事件背景
5月16日凌晨,當我在尋找家人的時候,從項目官網的邀請鏈接加入了官方的Discord服務器。在我加入服務器后立刻就有一個"機器人"(Captcha.bot)發來私信要我進行人機驗證。這一切看起來相當的合理。我也點擊了這個驗證鏈接進行查看。
釣魚手法分析
我訪問"機器人"(Captcha.bot)發來的鏈接后,是有讓我進行人機驗證的,但是當我驗證通過后,發現它要求喚起我的小狐貍(MetaMask)錢包,喚起的錢包界面挺真實的,如下圖所示,但是我看到了錢包的地址欄顯示"about:blank"這引起了我的警惕,如果是插件喚起的就不會有這個"about:blank"的地址欄了。接下來我隨意輸入了密碼,并且通過審查元素查看,確定這個小狐貍(MetaMask)界面是由虛假網站"https://captcha.fm/"彈出的,并不是真實的錢包界面,于是我開始調試這個錢包。
慢霧:昨日MEV機器人攻擊者惡意構造無效區塊,建議中繼運營者及時升級:金色財經報道,慢霧分析顯示,昨日MEV機器人被攻擊的問題原因在于即使信標區塊不正確,中繼仍將有效載荷(payload)返回給提議者,導致了提議者在另一個區塊被最終確定之前就能訪問區塊內容。攻擊者利用此問題,惡意構造了無效的區塊,使得該區塊無法被驗證,中繼無法進行廣播(狀態碼為202)從而提前獲得交易內容。mev-boost-relay昨日已緊急發布新版本緩解此問題,建議中繼運營者及時升級中繼。
據此前報道,昨日夾擊MEV機器人的惡意驗證者已被Slash懲罰并踢出驗證者隊列。[2023/4/4 13:43:37]
慢霧:已凍結部分BitKeep黑客轉移資金:12月26日消息,慢霧安全團隊在社交媒體上發文表示,正在對 BitKeep 錢包進行深入調查,并已凍結部分黑客轉移資金。[2022/12/26 22:08:58]
在隨意輸入密碼后,這個虛假的錢包界面進入到"SecurityCheck"界面,要求我輸入助記詞進行驗證。注意,輸入的密碼和和助記詞會被加密發送到惡意站點的服務端。
通過分析域名可以發現,這惡意域名captcha.fm解析到了172.67.184.152和104.21.59.223,但是都是托管在cloudflare上,只能是反手一個舉報了。
慢霧:跨鏈互操作協議Nomad橋攻擊事件簡析:金色財經消息,據慢霧區消息,跨鏈互操作協議Nomad橋遭受黑客攻擊,導致資金被非預期的取出。慢霧安全團隊分析如下:
1. 在Nomad的Replica合約中,用戶可以通過send函數發起跨鏈交易,并在目標鏈上通過process函數進行執行。在進行process操作時會通過acceptableRoot檢查用戶提交的消息必須屬于是可接受的根,其會在prove中被設置。因此用戶必須提交有效的消息才可進行操作。
2. 項目方在進行Replica合約部署初始化時,先將可信根設置為0,隨后又通過update函數對可信根設置為正常非0數據。Replica合約中會通過confirmAt映射保存可信根開始生效的時間以便在acceptableRoot中檢查消息根是否有效。但在update新根時卻并未將舊的根的confirmAt設置為0,這將導致雖然合約中可信根改變了但舊的根仍然在生效狀態。
3. 因此攻擊者可以直接構造任意消息,由于未經過prove因此此消息映射返回的根是0,而項目方由于在初始化時將0設置為可信根且其并未隨著可信根的修改而失效,導致了攻擊者任意構造的消息可以正常執行,從而竊取Nomad橋的資產。
綜上,本次攻擊是由于Nomad橋Replica合約在初始化時可信根被設置為0x0,且在進行可信根修改時并未將舊根失效,導致了攻擊可以構造任意消息對橋進行資金竊取。[2022/8/2 2:52:59]
慢霧:DOD合約中的BUSD代幣被非預期取出,主要是DOD低價情況下與合約鎖定的BUSD將產生套利空間:據慢霧區情報,2022 年 3 月 10 日, BSC 鏈上的 DOD 項目中鎖定的 BUSD 代幣被非預期的取出。慢霧安全團隊進行分析原因如下:
1. DOD 項目使用了一種特定的鎖倉機制,當 DOD 合約中 BUSD 數量大于 99,999,000 或 DOD 銷毀數量超過 99,999,000,000,000 或 DOD 總供應量低于 1,000,000,000 時將觸發 DOD 合約解鎖,若不滿足以上條件,DOD 合約也將在五年后自動解鎖。DOD 合約解鎖后的情況下,用戶向 DOD 合約中轉入指定數量的 DOD 代幣后將獲取該數量 1/10 的 BUSD 代幣,即轉入的 DOD 代幣數量越多獲得的 BUSD 也越多。
2. 但由于 DOD 代幣價格較低,惡意用戶使用了 2.8 個 BNB 即兌換出 99,990,000 個 DOD。
3. 隨后從各個池子中閃電貸借出大量的 BUSD 轉入 DOD 合約中,以滿足合約中 BUSD 數量大于 99,999,000 的解鎖條件。
4. 之后只需要調用 DOD 合約中的 swap 函數,將持有的 DOD 代幣轉入 DOD 合約中,既可取出 1/10 轉入數量的 BUSD 代幣。
5. 因此 DOD 合約中的 BUSD 代幣被非預期的取出。
本次 DOD 合約中的 BUSD 代幣被非預期取出的主要原因在于項目方并未考慮到 DOD 低價情況下與合約中鎖定的 BUSD 將產生套利空間。慢霧安全團隊建議在進行經濟模型設計時應充分考慮各方面因素帶來的影響。[2022/3/10 13:48:45]
分析惡意賬號
下載保存好惡意站點的源碼后,我將情報發給了項目方團隊,并開始分析這次釣魚攻擊的賬號。由于我剛加入家人群,就收到了下面的這個地址發來的驗證消息。經過分析,這個賬號是一個偽裝成Captcha.bot機器人的普通賬號,當我加入到官方服務器后,這個假Captcha.bot機器人立刻從官方服務器私發我假的人機驗證鏈接,從而引導我輸入錢包密碼和助記詞。
我在相關頻道里面搜索了Captcha.bot,發現有好幾個假Captcha.bot,于是將這幾個賬號也一并同步給了項目方團隊,項目方團隊很給力,也很及時地進行了處理,把這幾個假Captcha.bot刪除了,并一起討論了可能的防范方式。
再次收到釣魚鏈接
事情還沒結束,第二天早上又一位慢霧的小伙伴加入到官方Discord服務器中,再次收到惡意賬戶發來的私信,里面包含著一個釣魚鏈接,不同的是,這次的釣魚者直接偽裝成官方的賬戶發送私信。
這次釣魚者講的故事是在鏈接中導入助記詞進行身份驗證,然而不是采用假小狐貍(MetaMask)的界面來欺騙用戶,而是直接在頁面上引導用戶輸入助記詞了,這個釣魚手法就沒這么真。釣魚網站的域名和IP是app.importvalidator.org47.250.129.219,用的是阿里云的服務,同樣反手一個舉報。
釣魚防范方式
各種釣魚手法和事件層出不窮,用戶要學會自己識別各種釣魚手法避免被騙,項目方也要加強對用戶安全意識的教育。用戶在加入Discord后要在隱私功能中禁止服務器中的用戶進行私聊。同時用戶也需要提高自己的安全意識,學會識別偽裝MetaMask的攻擊手法,網頁喚起MetaMask請求進行簽名的時候要識別簽名的內容,如果不能識別簽名是否是惡意的就拒絕網頁的請求。在參與Web3項目的時候無論何時何地都不要在網頁上導入私鑰/助記詞。盡可能地使用硬件錢包,由于硬件錢包一般不能直接導出助記詞或私鑰,所以可以提高助記詞私鑰被盜門檻。項目方團隊也要時刻關注社區用戶的反饋,及時在社區Discord服務器中刪除惡意賬戶,并在用戶剛加入Discord服務器時進行防釣魚的安全教育。Discord隱私設置和安全配置參考鏈接:https://discord.com/safety/360043857751-Four-steps-to-a-super-safe-accounthttps://support.discord.com/hc/en-us/articles/217916488-Blocking-Privacy-Settings-
1.Vitalik等論文摘要很顯然,上文那兩個所謂的相關實例都還是比較理想化的概念。本文將于第三部分舉出一些現有的比較具有代表性的相關去中心化項目,各位讀者可以通過這些例子對相關內容予以把握.
1900/1/1 0:00:00作者|秦曉峰出品|Odaily星球日報 過去兩周,Terra與UST史詩級崩盤,市值蒸發超500億美元,受到市場矚目。不僅散戶投資者損失慘重,不少主流機構和加密名人也遭受重創.
1900/1/1 0:00:00Odaily星球日報譯者|Moni 從最近LUNA崩盤事件引發的一連串行業問題不難看出,加密市場正在觸底,而在這過程中,幾乎沒有哪個資產可以幸免.
1900/1/1 0:00:006月9日,據加密社區用戶@0xEthanDG透露,電音先驅、NFT巨鯨史蒂夫·青木已購買了兩個“哥布林”GoblintownNFT,這兩個NFT都具有較為罕見的特征.
1900/1/1 0:00:00本文講述加密貨幣在美國發展的現狀,民主黨和共和黨為規范加密貨幣的發展,而出臺的各項立法。共和黨傾向于使加密貨幣合法化,注重加密貨幣和傳統銀行相聯系,允許加密貨幣和法幣兌換,允許用加密貨幣繳稅等.
1900/1/1 0:00:00本文來自TheSeeDAO。 并非每一位加入你的Discord服務器的人都是你的DAO成員,并且他們也不應該是。不同級別的社區參與度對應著不同的權限和期望,混淆這些對于社區是有害的.
1900/1/1 0:00:00