Scam Sniffer 發佈 2024 年年中網絡釣魚報告表明,僅2024 年上半年,就有26 萬名受害者在 EVM 鏈上損失 3.14 億美元,其中 20 人人均損失超過 100 萬美元。令人唏噓的是,還有一位受害者損失 1100 萬美元,成為歷史上第二大盜竊受害者。
根據該報告的總結,目前多數 ERC20 代幣的盜竊源於簽署釣魚簽名,如 Permit、IncreaseAllowance 和 Uniswap Permit2。而大部分大型盜竊均涉及 Staking、Restaking、Aave 抵押和 Pendle 代幣。受害者多通過假冒 Twitte 賬戶的釣魚評論被引導至釣魚網站。
釣魚攻擊無疑仍是鏈上安全問題的重災區。
作為承接用戶基礎交易需求的入口級產品,OKX Web3 錢包堅持將目光聚焦安全措施強化和用戶教育上。在產品層面,該團隊近期主要圍繞高頻釣魚場景對風險交易攔截功能進行了升級,並表示後續也會持續增加識別更多風險場景對用戶進行提示。
本文旨在講清楚OKX Web3 錢包最新升級的四大風險交易攔截功能適用的場景,同時科普部分被盜案例的運行原理,希望對您有所幫助。
1、惡意授權給 EOA 賬戶
6 月 26 日,某用戶在假冒 Blast 釣魚網站簽署多個釣魚簽名損失 21.7 萬美元;7 月 3 日,ZachXBT 報告稱地址 0xD7b2 已成為 Fake_Phishing 187019 網絡釣魚的受害者,導致 6 枚 BAYC NFT 和 40 枚 Beans 損失(價值約 100 萬美元以上);7 月 24 日,某 Pendle 用戶 1 小時前因多個 Permit 網絡釣魚簽名被盜價值約 469 萬美元的 PENDLEPT 再質押代幣。
近兩個月時間,因各類簽名釣魚而產生損失的事件及單筆金額均不在少數,這已然是安全問題頻發的重要場景。絕大部分的場景就是在於誘導用戶對黑客的EOA賬戶進行授權。
惡意授權給 EOA賬戶,一般是指黑客通過各類福利活動等形式誘導用戶進行授權,並將其用戶地址授權給一個EOA地址的簽名。
EOA 全稱 Externally Owned Accounts,也譯為“外部賬戶”。 是以太坊為主的區塊鏈網絡上的一種賬戶類型,這與以太坊上的另一種賬戶類型—合約賬戶(Contract Account)不同,EOA是由用戶擁有的,且不受智能合約控制。玩家鏈上衝浪時一般都是授權給項目方的智能合約賬戶而非個人擁有的EOA賬戶。 |
目前,最常見的授權方式有三種: Approve 是存在於 ERC-20 代幣標準中的常見授權方法。它授權第三方(如智能合約)在代幣持有 者的名義下花費一定數量的代幣。用戶需要預先為某個智能合約授權一定數量的代幣,此後,該 合約便可在任何時間調用 transferFrom 功能轉移這些代幣。如果用戶不慎為惡意合約授權,這些 被授權的代幣可能會被立刻轉移。值得注意的是,受害者錢包地址中可以看到 Approve 的授權痕跡。
Permit 是基於 ERC-20 標準引入的擴展授權方式,通過消息簽名來授權第三方花費代幣,而非直 接調用智能合約。簡單來說,用戶可以通過簽名來批准他人轉移自己的 Token。黑客可以利用這 種方法來進行攻擊,例如,他們可以建立一個釣魚網站,將登錄錢包的按鈕替換為 Permit,從而輕 易地獲取到用戶的簽名。
Permit2 並非 ERC-20 的標準功能,而是由 Uniswap 為了用戶便利性而推出的一種特性。此功能 讓 Uniswap 的用戶在使用過程中只需要支付一次 Gas 費用。然而,需要注意的是,如果你曾使用 過 Uniswap,並且你向合約授權了無限額度,那麼你可能會成為 Permit2 釣魚攻擊的目標。
Permit 和 Permit2 是離線簽名方式,受害者錢包地址無需支付 Gas,釣魚者錢包地址會提供授權上鍊操作,因此,這兩種簽名的授權痕跡只能在釣魚者的錢包地址中看到。現在Permit 和 Permit2 簽名釣魚已經是 Web3 資產安全領域的重災區。
OKX Web3錢包會通過對待籤交易進行前置解析,若解析發現交易為授權行為且授權的地址為EOA地址時,則為用戶告警提醒,防止用戶被釣魚攻擊,造成資產損失。 |
2、惡意更改賬戶 owner
惡意更改賬戶 Owner的事件通常發生在 TRON、Solana 等底層機制有賬戶 owner 設計的公鏈上。用戶一旦簽名,就將失去對賬戶的控制權。
以 TRON 錢包為例,TRON 的多重簽名權限系統設計了三種不同的權限:Owner、Witness 和 Active,每種權限都有特定的功能和用途。
Owner 權限擁有執行所有合約和操作的最高權限;只有擁有該權限才能修改其他權限,包括添加或移除其他簽名者;創建新賬戶後,默認為賬戶本體擁有該權限。
Witness 權限主要與超級代表(Super Representatives) 相關,擁有該權限的賬戶能夠參與超級代表的選舉和投票,管理與超級代表相關的操作。
Active 權限用於日常操作,例如轉賬和調用智能合約。這個權限可以由 Owner 權限設定和修改,常用於分配給需要執行特定任務的賬戶,它是若干授權操作(比如 TRX 轉賬、質押資產)的一個集合。
一種情況是黑客獲取用戶私鑰/助記詞後,如果用戶沒有使用多籤機制(即該錢包賬戶僅由用戶一人控制),黑客便可以將 Owner/Active 權限也授權給自己的地址或者將用戶的 Owner/Active 權限轉移給自己,該操作通常都被大家稱為惡意多籤。
如果用戶 Owner/Active 權限未被移除,黑客利用多籤機制與用戶共同控制賬戶所有權。此時用戶既持有私鑰/助記詞,也有 Owner/Active 權限,但卻無法轉移自己的資產,用戶發起轉出資產請求時,需要用戶和黑客的地址都簽名,才能正常執行交易。
還有一種情況是黑客利用 TRON 的權限管理設計機制,直接將用戶的 Owner/Active 權限轉移給黑客地址,使得用戶失去 Owner/Active 權限。
以上兩種情況造成的結果是一樣的,無論用戶是否還擁有 Owner/Active 權限,都將失去對該賬戶的實際控制權,黑客地址獲得賬戶的最高權限,就可實現更改賬戶權限、轉移資產等操作。
OKX Web3錢包通過對待籤交易進行前置解析,若解析發現交易內存在更改賬戶權限行為,則會為用戶直接攔截交易,從根源阻止用戶進一步簽名,造成資損。 由於該風險非常高危,因此當前OKX Web3錢包直接進行攔截,不允許用戶進行進一步交易。 |
3、惡意更改轉賬地址
惡意更改轉賬地址的風險交易場景主要發生在DApp 合約設計不完善的情況下。
3 月 5 日,@CyversAlerts 監測到,0xae7ab 開頭地址從 EigenLayer 中收到 4 枚 stETH,合約 14,199.57 美元,疑似遭遇釣魚攻擊。同時他指出,目前已有多名受害者在主網上籤署了「queueWithdrawal」釣魚交易。
Angel Drainer 瞄準了以太坊質押的性質,交易的批准與常規 ERC20「批准」方法不同,專門針對 EigenLayer Strategy Manager 合約的 queueWithdrawal (0xf123991e) 函數寫了利用。攻擊的核心是,簽署「queueWithdrawal」交易的用戶實際上批准了惡意「提款者」將錢包的質押獎勵從 EigenLayer 協議提取到攻擊者選擇的地址。簡單地說,一旦你在釣魚網頁批准了交易,你在 EigenLayer 質押的獎勵就將屬於攻擊者。
為了使檢測惡意攻擊變得更加困難,攻擊者使用「CREATE2」機制來批准這些提款到空地址。由於這是一種新的審批方法,因此大多數安全提供程序或內部安全工具不會解析和驗證此審批類型,所以在大多數情況下它被標記為良性交易。
不僅這一例,今年以來,一些主流公鏈生態系統中均出現了一些設計不完善的合約漏洞導致部分用戶轉賬地址被惡意更改,造成資金損失的問題。
針對EigenLayer的釣魚攻擊場景,OKX Web3錢包會通過對「queueWithdrawal」的相關交易進行解析,若發現用戶在非官方網站交易,且取款至非用戶自身地址時,則會對用戶進行警告,強制用戶進一步確認,防止被釣魚攻擊。 |
4、相似地址的轉賬
相似地址轉賬的攻擊手法通過欺騙受害者使用與其真實地址非常相似的假地址,使得資金轉移到攻擊者的賬戶中。這些攻擊通常伴隨複雜的混淆和隱匿技術,攻擊者使用多個錢包和跨鏈轉移等方式,增加追蹤難度。
5 月 3 日,一個巨鯨遭遇了相同首尾號地址釣魚攻擊,被釣走 1155 枚 WBTC,價值約 7000 萬美元。
該攻擊的邏輯主要是黑客提前批量生成大量釣魚地址,分佈式部署批量程序後,根據鏈上用戶動態,向目標轉賬地址發起相同首尾號地址釣魚攻擊。而在本次事件中,黑客使用了去除 0x 後的首 4 位及尾 6 位和受害者目標轉賬地址一致的地址。用戶轉賬後,黑客立即使用碰撞出來的釣魚地址(大概 3 分鐘後)尾隨一筆交易(釣魚地址往用戶地址轉了 0 ETH),這樣釣魚地址就出現在了用戶的交易記錄裡。
由於用戶習慣從錢包歷史記錄裡複製最近轉賬信息,看到了這筆尾隨的釣魚交易後沒有仔細檢查自己複製的地址是否正確,結果將 1155 枚 WBTC 誤轉給了釣魚地址。
OKX Web3 錢包通過對鏈上的交易進行持續監控,如果發現在1筆大額交易發生後不久,鏈上立刻發生非用戶主動觸發的可疑交易,且可疑交易的交互方與大額交易的交互方極其相似,此時會判定可疑交易的交互方為相似地址。 若用戶後續與相似地址進行交互,OKX Web3則會進行攔截提醒;同時在交易歷史頁面,會直接對相似地址相關的交易進行標記,防止用戶被誘導粘貼,造成資損。(目前已支持8條鏈) |
結語
總的來講,2024年上半年,空投釣魚郵件和項目官方賬戶遭黑等安全事件仍頻發。用戶在享受這些空投和活動帶來收益的同時,也面臨著前所未有的安全風險。黑客通過偽裝成官方的釣魚郵件、假冒地址等手段,誘騙用戶洩露私鑰或進行惡意轉賬。此外,一些項目官方賬戶也遭到黑客攻擊,導致用戶資金損失。對於普通用戶來講,在這樣的環境下,最重要的就是提高防範意識,深入學習安全知識。同時,儘可能選擇風控靠譜的平臺。
風險提示及免責聲明
本文章僅供參考。本文僅代表作者觀點,不代表OKX立場。本文無意提供 (i) 投資建議或投資推薦; (ii) 購買、出售或持有數字資產的要約或招攬; (iii)財務、會計、法律或稅務建議。我們不保證該等信息的準確性、完整性或有用性。持有的數字資產(包括穩定幣和 NFTs)涉及高風險,可能會大幅波動。您應該根據您的財務狀況仔細考慮交易或持有數字資產是否適合您。有關您的具體情況,請諮詢您的法律/稅務/投資專業人士。請您自行負責瞭解和遵守當地的有關適用法律和法規。