禮(1)_區塊鏈:Web3游戲

似乎可以感覺到,整個世界都在為加密貨幣和NFT歡欣鼓舞。然而許多業內人士擔心,這種淘金熱類似于"集體Theranos",正在扭曲經濟,使專業投資者受益.

1900/1/1 0:00:00
Web3開發人員指南_WEB:以太坊

我們將Web3定義為基于區塊鏈技術的去中心化互聯網生態系統。首先,作為開發人員和建設者,我們理解去中心化通常會喚起碎片化技術堆棧的概念.

1900/1/1 0:00:00
金色早報 | 巴西央行行長內托:巴西將監管加密貨幣經紀商_以太坊:ETF DAO

頭條 ▌巴西央行行長內托:巴西將監管加密貨幣經紀商6月1日消息,巴西央行行長內托:巴西將監管加密貨幣經紀商.

1900/1/1 0:00:00
ads