買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > BTC > Info

USD:黑客大揭秘|掃碼轉賬即可控制你的數字錢包_TRA

Author:

Time:1900/1/1 0:00:00

簡介

近期丟幣盜幣事件頻發,各種盜幣手法層出不窮,無所不用其極,不得不說這些攻擊者手段高明,零時科技安全團隊收到大量客戶的求助,稱其錢包資產被盜,這無疑給幣圈的朋友敲響了警鐘。

為了大家能清晰了解最近盜幣事件,并且加強防范,本篇總結了近期零時科技安全團隊收到協助的盜幣事件類型,大致可分為如下四類:

”偽裝客服騙取私鑰“

”掃描二維碼盜幣事件“

”獲取空投盜幣事件“

”交易所客服詐騙盜幣事件“

這里簡單介紹一下以上四類盜幣流程:

1. 攻擊者偽裝為客戶潛伏在社群中

2. 當有用戶出現轉賬或者提取收益求助時,攻擊者及時聯系用戶協助其處理

3. 通過耐心的解答,發送偽裝成去中心化網橋的工單系統,讓用戶輸入助記詞解決其交易異常

4. 攻擊者拿到私鑰后盜取資產,拉黑用戶

1. 攻擊者將預先準備好的惡意二維碼發送給用戶;

2. 攻擊者誘導用戶使用錢包掃描二維碼進行轉賬;

3. 用戶輸入指定金額后確認轉賬交易(實際運行的是用戶approve授權給攻擊者USDT的過程);

4. 隨后用戶錢包大量USDT丟失(攻擊者調用TransferFrom轉走用戶USDT)。

黑客攜4億推特用戶數據勒索馬斯克:金色財經報道,據快科技消息,一名黑客在暗網上要價20萬美元(約139.4萬元人民幣),出售在2021年利用漏洞(現已修復)搜刮的4億推特用戶數據。

?黑客在帖子中表示,他們利用該漏洞成功收集了超過4億條推特用戶的數據。而且黑客在帖子還囂張表示,埃隆·馬斯克如果想要避免歐洲GDPR法規下的巨額罰款,那么應該購買這些數據。?[2022/12/27 22:10:23]

1. 攻擊者偽造成交易平臺或者DeFi項目;

2. 攻擊者通過媒體社群發起可明顯薅羊毛的空投活動;

3. 攻擊者誘導用戶使用錢包掃描二維碼領取空投;

4. 用戶掃碼后點擊領取空投(其實也是用戶approve授權給攻擊者USDT的過程);

5. 隨后受害者賬戶大量USDT被轉走(攻擊者調用TransferFrom轉走用戶USDT)

1. 攻擊者偽造成幣安,火幣等交易所客服;

2. 攻擊者告知用戶賬戶異常并觸發了風控,使用資金需要解除異常狀態;

3. 攻擊者客服誘導用戶將資金轉至安全賬戶(其實是黑客賬戶),并對受害者賬戶進行升級;

4. 用戶將資金轉移至安全賬戶后,攻擊者隨即將用戶拉黑。

以上盜幣事件中,二維碼盜幣是目前發生頻率較高,客戶反饋最多的盜幣事件類型,所以本篇將對掃碼盜幣事件進行詳細分析及復現,讓讀者更清晰了解攻擊者盜幣過程,防止資金被盜。

Charles Hoskinson:認證軟件可以大幅降低智能合約遭受黑客攻擊的概率:IOHK首席執行官Charles Hoskinson在最近的AMA中表示,智能合約并非不受潛在黑客攻擊的影響,因為任何編寫和構建的東西都可能被破壞。他進一步闡述了“認證軟件”的概念,該概念使此類黑天鵝事件發生的幾率指數級降低。“如果你有一個規范和一個特定的開發方法和工具,你或外部審計員可以做的就是證明其實現遵循該規范,并且該規范可以得到很好的測試和理解,如果你這樣做,你遭受黑客攻擊的機會將呈指數級下降。”Hoskinson進一步解釋說,Cardano和其區塊鏈智能合約平臺Plutus旨在實現高保障。(U.Today)[2021/8/14 1:55:34]

掃描盜幣過程分析

二維碼盜幣事件復盤我們從攻擊者角度出發,完整復盤二維碼盜幣過程。

測試使用的攻擊地址為:

?TMmunHQsjSdUKZT1suksWBM7n6jVWkUGwL

測試使用的攻擊者歸集資產地址為:

TKjxdVUpyqwmqMGUh9kyRg196f1zesb3m9

測試使用的合約為TRON鏈上USDT合約:

TR7NHqjeKQxGTCi8q8ZY4pL8otSzgjLj6t

測試使用的受害者地址為:

動態 | 美巴爾的摩市政府官員申請的Gmail賬戶被黑客停用:據CCN報道,因為拒絕向黑客支付價值10萬美元的比特幣贖金,美國馬里蘭州巴爾的摩大部分政府系統自5月7日起被鎖定,官方電子郵件地址已無法使用。隨后該市政府官員創建了免費的Gmail賬戶來維持日常工作,但是5月23日該郵箱也被停用。據此前消息,巴爾的摩市政府遭到“Robbinhood”勒索軟件攻擊,新任市長堅稱該市不會支付攻擊者要求的大約13枚比特幣。[2019/5/24]

THcDZSMmGdecaB2uAygPvHM7uzdE2Z4U9p

第一步:攻擊者制作掃碼盜幣二維碼

該步主要為攻擊者將代幣授權寫入二維碼,也是攻擊成功最重要的基礎功能,此步驟中,攻擊者需要創建自己的錢包地址,調用USDT合約API及approve()接口。

二維碼需要實現的功能:

// 調用TRON鏈上USDT合約,并調用合約的approve方法,給攻擊者地址授權9000000000枚USDT.

USDTToken.approve(TMmunHQsjSdUKZT1suksWBM7n6jVWkUGwL, 9000000000)

之后將該功能在Web端進行實現,最終得到的盜幣二維碼如下:

動態 | 黑客利用比特幣漏洞造出2.35億枚PGN:據coindesk報道,鮮為人知的加密貨幣pigeoncoin(PGN)背后的開發人員證實,幾周前在比特幣代碼中發現的一個嚴重bug已被利用。據報道,一位不知名的礦工在9月26日成功利用了這個漏洞,得到了2.35億枚pigeoncoin(價值約15,000美元)。pigeoncoin的開發人員Michael Oates表示,許多加密貨幣,比如BCH和LTC現在已經升級,因此希望同樣的攻擊不會在其他加密貨幣上執行。[2018/10/3]

第二步:攻擊者制作后臺提款功能

該步為攻擊者誘導用戶授權資金后的轉賬操作,此步驟中,攻擊者需要調用USDT合約API及transferfrom()接口。

后端提幣需要實現的功能如下:

// 調用TRON鏈上USDT合約,并調用合約的transferFrom方法,給攻擊者地址轉賬大于0,并且小于9000000000枚USDT.

USDTToken.transferFrom(TMmunHQsjSdUKZT1suksWBM7n6jVWkUGwL, TKjxdVUpyqwmqMGUh9kyRg196f1zesb3m9, 0<value<9000000000)

第三步:攻擊者給受害者用戶發送盜幣二維碼,并誘導用戶給該二維碼轉賬

疑似朝鮮黑客試圖盜取虛擬貨幣:2月1日,韓國在野黨議員何泰京(音)稱,有一封名為“關于比特幣等虛擬貨幣的國會資料”的郵件在網上流傳。針對謊稱從議員室發出的這封郵件,韓國議員室對此進行辟謠表示,“沒有發出過這種郵件”,并囑咐不要打開該郵件,因為有詐騙的危險。韓國議員室的安全專家對該郵件進行分析發現,該郵件和朝鮮黑客一直使用的算法非常相似,而且攻擊方式也使用了朝鮮最近經常使用的操作系統。[2018/2/1]

該步為攻擊者成功最重要的一步,如果受害者掃描了盜幣二維碼并將進行了轉賬,則表示轉賬成功;反之受害者未掃描二維碼或者轉賬,則攻擊失敗。

所以這里攻擊者可能會采用多種方式誘導受害者進行掃碼轉賬,常見的誘導方式如下:

攻擊者在交易所進行交易時,將盜幣二維碼發送給用戶,防范不高的用戶就會進行轉賬;

惡意空投,偽造成可以獲取空投的二維碼,誘導用戶進行轉賬;

熟人作案,直接將二維碼發送給好友,在毫無防備的情況基本都會轉賬;

第四步:受害者用戶掃描二維碼進行轉賬

該步為受害者用戶進行的操作,在攻擊者誘導用戶同意掃碼二維碼轉賬后,會收到如下二維碼:

用戶使用TokenPocket錢包進行掃碼,會得到如下頁面:

這里用戶的初衷是給二維碼進行轉賬,但這里的需要注意的細節是,當用戶輸入轉賬數目進行發送時,這里執行的操作其實并不是轉賬transfer,而是授權approve,如下頁面:

我們可以在頁面端更清楚看到此步執行的交易詳情,如下圖:

這里可清楚看到,掃碼點擊發送交易后,這里請求方法為approve,授權的地址為TMmunHQsjSdUKZT1suksWBM7n6jVWkUGwL,授權的金額為9000000000,確定該筆交易后,攻擊者地址就可轉走用戶錢包中9000000000額度的USDT,當然前提是用戶錢包有這么多資金,只有用戶錢包有不超過9000000000枚USDT,均可以轉出。鏈上的這筆授權交易可查詢到:

第五步:攻擊者通過后臺提取受害者用戶資金

該步為攻擊者的最后一步,也就是將用戶授予的USDT取出,如下圖:

用戶掃碼進行轉賬后(實際是授權),攻擊者后臺會顯示用戶目前錢包授權的USDT數目,這里可以看到用戶錢包USDT余額為1枚,此時攻擊者進行歸集,也就是調用transferFrom將資金轉入自己的錢包,如下圖,進行3U和1U的兩筆測試,最終歸集回來會被平臺扣掉10%手續費:

至此,攻擊完成,攻擊者盜走受害者錢包中的其余USDT。這里只是對一個用戶進行測試,攻擊者實際詐騙金額遠遠比這個多。整個盜幣事件能成功的原因只是因為二維碼中的approve授權,而用戶如果轉賬時細心查看交易詳情,可能會及時發現此筆交易的貓膩,從而保護自己的資金安全。

通過調查,我們了解到,目前這種掃描二維碼進行盜幣的方法已經被規模化,不僅支持TRON鏈還支持ETH鏈,形成一個小型產業鏈:

技術專門負責開發程序并搭建自動化平臺,此平臺可自動生成釣魚二維碼,生成代理賬戶,管理員自動歸集受害者錢包資產;

代理專門負責推廣平臺生成的釣魚二維碼,然后讓更多人來掃描授權,成功后可獲得分紅;

管理員坐收漁利,將成功授權的錢包資產轉走,并分紅給代理(上面說的平臺扣掉10%手續費就是給代理分紅了);

管理員將盜走的資產轉移到其他交易平臺進行資產兌換洗白。

代碼分析

這里我們從代碼層面分析一下原理,其實很簡單:

首先用戶收到一個轉賬二維碼,掃描之后會到這個頁面:

在這個頁面中,輸入轉賬金額,當點擊這個發生按鈕時,會觸發一個js操作,如下:

這個js中就明顯發現,這里不是transfer而是一個approve操作。

當授權成功后,這個平臺后臺可自動進行歸集,也就是轉賬受害者錢包中的錢,通過transferfrom方法。

所以,整個過程,全自動化完成。

上面所有的過程都是針對USDT的盜幣過程分析,其實攻擊者可以針對任何合約Token進行攻擊,只需要修改合約Token的地址以及abi即可。

為了廣大幣圈用戶能切實保護好資金的資產,對于以上盜幣事件,零時科技安全團隊給出以下建議:

安全建議

不給不信任的二維碼掃描轉賬;

給他人轉賬時需注意轉賬操作是否為預期操作;

不要給未經審計的項目輕易授權錢包;

陌生電話要警惕,在不確定身份的前提下及時掛斷;

不要將私鑰導入未知的第三方網站;

領取空投需確認項目真實性。

Tags:USDUSDTSDTTRASFUSD價格imtoken里的usdt提現人民幣教程BABYUSDTtranchess幣

BTC
加密貨幣:速覽支付巨頭的加密貨幣征途:Visa、MasterCard、PayPal 與 Square_TER

全球支付巨頭們正在積極布局加密貨幣,希望能夠吃下這個行業早期快速發展的紅利。2021 年 7 月 16 日,Square 首席執行官 Jack Dorsey 在推特上表示 Square 將開設一.

1900/1/1 0:00:00
區塊鏈:提質增效 “數字能源”與“雙碳”目標偕行_虛擬資產怎么關閉

近日,隨著相關配套政策舉措漸次落地,數字化生產、數字化運營和數字化生活正在成為我國社會的新常態.

1900/1/1 0:00:00
數字資產:美國基礎設施法案將給加密行業帶來巨額稅賦打擊:行業人士表示將全力反對_加密貨幣

在一份尚未公布的兩黨基礎設施方案中,埋藏著對加密貨幣交易的全面打擊,這可能會為美國政府帶來大量稅收,并給在新冠疫情期間蓬勃發展的金融科技行業帶來嚴重的焦慮情緒.

1900/1/1 0:00:00
加密貨幣:為何穩定幣再次處于風口浪尖?_reth幣上幾個交易所

穩定幣已經存在了大約 7 年時間,但關于它的討論從未像最近幾周這樣熱烈,不僅在加密貨幣領域,在監管機構和傳統市場投資者之間也是如此.

1900/1/1 0:00:00
ALI:2021年第二季度BGA區塊鏈游戲報告_區塊鏈

在 2021 年第二季度,在游戲化金融、Wax 區塊鏈和 Axie Infinity 的成功推動下,區塊鏈驅動的游戲已經吸引了更廣泛的受眾.

1900/1/1 0:00:00
區塊鏈:擁抱還是禁止?穩定幣監管頗費思量_穩定幣

穩定幣作為加密貨幣的一種形態,因錨定法幣、幣值穩定等特點,在數字貨幣市場有著獨特的作用和價值。近年來,隨著加密貨幣市場的發展,穩定幣發行也在加速,與美元掛鉤的主流穩定幣USDT、USDC等總市值.

1900/1/1 0:00:00
ads