本期是安全特刊第03期,特邀行业知名安全专家0xAA与OKX Web3钱包安全团队,从实操指南的角度出发,来讲解「撸毛人」常见的安全风险和防范措施。
WTF Academy: 非常感谢OKX Web3的邀请,我是来自 WTF Academy 的 0xAA。WTF Academy是一所Web3开源大学,帮助开发者入门Web3开发。今年我们孵化了一个Web3救援项目 RescuETH(链上救援队),专注救援用户被盗钱包中的剩余资产,目前已成功在Ethereum、Solana、Cosmos上救援了超过300 万人民币的被盗资产。
OKX Web3钱包安全团队:大家好,非常开心可以进行本次分享。OKX Web3钱包安全团队主要负责OKX在Web3领域内各类安全能力的建设,比如钱包的安全能力建设,智能合约安全审计,链上项目安全监控等,为用户提供产品安全、资金安全、交易安全等多重防护服务,为维护整个区块链安全生态贡献力量。
Q1:请分享几个真实的撸毛人遭遇的风险案例
WTF Academy:私钥泄漏是撸毛用户面临的重大安全风险之一。本质上,私钥是一串用于控制加密资产的字符,任何拥有私钥的人都能完全控制相应的加密资产。一旦私钥泄漏,攻击者便可以未经授权地访问、转移和管理用户的资产,导致用户遭受经济损失。所以,我重点分享几个私钥被盗的案例。
Alice(化名)在社交媒体上被黑客诱导下载了恶意软件,并在运行该恶意软件后导致私钥被盗取,当前恶意软件的形式多样多种,包含但不限于:挖矿脚本、游戏、会议软件、冲土狗脚本、夹子机器人等等,用户需要提高安全意识。
Bob(化名)不小心把私钥上传到GitHub后,被他人获取,随手导致了资产被盗。
Carl(化名)在项目方官方的Tegegram群咨询问题时,信任了主动联系他的假冒客服,并泄露了自己的助记词,随后钱包资产被盗取。
OKX Web3钱包安全团队:这类风险案例比较多,我们挑选了几个用户在撸毛时,遭遇的比较经典的案例。
第一类,高仿账号发布假空投。用户A在浏览某热门项目Twitter时,发现最新Twitter下方有空投活动的公告,随即点击了该公告链接来参与空投,最终导致被钓鱼。当前很多钓鱼者,通过高仿官方账号,并在官方推特下追发虚假公告,从而诱导用户上钩,用户应该要注意辨别,不能掉以轻心。
第二类,官方账号被劫持。某项目的官方Twitter和Discord账号遭到黑客攻击,随后黑客在项目的官方账号上发布了一个虚假的空投活动链接,由于该链接是从官方渠道发布的,因此用户B并没有怀疑其真实性,点击了该链接参与空投后反被钓鱼。
第三类,遭遇恶意项目方。用户C参加某项目的挖矿活动时,为获得更高的奖励收益,将所有USDT资产全部投到该项目的staking合约。然而,该智能合约并没有经过严格审计而且没有开源,结果项目方通过该合约预留的后门将合约中用户C存入的资产全部盗走。
对于撸毛用户来说,动辄拥有几十或者几百个钱包,如何保护钱包和资产安全是一个非常重要的话题,需要时刻保持警惕,提高安全防范意识。
Q2:作为高频用户,撸毛人在链上交互中的常见安全风险类型以及防护措施
WTF Academy:对于撸毛人乃至所有的Web3用户而言,当前常见的两类安全风险就是:钓鱼攻击和私钥泄漏。
第一类是钓鱼攻击:黑客通常会假冒官方网站或应用,在社交媒体和搜索引擎上诱骗用户点击,然后在钓鱼网站上诱导用户交易或签名,从而获取代币授权,盗走用户资产。
防范措施:第一,建议用户只从官方渠道(例如官方推特简介中的链接)进入官方网站和应用。第二,用户可以使用安全插件,来自动屏蔽掉一些钓鱼网站。第三,用户在进入可疑网站时,可以咨询专业的安全人士,帮忙判断是否为钓鱼网站。
第二类是私钥泄漏:已经在上一个问题介绍过了,此处不再展开。
防范措施:第一,如果用户的电脑或者手机上装有钱包,就尽量不要从非官方的渠道下载可疑软件。第二,用户需要知道,官方客服通常不会主动私信你,更不会要你发送或在假冒的网站里输入私钥和助记词。第三,如果用户的开源项目需要使用私钥,请先配置好 .gitignore 文件,确保私钥不被上传到GitHub。
OKX Web3钱包安全团队:我们归纳了用户在链上交互中的常见的5类安全风险,并针对每类风险列出了一些防护措施。
1.空投骗局
风险简介:有些用户经常会发现自己的钱包地址中出现了大量不明代币,这些代币在常用的DEX交易通常都会失败,页面会提示用户去它的官网兑换,而后用户在进行授权交易时,往往会授予智能合约转走账户资产的权限,最终导致资产被盗。比如,Zape空投骗局,许多用户在钱包中突然收到大量Zape币,价值看似有数十万美元。这让很多人误以为自己意外发了大财。然而,这实际上是一个精心设计的陷阱。由于这些代币在正规平台上无法查询到,许多急于兑现的用户会根据代币名称找到所谓的“官网”。按照提示连接钱包后,以为可以出售这些代币,但一旦授权,钱包里的所有资产都会被立即盗走。
防护措施:避免空投骗局需要用户保持高度警惕,核实信息来源,始终从官方渠道(如项目的官方网站、官方社交媒体账号和官方公告)获取空投信息。保护好私钥和助记词,不要支付任何费用,并利用社区和工具进行验证,识别潜在的骗局。
2.恶意智能合约
风险简介:很多未审计或未开源的智能合约可能包含漏洞或后门,无法保证用户资金安全。
防护措施:用户尽量仅与经过正规审计公司严格审计的智能合约交互,或者注意检查项目的安全审计报告。另外,通常那些设有bug bounty的项目,其安全性更有保障。
3.授权管理:
风险简介:过度授权给交互的合约,可能导致资金被盗,这里我们举例说明:1)合约是可升级合约,如果特权账号私钥泄露,攻击者可以利用该私钥将合约升级为恶意版本,从而盗取已授权用户的资产。2)如果合约存在尚未被识别的漏洞,过度授权可能使攻击者在未来利用这些漏洞盗取资金。
防护措施:原则上只对交互的合约进行必要额度的授权,并且需要定期检查并撤销不必要的授权。在进行链下permit授权签名时,一定要清楚授权的目标合约/资产类型/授权额度,做到三思而后行。
4.钓鱼授权
风险简介:点击恶意链接并被诱导授权给恶意合约或用户
防护措施:1)避免盲签: 在签署任何交易前,务必确保了解即将签署的交易内容,确保每一步操作都明确且有必要。2)谨慎对待授权目标:如果授权目标是EOA地址(Externally Owned Account)或者未经验证的合约,必须提高警惕。未经验证的合约可能存在恶意代码。3)使用防钓鱼插件钱包:使用具有防钓鱼保护的插件钱包,例如OKX Web3钱包等,这些钱包可以帮助识别和阻止恶意链接。4)保护助记词和私钥:所有要求提供助记词或私钥的网站均为钓鱼链接,切勿在任何网站或应用中输入这些敏感信息。
5.恶意的撸毛脚本
风险简介:运行恶意的撸毛脚本,会导致电脑被植入木马,从而导致私钥被盗。
防护措施:谨慎运行未知的撸毛脚本或者撸毛软件。
总之,我们希望用户在进行链上交互时候,可以谨慎再谨慎、保护好自己的钱包和资产安全。
Q3:梳理经典的钓鱼类型以及手法,以及如何识别和避免?
WTF Academy:我想从另外的视角,重新回答这个问题:即一旦用户发现资产被盗,如何辨别是钓鱼攻击还是私钥泄漏?用户通常可以通过这2类攻击特点去辨别:
一、钓鱼攻击的特点:黑客通常通过钓鱼网站,获取用户单一钱包下的单一或多个资产的授权,从而盗取资产。一般来说,盗取资产的种类和用户在钓鱼网站授权的次数相等。
二、私钥/助记词泄漏的特点:黑客完全取得用户单一或多个钱包下的所有链的全部资产的控制权。因此,如果出现以下特征中的一个或多个,大概率判断为私钥泄漏:
1)原生代币被盗(如ETH链的ETH),因为原生代币无法被授权。
2)多链资产被盗。
3)多钱包资产被盗。
4)单一钱包多种资产被盗,且清晰记得没有授权过这些资产。
5)盗取代币之前或同一个交易中并没有授权(Approval事件)。
6)转入的Gas马上会被黑客转走。
如果不符合以上特征,很可能是钓鱼攻击。
OKX Web3钱包安全团队:尽量避免被钓鱼,首先需要注意2点:1)要牢记不要在任何网页填写助记词/私钥;2)
确保访问的链接为官方链接,钱包界面的确认按钮要谨慎点击。
接下来,我们分享一些经典钓鱼场景的套路,帮助用户更加直观的理解。
1、假网站钓鱼:仿冒官方DApp网站,诱导用户输入私钥或助记词。所以,用户的首要原则是不对任何人,任何网站提供自己的钱包私钥或助记词。其次,检查网址是否正确,尽量使用官方书签访问常用DApp和使用正规主流钱包,如OKX Web3钱包会对检测到的钓鱼网站进行告警。
2、窃取主链代币:恶意合约函数起名为Claim,SeurityUpdate,AirDrop等具有诱导性名字,实际函数逻辑为空,只转移用户主链代币。
3、相似地址转账:诈骗者会通过地址碰撞生成和用户某关联地址首尾若干位相同的地址,利用transferFrom进行0金额转账进行投毒,或利用假USDT进行一定金额转账等手段,污染用户交易历史,期望用户后续转账从交易历史拷贝错误地址。
4、假冒客服:黑客假冒客服,通过社交媒体或邮件联系用户,要求提供私钥或助记词。
