區塊鏈:黑客通過這些方法盜取數字資產 看看你是否中招？_POL

前言

當前區塊鏈技術和應用尚處于快速發展的初級階段，面臨的安全風險種類繁多，從區塊鏈生態應用的安全,到智能合約安全,共識機制安全和底層基礎組件安全,安全問題分布廣泛且危險性高,對生態體系,安全審計,技術架構,隱私數據保護和基礎設施的全局發展提出了全新的考驗.

PART01

黑客們是如何竊取錢包資金呢?

“偽裝客服騙取私鑰”

1.攻擊者偽裝為客戶潛伏在社群中

2.當有用戶出現轉賬或者提取收益求助時，攻擊者及時聯系用戶協助其處理

3.通過耐心的解答，發送偽裝的專業工單系統，讓用戶輸入助記詞解決其交易異常

4.攻擊者拿到私鑰后盜取資產，拉黑用戶

黑客通過Poly Network在數條鏈上增發十多種資產:7月2日消息，跨鏈互操作協議 Poly Network 疑似再度被黑客攻擊，據吳說統計，黑客通過 Poly Network在數條鏈上增發資產，影響資產多達數十種。

在 Metis 上增發了 99,999,184 BNB 和 100 億 BUSD；

在 Heco 上增發了 999.8127T SHIB、87,579,118 COW 和 999,998,434 OOE；

在 Polygon 上增發了 636,643,868 STACK、88,640,563 GM 和 2,175,053 03；

在 Ethereum 上增發了 378,028371 STACK、82,854,568 XTM和11,026,341 SPAY；

在 Avalanche 上增發了 89,383,712 GM；

在 BSC 上增發了 8,882,911 METIS、926,160,132 DOV、978,102,855 SLD 等資產。

目前該名黑客已通過部分增發資產出售獲利。需要注意的是，Poly Network 流動性不足，不少巨額資產如BNB 與 BUSD 應無法跨鏈流出。2021年 PolyNetwork遭黑客盜幣超過 6 億美金，成為 DeFi 歷史上最大的盜幣案，隨后在與黑客溝通后返還資產。[2023/7/2 22:13:03]

“掃描惡意二維碼被盜”

Cosmos聯創：BNB Chain黑客通過RangeProof偽造Merkle證明實現攻擊:10月9日消息，Cosmos聯合創始人Ethan Buchman對BSC跨鏈橋攻擊事件發表看法表示，此次事件問題的關鍵在于黑客能夠偽造Merkle證明。這本不應該，因為Merkle證明應該提供高完整性。區塊鏈輕客戶端（和IBC）建立在Merkle證明之上，許多區塊鏈將數據存儲在Merkle樹中，這樣就可以生成證明，證明某些數據包含在樹中。

Cosmos鏈使用一種稱為IAVL的Merkle樹，IAVL存儲庫公開了一個使用范圍證明“RangeProof”的API，但事實證明RangeProof的內部工作存在嚴重錯誤。IAVL RangeProof的代碼問題在于其允許填充InnerNode中的Left和Right字段，攻擊者基本上利用了將信息粘貼到Right字段中的優勢，這些信息從未得到驗證，也從未影響哈希計算，以使驗證者相信某些葉節點是樹的一部分。因此，他們成功地偽造了Merkle證明。[2022/10/9 12:50:21]

1.攻擊者將預先準備好的惡意二維碼發送給用戶；

Optimism黑客通過鏈上消息表示將歸還1800萬枚OP:6月10日消息，據Optimism鏈上數據顯示，2000萬枚OP丟失事件的黑客地址0x60B28637879B5a09D21B68040020FFbf7dbA5107向Vitalik錢包再次發送一筆交易，并留言稱，“你好，Vitalik，我相信你，只是想知道你對此的看法。順便說一句，請幫助驗證退款地址，我會在這之后退還剩余的OP Token。你好Wintermute，對不起，我只有1800萬枚OP，這是我可以歸還的。保持樂觀！”[2022/6/10 4:16:45]

2.攻擊者誘導用戶使用錢包掃描二維碼進行小額測試轉賬；

3.用戶輸入小額或者指定金額后，確認轉賬交易；

4.隨后用戶錢包大量USDT丟失。

黑客通過比特幣錢包Electrum軟件漏洞獲取1600萬美元比特幣:GitHub用戶“1400BitcoinStolen”8月30日表示，其比特幣巨額款項現已消失在黑客攻擊中。據悉，該用戶使用的是比特幣錢包Electrum軟件，上次訪問是在2017年。此后Electrum已經發布了安全更新，但該用戶一直沒有安裝，因此他這回轉移比特幣之前，被提示更新和修補潛在問題。但當他根據提示操作的時候，該軟件利用一個漏洞連接了黑客的服務器，1400枚BTC（價值1600萬美元）隨即從他的錢包中被取出，存入了黑客的錢包中。軟件工程師Ben Kaufman對此解釋說，因為Electrum是一個“輕量級客戶端”，這意味著軟件必須先連接到公共服務器，然后才能連接到區塊鏈，而黑客則可以利用這個過程。（newsbtc）[2020/8/31]

“貪小便宜，隨意領取空投被盜”

1.攻擊者偽造成各種交易平臺，DeFi，NFT等區塊鏈項目；

2.攻擊者通過媒體社群發起可明顯薅羊毛的空投活動；

3.攻擊者誘導用戶使用錢包掃描二維碼領取空投；

4.用戶掃碼后點擊領取空投；

5.隨后受害者賬戶大量USDT被轉走

“在線云平臺賬號被盜”

多數人將秘鑰/助記詞通過截屏、拍照或者拷貝粘貼，然后同步保存在云端，例如通過郵件、QQ、微信、網盤、筆記等進行傳輸或存儲，攻擊者會通過攻擊這些云端平臺賬號，從而盜取私鑰/助記詞。

目前零時科技安全團隊已經收到大量用戶反饋稱將私鑰/助記詞保存在網盤或者筆記中，由于平臺賬號被盜，導致錢包資產被盜。

“熱錢包服務器被攻擊”

很多區塊鏈應用都會使用到熱錢包，熱錢包中存有大量數字資產，由于熱錢包服務器為進行安全加固，或者運維不當，安全意識缺失，導致熱錢包服務器被黑客攻擊，導致熱錢包中數字資產被盜，甚至通過熱錢包服務器作為跳板，攻擊其他錢包。

“被身邊人竊取私鑰”

日防夜防，家賊難防。被身邊熟人無意間竊取錢包私鑰/助記詞，最終導致資產丟失。

“網絡釣魚竊取私鑰”

攻擊者通過克隆一個知名區塊鏈項目，通過精心設計成同原始真實項目一模一樣的假項目釣魚網站，對于精心設計的這個釣魚網站，普通用戶無法辨別真假，通過各種渠道發布這些信息，以假亂真，這樣即可輕易引誘用戶訪問釣魚網站并引導他們輸入帳戶密碼或密鑰，盜取用戶錢包中數字資產。

“電信詐騙”

近年來，電信詐騙事件突發，詐騙手段越發高明，由于互聯網的大量信息泄露，攻擊者通過郵件，短信，電話對受害者進行詐騙，例如打著區塊鏈幌子的中心化詐騙項目，殺豬盤項目，高額收益的投資項目等，誘騙受害者投資，導致最終血本無歸。

“惡意軟件”

黑客以某些加密貨幣資源的名義，將應用程序添加到GooglePlay商店，或者通過網絡釣魚的方式，欺騙用戶下載改應用程序，該應用程序實則為一個惡意軟件，當下載、啟動該應用程序后，攻擊者即可控制受害者電話或者手機，然后允許攻擊者竊取帳戶憑據，私鑰等更多信息，導致錢包被盜。

“通過公共Wi-Fi進行攻擊”

在火車站、機場、酒店等人流量較大的公共區域，Wi-Fi網絡尤其不安全，受害者用戶的設備能夠連接到與黑客相同的的Wi-Fi網絡中，甚至黑客會專門搭建一些惡意Wi-Fi熱點供大家使用，此時，受害者用戶通過網絡下載或發送的所有信息，在一定情況下，都可被攻擊者攔截查看，包括加密貨幣錢包私鑰/助記詞等。

PART02

如果密鑰丟了怎么辦?

1、?是否還留有備份助記詞私鑰，盡快重新導入助記詞，將資產轉移到其他錢包；

2、?確認被丟失的錢包中是否有在抵押或者鎖倉的資產，計算好時間，等這部分資產解鎖后第一時間轉移；

3、?如果被丟失錢包資產已經被轉移，使用專業資金監控小程序，進行資金實時監控，第一時間了解資金狀況，同時尋求幫助。

4、?可以聯系專業的安全團隊進行協助，找回秘鑰及丟失的資產。

PART03

關于數字錢包盜幣現象零時科技安全建議

不給不信任的二維碼掃描轉賬；

不要給未經審計的項目輕易授權錢包；

陌生電話要警惕，在不確定身份的前提下及時掛斷；

不要將私鑰導入未知的第三方網站；

不貪小便宜，領取空投需確認項目真實性；

不要只依賴電子設備記錄助記詞私鑰；

分多份保存，避免因為物理損壞、丟失等造成不可預料的后果；

不要輕易安裝不常使用的移動應用程序；

為智能手機上的所有應用程序添加雙因素授權標識，開啟兩步驗證

?一定要檢查是否與官方網站上的應用程序鏈接一致

Tags：區塊鏈MERERKPOL區塊鏈專業是什么意思GROOMER價格PowerKeeppoll幣小黃鴨哪個交易所

Gate交易所