慢雾:空白支票eth_sign钓鱼分析

酷币下载 来源: (阅读:0)

近期,我们发现多起关于eth_sign签名的钓鱼事件。钓鱼网站1:https://moonbirds-exclusive

;//RLPencodeconstrawTransaction=rlp

;//RLPencodeconstsignedRawTransaction=rlp.encode();而如上所述,eth_sign方法可以对任意哈希进行签名,那么自然可以对我们签名后的bytes32数据进行签名。因此攻击者只需要在我们连接DApp后获取我们的地址对我们账户进行分析查询,即可构造出任意数据让我们通过eth_sign进行签名。这种钓鱼方式对用户会有很强的迷惑性,以往我们碰到的授权类钓鱼在MetaMask会给我直观的展示出攻击者所要我们签名的数据。如下所示,MetaMask展示出了此钓鱼网站诱导用户将NFT授权给恶意地址。

慢雾:区块链因黑客攻击损失总金额已超300亿美元:金色财经报道,据慢雾统计数据显示,自2012年1月以来,区块链黑客造成的损失总金额约为30,011,604,576.24美元;黑客事件总数达到1101起。

其中Exchange、ETH Ecosystem、Bridge是在黑客攻击中损失最大的类别,损失金额分别为10,953,323,803.39美元、3,123,297,416.28美元,2,005,030,543.30美元。另外合约漏洞、Rug Pull、闪电贷攻击是最常见的攻击方式,分别发生黑客事件137起,106起,87起。[2023/7/7 22:24:09]

慢雾:Avalanche链上Zabu Finance被黑简析:据慢雾区情报,9月12日,Avalanche上Zabu Finance项目遭受闪电贷攻击,慢雾安全团队进行分析后以简讯的形式分享给大家参考:

1.攻击者首先创建两个攻击合约,随后通过攻击合约1在Pangolin将WAVAX兑换成SPORE代币,并将获得的SPORE代币抵押至ZABUFarm合约中,为后续获取ZABU代币奖励做准备。

2.攻击者通过攻击合约2从Pangolin闪电贷借出SPORE代币,随后开始不断的使用SPORE代币在ZABUFarm合约中进行`抵押/提现`操作。由于SPORE代币在转账过程中需要收取一定的手续费(SPORE合约收取),而ZABUFarm合约实际接收到的SPORE代币数量是小于攻击者传入的抵押数量的。分析中我们注意到ZABUFarm合约在用户抵押时会直接记录用户传入的抵押数量,而不是记录合约实际收到的代币数量,但ZABUFarm合约在用户提现时允许用户全部提取用户抵押时合约记录的抵押数量。这就导致了攻击者在抵押时ZABUFarm合约实际接收到的SPORE代币数量小于攻击者在提现时ZABUFarm合约转出给攻击者的代币数量。

3.攻击者正是利用了ZABUFarm合约与SPORE代币兼容性问题导致的记账缺陷,从而不断通过`抵押/提现`操作将ZABUFarm合约中的SPORE资金消耗至一个极低的数值。而ZABUFarm合约的抵押奖励正是通过累积的区块奖励除合约中抵押的SPORE代币总量参与计算的,因此当ZABUFarm合约中的SPORE代币总量降低到一个极低的数值时无疑会计算出一个极大的奖励数值。

4.攻击者通过先前已在ZABUFarm中有进行抵押的攻击合约1获取了大量的ZABU代币奖励,随后便对ZABU代币进行了抛售。

此次攻击是由于ZabuFinance的抵押模型与SPORE代币不兼容导致的,此类问题导致的攻击已经发生的多起,慢雾安全团队建议:项目抵押模型在对接通缩型代币时应记录用户在转账前后合约实际的代币变化,而不是依赖于用户传入的抵押代币数量。[2021/9/12 23:19:21]

而当攻击者使用eth_sign方法让用户签名时,如下所示,MetaMask展示的只是一串bytes32的哈希。

分析 | 慢雾:攻击者拿下了DragonEx尽可能多的权限 攻击持续至少1天:据慢雾安全团队的链上情报分析,从DragonEx公布的“攻击者地址”的分析来看,20 个币种都被盗取(但还有一些DragonEx可交易的知名币种并没被公布),从链上行为来看攻击这些币种的攻击手法并不完全相同,攻击持续的时间至少有1天,但能造成这种大面积盗取结果的,至少可以推论出:攻击者拿下了DragonEx尽可能多的权限,更多细节请留意后续披露。[2019/3/26]

总结

本文主要介绍eth_sign签名方式的钓鱼手法。虽然在签名时MetaMask会有风险提示,但若结合钓鱼话术干扰,没有技术背景的普通用户很难防范此类钓鱼。建议用户在遇到此类钓鱼时提高警惕,认准域名,仔细检查签名数据,必要时可以安装安全插件,如:RevokeCash、ScamSniffer等,同时注意插件提醒。原地址

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

标签:SIGNIGNSIGETHHypersign Identity TokenREIGN币SIGNATether EUR

银河链

XRPV神新书《Proof of Stake》精读解析(二)

原书章节 全书的引言内容摘要 这本书是要介绍VitalikButerin这位作者。神早期从事比特币编辑工作,多年研究、访谈、写作后,他成立了以太坊。以太坊当前和未来长期都会存在乌托邦与反乌托邦的理念矛盾.

Pol币浅谈加密原生消费产品的未来:Web3数字身份

如果你有一个朋友通过Bumble,马上要进行第一次约会。她通常会说,"我已经在网上查过了,他们在大学时是足球校队的成员,在一家初创公司工作,有一只非常可爱的拉布拉多犬,名叫Dusty,7个月前在离我几英里的地方买了房子.

[0:0ms0-0:937ms