本期是安全特刊第03期,特邀行業知名安全專家0xAA與OKX Web3錢包安全團隊,從實操指南的角度出發,來講解「擼毛人」常見的安全風險和防範措施。
WTF Academy: 非常感謝OKX Web3的邀請,我是來自 WTF Academy 的 0xAA。WTF Academy是一所Web3開源大學,幫助開發者入門Web3開發。今年我們孵化了一個Web3救援項目 RescuETH(鏈上救援隊),專注救援用戶被盜錢包中的剩餘資產,目前已成功在Ethereum、Solana、Cosmos上救援了超過300 萬人民幣的被盜資產。
OKX Web3錢包安全團隊:大家好,非常開心可以進行本次分享。OKX Web3錢包安全團隊主要負責OKX在Web3領域內各類安全能力的建設,比如錢包的安全能力建設,智能合約安全審計,鏈上項目安全監控等,為用戶提供產品安全、資金安全、交易安全等多重防護服務,為維護整個區塊鏈安全生態貢獻力量。
Q1:請分享幾個真實的擼毛人遭遇的風險案例
WTF Academy:私鑰洩漏是擼毛用戶面臨的重大安全風險之一。本質上,私鑰是一串用於控制加密資產的字符,任何擁有私鑰的人都能完全控制相應的加密資產。一旦私鑰洩漏,攻擊者便可以未經授權地訪問、轉移和管理用戶的資產,導致用戶遭受經濟損失。所以,我重點分享幾個私鑰被盜的案例。
Alice(化名)在社交媒體上被黑客誘導下載了惡意軟件,並在運行該惡意軟件後導致私鑰被盜取,當前惡意軟件的形式多樣多種,包含但不限於:挖礦腳本、遊戲、會議軟件、衝土狗腳本、夾子機器人等等,用戶需要提高安全意識。
Bob(化名)不小心把私鑰上傳到GitHub後,被他人獲取,隨手導致了資產被盜。
Carl(化名)在項目方官方的Tegegram群諮詢問題時,信任了主動聯繫他的假冒客服,並洩露了自己的助記詞,隨後錢包資產被盜取。
OKX Web3錢包安全團隊:這類風險案例比較多,我們挑選了幾個用戶在擼毛時,遭遇的比較經典的案例。
第一類,高仿賬號發佈假空投。用戶A在瀏覽某熱門項目Twitter時,發現最新Twitter下方有空投活動的公告,隨即點擊了該公告鏈接來參與空投,最終導致被釣魚。當前很多釣魚者,通過高仿官方賬號,並在官方推特下追發虛假公告,從而誘導用戶上鉤,用戶應該要注意辨別,不能掉以輕心。
第二類,官方賬號被劫持。某項目的官方Twitter和Discord賬號遭到黑客攻擊,隨後黑客在項目的官方賬號上發佈了一個虛假的空投活動鏈接,由於該鏈接是從官方渠道發佈的,因此用戶B並沒有懷疑其真實性,點擊了該鏈接參與空投後反被釣魚。
第三類,遭遇惡意項目方。用戶C參加某項目的挖礦活動時,為獲得更高的獎勵收益,將所有USDT資產全部投到該項目的staking合約。然而,該智能合約並沒有經過嚴格審計而且沒有開源,結果項目方通過該合約預留的後門將合約中用戶C存入的資產全部盜走。
對於擼毛用戶來說,動輒擁有幾十或者幾百個錢包,如何保護錢包和資產安全是一個非常重要的話題,需要時刻保持警惕,提高安全防範意識。
Q2:作為高頻用戶,擼毛人在鏈上交互中的常見安全風險類型以及防護措施
WTF Academy:對於擼毛人乃至所有的Web3用戶而言,當前常見的兩類安全風險就是:釣魚攻擊和私鑰洩漏。
第一類是釣魚攻擊:黑客通常會假冒官方網站或應用,在社交媒體和搜索引擎上誘騙用戶點擊,然後在釣魚網站上誘導用戶交易或簽名,從而獲取代幣授權,盜走用戶資產。
防範措施:第一,建議用戶只從官方渠道(例如官方推特簡介中的鏈接)進入官方網站和應用。第二,用戶可以使用安全插件,來自動屏蔽掉一些釣魚網站。第三,用戶在進入可疑網站時,可以諮詢專業的安全人士,幫忙判斷是否為釣魚網站。
第二類是私鑰洩漏:已經在上一個問題介紹過了,此處不再展開。
防範措施:第一,如果用戶的電腦或者手機上裝有錢包,就儘量不要從非官方的渠道下載可疑軟件。第二,用戶需要知道,官方客服通常不會主動私信你,更不會要你發送或在假冒的網站裡輸入私鑰和助記詞。第三,如果用戶的開源項目需要使用私鑰,請先配置好 .gitignore 文件,確保私鑰不被上傳到GitHub。
OKX Web3錢包安全團隊:我們歸納了用戶在鏈上交互中的常見的5類安全風險,並針對每類風險列出了一些防護措施。
1.空投騙局
風險簡介:有些用戶經常會發現自己的錢包地址中出現了大量不明代幣,這些代幣在常用的DEX交易通常都會失敗,頁面會提示用戶去它的官網兌換,而後用戶在進行授權交易時,往往會授予智能合約轉走賬戶資產的權限,最終導致資產被盜。比如,Zape空投騙局,許多用戶在錢包中突然收到大量Zape幣,價值看似有數十萬美元。這讓很多人誤以為自己意外發了大財。然而,這實際上是一個精心設計的陷阱。由於這些代幣在正規平臺上無法查詢到,許多急於兌現的用戶會根據代幣名稱找到所謂的“官網”。按照提示連接錢包後,以為可以出售這些代幣,但一旦授權,錢包裡的所有資產都會被立即盜走。
防護措施:避免空投騙局需要用戶保持高度警惕,核實信息來源,始終從官方渠道(如項目的官方網站、官方社交媒體賬號和官方公告)獲取空投信息。保護好私鑰和助記詞,不要支付任何費用,並利用社區和工具進行驗證,識別潛在的騙局。
2.惡意智能合約
風險簡介:很多未審計或未開源的智能合約可能包含漏洞或後門,無法保證用戶資金安全。
防護措施:用戶儘量僅與經過正規審計公司嚴格審計的智能合約交互,或者注意檢查項目的安全審計報告。另外,通常那些設有bug bounty的項目,其安全性更有保障。
3.授權管理:
風險簡介:過度授權給交互的合約,可能導致資金被盜,這裡我們舉例說明:1)合約是可升級合約,如果特權賬號私鑰洩露,攻擊者可以利用該私鑰將合約升級為惡意版本,從而盜取已授權用戶的資產。2)如果合約存在尚未被識別的漏洞,過度授權可能使攻擊者在未來利用這些漏洞盜取資金。
防護措施:原則上只對交互的合約進行必要額度的授權,並且需要定期檢查並撤銷不必要的授權。在進行鏈下permit授權簽名時,一定要清楚授權的目標合約/資產類型/授權額度,做到三思而後行。
4.釣魚授權
風險簡介:點擊惡意鏈接並被誘導授權給惡意合約或用戶
防護措施:1)避免盲籤: 在簽署任何交易前,務必確保瞭解即將簽署的交易內容,確保每一步操作都明確且有必要。2)謹慎對待授權目標:如果授權目標是EOA地址(Externally Owned Account)或者未經驗證的合約,必須提高警惕。未經驗證的合約可能存在惡意代碼。3)使用防釣魚插件錢包:使用具有防釣魚保護的插件錢包,例如OKX Web3錢包等,這些錢包可以幫助識別和阻止惡意鏈接。4)保護助記詞和私鑰:所有要求提供助記詞或私鑰的網站均為釣魚鏈接,切勿在任何網站或應用中輸入這些敏感信息。
5.惡意的擼毛腳本
風險簡介:運行惡意的擼毛腳本,會導致電腦被植入木馬,從而導致私鑰被盜。
防護措施:謹慎運行未知的擼毛腳本或者擼毛軟件。
總之,我們希望用戶在進行鏈上交互時候,可以謹慎再謹慎、保護好自己的錢包和資產安全。
Q3:梳理經典的釣魚類型以及手法,以及如何識別和避免?
WTF Academy:我想從另外的視角,重新回答這個問題:即一旦用戶發現資產被盜,如何辨別是釣魚攻擊還是私鑰洩漏?用戶通常可以通過這2類攻擊特點去辨別:
一、釣魚攻擊的特點:黑客通常通過釣魚網站,獲取用戶單一錢包下的單一或多個資產的授權,從而盜取資產。一般來說,盜取資產的種類和用戶在釣魚網站授權的次數相等。
二、私鑰/助記詞洩漏的特點:黑客完全取得用戶單一或多個錢包下的所有鏈的全部資產的控制權。因此,如果出現以下特徵中的一個或多個,大概率判斷為私鑰洩漏:
1)原生代幣被盜(如ETH鏈的ETH),因為原生代幣無法被授權。
2)多鏈資產被盜。
3)多錢包資產被盜。
4)單一錢包多種資產被盜,且清晰記得沒有授權過這些資產。
5)盜取代幣之前或同一個交易中並沒有授權(Approval事件)。
6)轉入的Gas馬上會被黑客轉走。
如果不符合以上特徵,很可能是釣魚攻擊。
OKX Web3錢包安全團隊:儘量避免被釣魚,首先需要注意2點:1)要牢記不要在任何網頁填寫助記詞/私鑰;2)
確保訪問的鏈接為官方鏈接,錢包界面的確認按鈕要謹慎點擊。
接下來,我們分享一些經典釣魚場景的套路,幫助用戶更加直觀的理解。
1、假網站釣魚:仿冒官方DApp網站,誘導用戶輸入私鑰或助記詞。所以,用戶的首要原則是不對任何人,任何網站提供自己的錢包私鑰或助記詞。其次,檢查網址是否正確,儘量使用官方書籤訪問常用DApp和使用正規主流錢包,如OKX Web3錢包會對檢測到的釣魚網站進行告警。
2、竊取主鏈代幣:惡意合約函數起名為Claim,SeurityUpdate,AirDrop等具有誘導性名字,實際函數邏輯為空,只轉移用戶主鏈代幣。
3、相似地址轉賬:詐騙者會通過地址碰撞生成和用戶某關聯地址首尾若干位相同的地址,利用transferFrom進行0金額轉賬進行投毒,或利用假USDT進行一定金額轉賬等手段,汙染用戶交易歷史,期望用戶後續轉賬從交易歷史拷貝錯誤地址。
4、假冒客服:黑客假冒客服,通過社交媒體或郵件聯繫用戶,要求提供私鑰或助記詞。
