複盤錢包被盜案例,總結8條安全建議,助你在web3.0實現資產安全
黑客通過這些方法盜取數字資產,看看你是否中招?
當前區塊鏈技術和應用尚處於快速發展的初級階段,面臨的安全風險種類繁多,從區塊鏈生態應用的安全,到智能合約安全,共識機制安全和底層基礎組件安全,安全問題分布廣泛且危險性高,對生態體系,安全審計,技術架構,隱私數據保護和基礎設施的全局發展提出了全新的考驗.
黑客們是如何竊取錢包資金呢?
“偽裝客服騙取私鑰”
1. 攻擊者偽裝為客戶潛伏在社群中
2. 當有用戶出現轉賬或者提取收益求助時,攻擊者及時聯繫用戶協助其處理
3. 通過耐心的解答,發送偽裝的專業工單系統,讓用戶輸入助記詞解決其交易異常
4. 攻擊者拿到私鑰後盜取資產,拉黑用戶
“掃描惡意二維碼被盜”
1. 攻擊者將預先準備好的惡意二維碼發送給用戶;
3. 用戶輸入小額或者指定金額後,確認轉賬交易(實際運行的是用戶approve授權給攻擊者USDT的過程);
4. 隨後用戶錢包大量USDT丟失(攻擊者調用TransferFrom轉走用戶USDT)。
“貪小便宜,隨意領取空投被盜”
1. 攻擊者偽造成各種交易平台,DeFi,NFT等區塊鏈項目;
2. 攻擊者通過媒體社群發起可明顯薅羊毛的空投活動;
4. 用戶掃碼後點擊領取空投(其實也是用戶approve授權給攻擊者USDT的過程);
5. 隨後受害者賬戶大量USDT被轉走(攻擊者調用TransferFrom轉走用戶USDT)
“線上雲平台賬號被盜”
多數人將秘鑰/助記詞通過截屏、拍照或者拷貝粘貼,然後同步保存在雲端,例如通過郵件、QQ、微信、網盤、筆記等進行傳輸或存儲,攻擊者會通過攻擊這些雲端平台賬號,從而盜取私鑰/助記詞。
目前零時科技安全團隊已經收到大量用戶反饋稱將私鑰/助記詞保存在網盤或者筆記中,由於平台賬號被盜,導致錢包資產被盜。
“熱錢包伺服器被攻擊”
很多區塊鏈應用都會使用到熱錢包,熱錢包中存有大量數字資產,由於熱錢包伺服器為進行安全加固,或者運維不當,安全意識缺失,導致熱錢包伺服器被黑客攻擊,導致熱錢包中數字資產被盜,甚至通過熱錢包伺服器作為跳板,攻擊其他錢包。
“被身邊人竊取私鑰”
日防夜防,家賊難防。被身邊熟人無意間竊取錢包私鑰/助記詞,最終導致資產丟失。
“網路釣魚竊取私鑰”
攻擊者通過克隆一個知名區塊鏈項目,通過精心設計成同原始真實項目一模一樣的假項目釣魚網站,對於精心設計的這個釣魚網站,普通用戶無法辨別真假,通過各種渠道發布這些資訊,以假亂真,這樣即可輕易引誘用戶訪問釣魚網站並引導他們輸入帳戶密碼或密鑰,盜取用戶錢包中數字資產。
“電信詐騙”
近年來,電信詐騙事件突發,詐騙手段越發高明,由於互聯網的大量資訊泄露,攻擊者通過郵件,簡訊,電話對受害者進行詐騙,例如打著區塊鏈幌子的中心化詐騙項目,殺豬盤項目,高額收益的投資項目等,誘騙受害者投資,導致最終血本無歸。
“惡意軟體”
黑客以某些加密貨幣資源的名義,將應用程序添加到Google Play商店,或者通過網路釣魚的方式,欺騙用戶下載改應用程序,該應用程序實則為一個惡意軟體,當下載、啟動該應用程序後,攻擊者即可控制受害者電話或者手機,然後允許攻擊者竊取帳戶憑據,私鑰等更多資訊,導致錢包被盜。
“通過公共 Wi-Fi進行攻擊”
在火車站、機場、酒店等人流量較大的公共區域,Wi-Fi 網路尤其不安全,受害者用戶的設備能夠連接到與黑客相同的的 Wi-Fi 網路中,甚至黑客會專門搭建一些惡意Wi-Fi熱點供大家使用,此時,受害者用戶通過網路下載或發送的所有資訊,在一定情況下,都可被攻擊者攔截查看,包括加密貨幣錢包私鑰/助記詞等。
如果密鑰丟了怎麼辦?
1、 是否還留有備份助記詞私鑰,儘快重新導入助記詞,將資產轉移到其他錢包;
2、 確認被丟失的錢包中是否有在抵押或者鎖倉的資產,計算好時間,等這部分資產解鎖後第一時間轉移;
3、 如果被丟失錢包資產已經被轉移,使用專業資金監控小程序,進行資金即時監控,第一時間了解資金狀況,同時尋求幫助。
4、 可以聯繫專業的安全團隊進行協助,找回秘鑰及丟失的資產。
從錢包被盜總結Web3的安全指南
事件
2022 年元旦假期的某個早上,小 C 準備寫代碼,繼續測試 Web3js 的鏈上合約交易。突然發現自己的測試賬號(Bsc 鏈)在Metamask歸零了,明明前一晚賬戶內還有 100usd,然後查完轉賬就發現:
錢都沒了,錢哪去了?
背景
技術出身的小 C,最近在學習區塊鏈開發。本身是專業開發者,已經很謹慎小心了,通常都是在測試網路上跑,跑完之後,再會去正式網路上部署,但是沒有意識到整個產業目前還處在相對混亂的階段,麻痹大意,順手習慣導致造成了損失。
損失是如何造成的?
2021 年的最後一天,小 C 偶然看到一個賬號很有趣(這個賬號有很多活躍的交易),就追蹤了他的一些鏈上交易,然後看到了一個非常有意思的項目(有很高的年化收益率),然後就鬼使神差地連上了自己的 MetaMask,然後鬼使神差的進行了 approve,因為一般 Web3 的項目就是這個流程,approve 然後轉賬就結束了。
但是令人驚呆的一幕出現了:點完之後,整個網站突然卡死了(其實在卡死這段時間,盜取者就把錢轉走了),沒有任何反應,小 C 當時沒當回事,把站點給關了,去做其他事情了。
過了大概一天,小 C 重新回來開發的時候,發現賬上的錢全部沒有了,去查了曆史記錄,發現賬上的餘額已經被全部轉走。
回顧過程
盜取者是怎麼把小 C 賬戶上的錢都轉走的?
現象:只要你 approve 了,不需要私鑰理論上也可以把對應的錢全部轉走。
小 C 進行了下溯源,大概是在一個釣魚網站的 approve 出了問題,於是追溯該轉賬記錄。
如圖,可以看到,先是 approve(授權)了一個合約,授權了釣魚合約能夠對賬號裡面 BUSD 進行操作,而且是沒有數量限制的。
為什麼會是 BUSD 呢?小 C 回憶了一下,一進入這個釣魚站點是預設選了 BUSD ,估計在瀏覽站點連結錢包之後,盜取者就已經篩選了出了賬號裡面錢最多的 token 了。
然後當小 C 以為這是一個新的 swap 合約,並且有很高的年化收益,準備先試試的時候,按照常規流程就進行 approve。approve 結束後,網站直接卡了。
後來經過追溯,大概在授權之後幾十秒,合約就直接觸發了一個轉賬操作,直接把 BUSD token 給轉走了。
後來去查了一下授權的資訊
基本上 MetaMask 預設授權的時候是:
轉換成數字,我們認識的就是 1.157920892373162 乘以 10 的 59 次方。基本上就可以理解為無限量轉賬了,也就是這個授權的操作,可以讓這個合約無限量的操縱我賬號的 token。看到這裡感覺背後一涼,因為以前點過很多次 approve 都是不會去看的。
然後黑客操縱一個可以控制這個合約方法的錢包地址,就發起合約轉賬方法,把錢轉走了。所以小夥伴之後點 metamask 授權的時候一定要小心。
小 C 查了下,盜取者現在這個賬號裡大概已經有了 3w 美金的 token 了,現在還有源源不斷的受害者在轉錢。但是面對區塊鏈沒有辦法,根本無法找不到這個黑客是誰。
出現問題的環節
問題到底出在哪裡?
因為最近在學習區塊鏈。小 C 大概理了一下這個釣魚的邏輯方式,害人之心不可有,防人之心不可無。大家有興趣可以了解一下:
正常轉賬
案例一:直接用戶間轉賬 A 用戶向 B 用戶轉賬 BUSD
合約正常會檢查以下邏輯
1)判斷 A 用戶賬戶餘額是否有足夠的錢;2)是否是 A 用戶發起的轉賬
流程如下圖
正常合約兌換
就是我們平時使用 pancakeswap、uniswap 等兌換時候的流程
案例二:通過 swap 進行 token 兌換 A 用戶進行 token 兌換(BUSD 兌換 WBNB)流程 合約進行判斷:
1)A 用戶賬戶餘額是否有足夠的 BUSD,(假設已經授權 swap 合約可以操作 A 賬戶的 BUSDtoken)
2)swap 合約取 A 賬戶下的 500BUSD 放入 swap 的合約池中(假設匯率是 1:500)
3)成功後合約再向 A 賬戶轉入 1BNB
注意第 2、3點,是由合約控制 token 進行操作。那麼
