Métodos comuns de phishing e sugestões de prevenção de segurança em Web3
1. Análise das técnicas comuns de pesca
1. Permitir phishing de assinatura off-chain
Permit é uma função estendida para autorização sob o padrão ERC-20. Simplificando, você pode assinar para aprovar outros endereços a mover o seu Token. O princípio é que você use uma assinatura para indicar que o endereço autorizado pode usar os seus tokens através desta assinatura, e depois o endereço autorizado leva a sua assinatura para realizar a interação de permissão on-chain e obter a autorização de chamada e pode transferir o seu ativo. A pesca de assinaturas off-chain geralmente é dividida em três etapas:
(1) O atacante forja links de phishing ou sites de phishing para induzir os usuários a assinar através da carteira (sem interação de contrato, sem na cadeia).
Objeto de assinatura: DAI/USDC/WETH e outros tokens ERC20 (aqui está DAI)
holder:// endereço de assinatura
gastador:// endereço de phishing
nonce:0
Prazo de validade:1988064000 // Tempo de expiração
permitido:verdadeiro
Se assinado, o pescador obterá a assinatura (um período de valores r, s, v) usada para roubar DAI/USDC/WETH e outros tokens ERC20 (aqui, DAI) da vítima. Quando o pescador interage com a função de permissão a ser usada).
(2) O atacante chama a função de permissão para concluir a autorização.
https://etherscan.io/tx/0x1fe75ad73f19cc4c3b658889dae552bb90cf5cef402789d256ff7c3e091bb662
(3) O atacante chama a função transferFrom para transferir os ativos da vítima e completar o ataque.
Deixe-me primeiro explicar a diferença entre transferir e transferirDe. Quando transferimos diretamente o ERC20, geralmente chamamos a função de transferência no contrato ERC20, e transferirDe é geralmente usado ao autorizar um terceiro a transferir o ERC20 em nossa carteira para outros endereços.
https://etherscan.io/tx/0x9c02340896e238fc667c1d84fec78af99b1642c986fe3a81602903af498eb938
Explicação adicional: Esta assinatura é uma assinatura off-chain sem gás. Depois que o atacante a obtém, ele realizará interações on-chain de permitir e transferir, para que o registro de autorização não possa ser visto no registro on-chain do endereço da vítima. No endereço do atacante pode ser visto. Em termos gerais, esta assinatura é de uso único e não cria riscos de phishing repetidos ou contínuos.
2. Permitir phishing de assinatura fora da cadeia
Permit2 é um contrato inteligente lançado pela Uniswap no final de 2022 para a conveniência dos utilizadores. É um contrato de aprovação de token que permite a autorização de token ser partilhada e gerida em diferentes DApps. No futuro, à medida que mais e mais projetos forem integrados com o Permit2, o contrato Permit2 pode alcançar uma experiência mais unificada de gestão de autorizações no ecossistema DApp e poupar custos de transação aos utilizadores.
Antes do surgimento do Permit2, a troca de tokens na Uniswap exigia autorização (Aprovar) e depois troca (Trocar), o que implicava duas operações e as taxas de gás de duas transações. Após o lançamento do Permit2, os utilizadores podem autorizar todas as suas quotas para o contrato Permit2 da Uniswap de uma só vez, e cada resgate subsequente apenas requer uma assinatura fora da cadeia.
Embora o Permit2 melhore a experiência do usuário, é seguido por ataques de phishing direcionados às assinaturas do Permit2. Semelhante ao phishing de assinatura off-chain do Permit, o Permit2 também é um phishing de assinatura off-chain. Este ataque é principalmente dividido em quatro etapas:
(1) O requisito é que a carteira do usuário tenha usado o Uniswap antes de ser vítima de phishing e tenha autorizado o limite de token ao contrato Permit2 do Uniswap (o Permit2 permitirá que o usuário autorize o saldo total do token por padrão).
https://etherscan.io/tx/0xd8f0333b9e0db7175c38c37e490379bde5c83a916bdaa2b9d46ee6bff4412e8f
(2) O atacante forja links de phishing ou páginas de phishing para induzir os utilizadores a assinar. O atacante de phishing obtém a informação de assinatura necessária, que é semelhante a um phishing de assinatura off-chain.
(3) O atacante chama a função de autorização do contrato Permit2 para completar a autorização.
https://etherscan.io/tx/0xd8c3f55dfbc8b368134e6236b296563f506827bd5dc4d6c0df39851fd219d658
(4) O atacante chama a função transferFrom do contrato Permit2 para transferir os ativos da vítima para fora e completar o ataque.
https://etherscan.io/tx/0xf6461e003a55f8ecbe919a47b3c0dc6d0f068e48a941658329e35dc703138486
Nota complementar: Geralmente existem vários endereços onde os atacantes recebem ativos. Normalmente, um dos destinatários com a maior quantidade é o atacante que implementa phishing, e os outros são endereços negros que fornecem phishing como serviço (provedores de DaaS de phishing como serviço), como PinkDrainer, InfernoDrainer, AngelDrainer, etc.).
3. eth_sign on-chain pesca de assinaturas cegas
eth_sign é um método de assinatura aberto que pode assinar qualquer hash. O atacante só precisa construir quaisquer dados maliciosos que precisam ser assinados (como transferência de tokens, chamada de contrato, aquisição de autorização, etc.) e induzir o usuário a assinar através do eth_sign. O ataque pode ser concluído.
MetaMask irá emitir um aviso de risco ao assinar eth_sign. Carteiras Web3 como imToken e OneKey desativaram esta função ou forneceram avisos de risco. Recomenda-se que todos os fabricantes de carteiras desativem este método para evitar que os utilizadores sejam atacados devido à falta de consciência de segurança ou acumulação técnica necessária.
4. personal_sign/signTypedData on-chain signature phishing
personal_sign e signTypedData são métodos de assinatura comumente usados. Normalmente, os usuários precisam verificar cuidadosamente se o iniciador, o nome de domínio, o conteúdo da assinatura, etc. são seguros. Se forem arriscados, devem estar extra vigilantes.
Além disso, se o personal_sign e o signTypedData forem usados como “assinaturas cegas” como acima, o utilizador não consegue ver o texto claro, o que facilita a utilização por grupos de phishing, o que também aumentará o risco de phishing.
5. Autorização de Phishing
Ao forjar um site malicioso ou pendurar um cavalo no site oficial do projeto, os atacantes induzem os utilizadores a confirmar operações como setApprovalForAll, Aprovar, Aumentar Aprovação e Aumentar Autorização, obter a autorização de operação de ativos do utilizador e cometer roubo.
(1) setApprovalForAll
Tomando o incidente de phishing de cavalos PREMINT como exemplo, um ficheiro js (https://s3-redwood-labs.premint.xyz/theme/js/boomerang.min.js) no site do projeto foi injetado com código malicioso. Um ficheiro js malicioso (https://s3-redwood-labs-premint-xyz.com/cdn.min.js?v=1658050292559) será criado dinamicamente. O ataque é iniciado por este script malicioso.
Porque o utilizador não descobriu o risco a tempo, confirmou a operação setApprovalForAll e inadvertidamente vazou a autorização da operação para o ativo, resultando no roubo do ativo.
(2)Aprovar
Similar ao setApprovalForAll, o utilizador confirmou a operação Approve, expondo a autorização da operação para o ativo, resultando no roubo do ativo.
Aprovar Má Autorização:
https://etherscan.io/tx/0x4b0655a5b75a9c078653939101fffc1d08ff7e5c89b0695ca6db5998214353fa
O atacante transfere ativos através de transferFrom:
https://etherscan.io/tx/0x0dedf25777ff5483bf71e70e031aacbaf50124f7ebb6804beb17aee2c15c33e8
O princípio do ataque das funções de Aumentar Aprovação e Aumentar Permissão é semelhante a este. Por padrão, o limite superior do atacante para operar os tokens do endereço da vítima é 0. No entanto, após ser autorizado por estas duas funções, o atacante aumenta o limite para os tokens da vítima. limite de operação e, em seguida, a quantidade de tokens pode ser transferida.
(3) Aumentar Aprovação
Aumentar a Autorização Indevida de Aprovação:
https://etherscan.io/tx/0x7ae694080e2ad007fd6fa25f9a22ca0bbbff4358b9bc84cc0a5ba7872118a223
O atacante transfere ativos através do transferFrom:
https://etherscan.io/tx/0x15bc5516ed7490041904f1a4c594c33740060e0f0271cb89fe9ed43c974a7a69
(4)Aumentar Atribuição
Aumento da Franquia de Autorização Indevida:
https://etherscan.io/tx/0xbb4fe89c03d8321c5bfed612fb76f0756ac7e99c1efaf7c4d99d99f850d4de53
O atacante transfere ativos através de transferFrom:
https://etherscan.io/tx/0xb91d7b1440745aa07409be36666bc291ecc661e424b21b855698d488949b920f
6. Endereço de phishing para poluição
A poluição de endereços de phishing também é um dos métodos de phishing recentemente desenfreados. O atacante monitoriza transações na cadeia e depois forja endereços maliciosos com base no endereço do oponente nas transações históricas do utilizador-alvo. Normalmente, os primeiros 4 a 6 dígitos e os últimos 4 a 6 dígitos estão relacionados com o oponente correto. Os endereços de ambas as partes são os mesmos e, em seguida, esses endereços forjados maliciosos são usados para transferir pequenas quantias ou tokens sem valor para o endereço do utilizador-alvo.
Se o utilizador-alvo copiar o endereço do oponente a partir de ordens de transação históricas para transferência em transações subsequentes devido a hábitos pessoais, é muito provável que os ativos sejam transferidos erroneamente para um endereço malicioso devido ao descuido.
Em 3 de maio de 2024, 1155WBTC, no valor de mais de 70 milhões de dólares americanos, foi vítima de phishing devido ao método de phishing de poluição deste endereço.
Endereço correto: 0xd9A1b0B1e1aE382DbDc898Ea68012FfcB2853a91
Endereço malicioso: 0xd9A1C3788D81257612E2581A6ea0aDa244853a91
Transação normal:
https://etherscan.io/tx/0xb18ab131d251f7429c56a2ae2b1b75ce104fe9e83315a0c71ccf2b20267683ac
Poluição de endereços:
https://etherscan.io/tx/0x87c6e5d56fea35315ba283de8b6422ad390b6b9d8d399d9b93a9051a3e11bf73
Transação mal direcionada:
https://etherscan.io/tx/0x3374abc5a9c766ba709651399b6e6162de97ca986abc23f423a9d893c8f5f570
7. Phishing mais sutil, usando CREATE2 para contornar a detecção de segurança
Atualmente, várias carteiras e plug-ins de segurança têm implementado gradualmente lembretes visuais de risco para listas negras de phishing e métodos comuns de phishing, e também têm exibido informações de assinatura de forma cada vez mais completa, melhorando a capacidade dos usuários comuns de identificar ataques de phishing. No entanto, as tecnologias ofensivas e defensivas estão sempre competindo entre si e se desenvolvendo constantemente. Métodos de phishing mais furtivos também estão constantemente surgindo, portanto, precisamos estar mais vigilantes. Usar CREATE2 para contornar a detecção de lista negra de carteiras e plug-ins de segurança é um método relativamente comum recentemente.
Create2 é um opcode introduzido durante a atualização do Ethereum 'Constantinopla' que permite aos usuários criar contratos inteligentes no Ethereum. O opcode Create original gera um novo endereço com base no endereço e nonce do criador. Create2 permite que os usuários calculem o endereço antes da implantação do contrato. O Create2 é uma ferramenta muito poderosa para desenvolvedores Ethereum, permitindo interação contratual avançada e flexível, pré-cálculo de endereço de contrato baseado em parâmetros, transações off-chain e implantação e adaptação flexíveis de aplicativos distribuídos específicos.
Embora o Create2 traga benefícios, também cria novos riscos de segurança. O Create2 pode ser abusado para gerar novos endereços sem histórico de transações maliciosas, contornando a detecção de listas negras de carteiras e alertas de segurança. Quando uma vítima assina uma transação maliciosa, o atacante pode implantar o contrato em um endereço pré-computado e transferir os ativos da vítima para esse endereço, e este é um processo irreversível.
Características deste ataque:
(1) Permite a criação preditiva de endereços de contrato, permitindo que os atacantes enganem os utilizadores concedendo permissões antes de implementar o contrato.
(2) Uma vez que o contrato ainda não foi implementado no momento da autorização, o endereço de ataque é um novo endereço e a ferramenta de deteção não pode fornecer um aviso antecipado com base na lista negra histórica, o que tem maior capacidade de ocultação.
Aqui está um exemplo de phishing usando CREATE2:
https://etherscan.io/tx/0x83f6bfde97f2fe60d2a4a1f55f9c4ea476c9d87fa0fcd0c1c3592ad6a539ed14
Nesta transação, a vítima transferiu o sfrxETH no endereço para o endereço malicioso (0x4D9f77), que é um novo endereço de contrato sem quaisquer registos de transação.
Mas quando abre a transação de criação deste contrato, pode constatar que o contrato completou um ataque de phishing ao mesmo tempo que foi criado, transferindo ativos do endereço da vítima.
https://etherscan.io/tx/0x77c79f9c865c64f76dc7f9dff978a0b8081dce72cab7c256ac52a764376f8e52
Ao observar a execução desta transação, pode-se ver que 0x4d9f7773deb9cc44b34066f5e36a5ec98ac92d40 foi criado após chamar CREATE2.
Além disso, ao analisar os endereços relevantes do PinkDrainer, pode-se constatar que este endereço está a criar novos endereços de contrato para phishing através do CREATE2 todos os dias.
https://etherscan.io/address/0x5d775caa7a0a56cd2d56a480b0f92e3900fe9722#internaltx
2. Pesca como um Serviço
Os ataques de phishing estão a tornar-se cada vez mais rampantes e, devido aos enormes lucros ilegais, uma cadeia de indústria negra baseada em Drainer as a Service (DaaS) tem-se desenvolvido gradualmente. Os mais ativos incluem Inferno/MS/Angel/Monkey/Venom/Pink/Pussy/Medusa, etc., os atacantes de phishing compram estes serviços DaaS, construindo rapidamente e com baixo limiar milhares de websites de phishing, contas fraudulentas, etc., como um flagelo a invadir esta indústria, ameaçando a segurança dos ativos dos utilizadores.
Tome o Inferno Drainer, por exemplo, uma gangue de phishing notória que incorpora scripts maliciosos em diferentes websites. Por exemplo, eles distribuem seaport.js, coinbase.js e wallet-connect.js para se disfarçarem como funções populares do protocolo Web3 (Seaport, WalletConnect e Coinbase) para induzir os utilizadores a integrarem ou clicarem. Após receberem a confirmação do utilizador, eles transferirão automaticamente os ativos do utilizador para o endereço do atacante. Mais de 14.000 websites contêm scripts maliciosos do Seaport, mais de 5.500 websites contêm scripts maliciosos do WalletConnect, mais de 550 websites contêm scripts maliciosos do Coinbase, mais de 16.000 domínios maliciosos relacionados com o Inferno Drainer e mais de 100 marcas criptográficas tiveram os seus nomes afetados. O seguinte é um website de phishing relacionado com o Inferno Drainer.
A seção de cabeçalho do site contém dois scripts maliciosos, seaport.js e wallet-connect.js. Outra característica típica dos sites de phishing Inferno Drainer é que os utilizadores não podem abrir o código-fonte do site clicando com o botão direito do rato, o que torna esses sites de phishing mais ocultos.
Sob o quadro de Phishing-as-a-Service, normalmente 20% dos ativos roubados são transferidos automaticamente para o endereço do organizador do Inferno Drainer, sendo os restantes 80% retidos pelo perpetrador do phishing. Além disso, o Inferno Drainer fornece regularmente serviços gratuitos para criar e hospedar sites de phishing. Por vezes, os serviços de phishing também requerem uma taxa de 30% dos fundos defraudados. Estes sites de phishing destinam-se a atrair vítimas para os visitarem, mas são criados e desenhados por atacantes de phishing que têm as capacidades técnicas para hospedar o site ou simplesmente não querem realizar a tarefa eles próprios.
Então, como funciona este esquema de fraude DaaS? Aqui está uma descrição passo a passo do esquema de fraude de criptomoeda do Inferno Drainer:
(1) O Inferno Drainer promove o seu serviço através de um canal Telegram chamado Inferno Multichain Drainer, e por vezes os atacantes também acedem ao serviço através do website do Inferno Drainer.
(2) O atacante configura e gera o seu próprio site de phishing através da função de serviço DaaS e espalha-o através de X (Twitter), Discord e outras redes sociais.
(3) As vítimas são induzidas a digitalizar códigos QR ou outros métodos contidos nestes sites de phishing para conectar suas carteiras.
(4) O Drainer verifica os ativos mais valiosos e facilmente transferíveis da vítima e inicia transações maliciosas.
(5) A vítima confirmou a transação.
(6) Os ativos são transferidos para criminosos. Dos ativos roubados, 20% foram transferidos para os desenvolvedores do Inferno Drainer e 80% para os atacantes de phishing.
Na imagem abaixo está a página de serviço DaaS onde o Inferno Drainer mostra aos clientes suas estatísticas: número de conexões (se a vítima conectou a carteira ao site de phishing), cliques bem-sucedidos (se a vítima confirmou a transação) e o valor dos ativos roubados.
Cada cliente do serviço DaaS pode personalizar as suas próprias funções de Drainer:
3. Sugestões de Segurança
(1) Primeiramente, os utilizadores não devem clicar em links desconhecidos disfarçados de boas notícias, como recompensas, airdrops, etc.;
(2) Os incidentes de contas oficiais de redes sociais sendo roubadas estão a aumentar, e a informação oficial pode também ser informação de phishing, e a informação oficial não significa que seja absolutamente segura;
(3) Ao usar carteiras, DApps e outras aplicações, deve prestar atenção à triagem e ter cuidado com sites falsos e apps falsas;
(4) Qualquer transação ou mensagem de assinatura que exija confirmação deve ser feita com cautela e tentar confirmar cruzadamente o alvo, conteúdo e outras informações. Recuse assinar cegamente, mantenha-se vigilante, duvide de tudo e garanta que cada passo da operação seja claro e seguro.
Além disso, os utilizadores precisam de compreender os métodos comuns de ataque de phishing mencionados neste artigo e aprender a identificar proativamente as características de phishing. Dominar as assinaturas comuns, as funções de autorização e os seus riscos, dominar o URL de interação, Proprietário (endereço do autorizador), Despendente (endereço da parte autorizada), Valor (número autorizado), Nonce (número aleatório), Prazo (tempo de expiração), transferência/transferênciaDe (transferir) e outros conteúdos de campo.
Aviso Legal:
- Este artigo é reproduzido a partir de [Foresightnews]. Todos os direitos autorais pertencem ao autor original [SharkTeam]. Se houver objeções a esta reimpressão, entre em contato com o Gate Learnequipa e eles irão tratar dela prontamente.
- Aviso de responsabilidade: As opiniões expressas neste artigo são exclusivamente do autor e não constituem qualquer conselho de investimento.
- As traduções do artigo para outros idiomas são feitas pela equipe Gate Learn. Salvo indicação em contrário, copiar, distribuir ou plagiar os artigos traduzidos é proibido.
Artículos relacionados
O que é o Gate Pay?
Riscos que deve estar ciente ao negociar cripto
Como se proteger de fraudes com frases de sementes
Métodos comuns de phishing e sugestões de prevenção de segurança em Web3
1. Análise das técnicas comuns de pesca
1. Permitir phishing de assinatura off-chain
Permit é uma função estendida para autorização sob o padrão ERC-20. Simplificando, você pode assinar para aprovar outros endereços a mover o seu Token. O princípio é que você use uma assinatura para indicar que o endereço autorizado pode usar os seus tokens através desta assinatura, e depois o endereço autorizado leva a sua assinatura para realizar a interação de permissão on-chain e obter a autorização de chamada e pode transferir o seu ativo. A pesca de assinaturas off-chain geralmente é dividida em três etapas:
(1) O atacante forja links de phishing ou sites de phishing para induzir os usuários a assinar através da carteira (sem interação de contrato, sem na cadeia).
Objeto de assinatura: DAI/USDC/WETH e outros tokens ERC20 (aqui está DAI)
holder:// endereço de assinatura
gastador:// endereço de phishing
nonce:0
Prazo de validade:1988064000 // Tempo de expiração
permitido:verdadeiro
Se assinado, o pescador obterá a assinatura (um período de valores r, s, v) usada para roubar DAI/USDC/WETH e outros tokens ERC20 (aqui, DAI) da vítima. Quando o pescador interage com a função de permissão a ser usada).
(2) O atacante chama a função de permissão para concluir a autorização.
https://etherscan.io/tx/0x1fe75ad73f19cc4c3b658889dae552bb90cf5cef402789d256ff7c3e091bb662
(3) O atacante chama a função transferFrom para transferir os ativos da vítima e completar o ataque.
Deixe-me primeiro explicar a diferença entre transferir e transferirDe. Quando transferimos diretamente o ERC20, geralmente chamamos a função de transferência no contrato ERC20, e transferirDe é geralmente usado ao autorizar um terceiro a transferir o ERC20 em nossa carteira para outros endereços.
https://etherscan.io/tx/0x9c02340896e238fc667c1d84fec78af99b1642c986fe3a81602903af498eb938
Explicação adicional: Esta assinatura é uma assinatura off-chain sem gás. Depois que o atacante a obtém, ele realizará interações on-chain de permitir e transferir, para que o registro de autorização não possa ser visto no registro on-chain do endereço da vítima. No endereço do atacante pode ser visto. Em termos gerais, esta assinatura é de uso único e não cria riscos de phishing repetidos ou contínuos.
2. Permitir phishing de assinatura fora da cadeia
Permit2 é um contrato inteligente lançado pela Uniswap no final de 2022 para a conveniência dos utilizadores. É um contrato de aprovação de token que permite a autorização de token ser partilhada e gerida em diferentes DApps. No futuro, à medida que mais e mais projetos forem integrados com o Permit2, o contrato Permit2 pode alcançar uma experiência mais unificada de gestão de autorizações no ecossistema DApp e poupar custos de transação aos utilizadores.
Antes do surgimento do Permit2, a troca de tokens na Uniswap exigia autorização (Aprovar) e depois troca (Trocar), o que implicava duas operações e as taxas de gás de duas transações. Após o lançamento do Permit2, os utilizadores podem autorizar todas as suas quotas para o contrato Permit2 da Uniswap de uma só vez, e cada resgate subsequente apenas requer uma assinatura fora da cadeia.
Embora o Permit2 melhore a experiência do usuário, é seguido por ataques de phishing direcionados às assinaturas do Permit2. Semelhante ao phishing de assinatura off-chain do Permit, o Permit2 também é um phishing de assinatura off-chain. Este ataque é principalmente dividido em quatro etapas:
(1) O requisito é que a carteira do usuário tenha usado o Uniswap antes de ser vítima de phishing e tenha autorizado o limite de token ao contrato Permit2 do Uniswap (o Permit2 permitirá que o usuário autorize o saldo total do token por padrão).
https://etherscan.io/tx/0xd8f0333b9e0db7175c38c37e490379bde5c83a916bdaa2b9d46ee6bff4412e8f
(2) O atacante forja links de phishing ou páginas de phishing para induzir os utilizadores a assinar. O atacante de phishing obtém a informação de assinatura necessária, que é semelhante a um phishing de assinatura off-chain.
(3) O atacante chama a função de autorização do contrato Permit2 para completar a autorização.
https://etherscan.io/tx/0xd8c3f55dfbc8b368134e6236b296563f506827bd5dc4d6c0df39851fd219d658
(4) O atacante chama a função transferFrom do contrato Permit2 para transferir os ativos da vítima para fora e completar o ataque.
https://etherscan.io/tx/0xf6461e003a55f8ecbe919a47b3c0dc6d0f068e48a941658329e35dc703138486
Nota complementar: Geralmente existem vários endereços onde os atacantes recebem ativos. Normalmente, um dos destinatários com a maior quantidade é o atacante que implementa phishing, e os outros são endereços negros que fornecem phishing como serviço (provedores de DaaS de phishing como serviço), como PinkDrainer, InfernoDrainer, AngelDrainer, etc.).
3. eth_sign on-chain pesca de assinaturas cegas
eth_sign é um método de assinatura aberto que pode assinar qualquer hash. O atacante só precisa construir quaisquer dados maliciosos que precisam ser assinados (como transferência de tokens, chamada de contrato, aquisição de autorização, etc.) e induzir o usuário a assinar através do eth_sign. O ataque pode ser concluído.
MetaMask irá emitir um aviso de risco ao assinar eth_sign. Carteiras Web3 como imToken e OneKey desativaram esta função ou forneceram avisos de risco. Recomenda-se que todos os fabricantes de carteiras desativem este método para evitar que os utilizadores sejam atacados devido à falta de consciência de segurança ou acumulação técnica necessária.
4. personal_sign/signTypedData on-chain signature phishing
personal_sign e signTypedData são métodos de assinatura comumente usados. Normalmente, os usuários precisam verificar cuidadosamente se o iniciador, o nome de domínio, o conteúdo da assinatura, etc. são seguros. Se forem arriscados, devem estar extra vigilantes.
Além disso, se o personal_sign e o signTypedData forem usados como “assinaturas cegas” como acima, o utilizador não consegue ver o texto claro, o que facilita a utilização por grupos de phishing, o que também aumentará o risco de phishing.
5. Autorização de Phishing
Ao forjar um site malicioso ou pendurar um cavalo no site oficial do projeto, os atacantes induzem os utilizadores a confirmar operações como setApprovalForAll, Aprovar, Aumentar Aprovação e Aumentar Autorização, obter a autorização de operação de ativos do utilizador e cometer roubo.
(1) setApprovalForAll
Tomando o incidente de phishing de cavalos PREMINT como exemplo, um ficheiro js (https://s3-redwood-labs.premint.xyz/theme/js/boomerang.min.js) no site do projeto foi injetado com código malicioso. Um ficheiro js malicioso (https://s3-redwood-labs-premint-xyz.com/cdn.min.js?v=1658050292559) será criado dinamicamente. O ataque é iniciado por este script malicioso.
Porque o utilizador não descobriu o risco a tempo, confirmou a operação setApprovalForAll e inadvertidamente vazou a autorização da operação para o ativo, resultando no roubo do ativo.
(2)Aprovar
Similar ao setApprovalForAll, o utilizador confirmou a operação Approve, expondo a autorização da operação para o ativo, resultando no roubo do ativo.
Aprovar Má Autorização:
https://etherscan.io/tx/0x4b0655a5b75a9c078653939101fffc1d08ff7e5c89b0695ca6db5998214353fa
O atacante transfere ativos através de transferFrom:
https://etherscan.io/tx/0x0dedf25777ff5483bf71e70e031aacbaf50124f7ebb6804beb17aee2c15c33e8
O princípio do ataque das funções de Aumentar Aprovação e Aumentar Permissão é semelhante a este. Por padrão, o limite superior do atacante para operar os tokens do endereço da vítima é 0. No entanto, após ser autorizado por estas duas funções, o atacante aumenta o limite para os tokens da vítima. limite de operação e, em seguida, a quantidade de tokens pode ser transferida.
(3) Aumentar Aprovação
Aumentar a Autorização Indevida de Aprovação:
https://etherscan.io/tx/0x7ae694080e2ad007fd6fa25f9a22ca0bbbff4358b9bc84cc0a5ba7872118a223
O atacante transfere ativos através do transferFrom:
https://etherscan.io/tx/0x15bc5516ed7490041904f1a4c594c33740060e0f0271cb89fe9ed43c974a7a69
(4)Aumentar Atribuição
Aumento da Franquia de Autorização Indevida:
https://etherscan.io/tx/0xbb4fe89c03d8321c5bfed612fb76f0756ac7e99c1efaf7c4d99d99f850d4de53
O atacante transfere ativos através de transferFrom:
https://etherscan.io/tx/0xb91d7b1440745aa07409be36666bc291ecc661e424b21b855698d488949b920f
6. Endereço de phishing para poluição
A poluição de endereços de phishing também é um dos métodos de phishing recentemente desenfreados. O atacante monitoriza transações na cadeia e depois forja endereços maliciosos com base no endereço do oponente nas transações históricas do utilizador-alvo. Normalmente, os primeiros 4 a 6 dígitos e os últimos 4 a 6 dígitos estão relacionados com o oponente correto. Os endereços de ambas as partes são os mesmos e, em seguida, esses endereços forjados maliciosos são usados para transferir pequenas quantias ou tokens sem valor para o endereço do utilizador-alvo.
Se o utilizador-alvo copiar o endereço do oponente a partir de ordens de transação históricas para transferência em transações subsequentes devido a hábitos pessoais, é muito provável que os ativos sejam transferidos erroneamente para um endereço malicioso devido ao descuido.
Em 3 de maio de 2024, 1155WBTC, no valor de mais de 70 milhões de dólares americanos, foi vítima de phishing devido ao método de phishing de poluição deste endereço.
Endereço correto: 0xd9A1b0B1e1aE382DbDc898Ea68012FfcB2853a91
Endereço malicioso: 0xd9A1C3788D81257612E2581A6ea0aDa244853a91
Transação normal:
https://etherscan.io/tx/0xb18ab131d251f7429c56a2ae2b1b75ce104fe9e83315a0c71ccf2b20267683ac
Poluição de endereços:
https://etherscan.io/tx/0x87c6e5d56fea35315ba283de8b6422ad390b6b9d8d399d9b93a9051a3e11bf73
Transação mal direcionada:
https://etherscan.io/tx/0x3374abc5a9c766ba709651399b6e6162de97ca986abc23f423a9d893c8f5f570
7. Phishing mais sutil, usando CREATE2 para contornar a detecção de segurança
Atualmente, várias carteiras e plug-ins de segurança têm implementado gradualmente lembretes visuais de risco para listas negras de phishing e métodos comuns de phishing, e também têm exibido informações de assinatura de forma cada vez mais completa, melhorando a capacidade dos usuários comuns de identificar ataques de phishing. No entanto, as tecnologias ofensivas e defensivas estão sempre competindo entre si e se desenvolvendo constantemente. Métodos de phishing mais furtivos também estão constantemente surgindo, portanto, precisamos estar mais vigilantes. Usar CREATE2 para contornar a detecção de lista negra de carteiras e plug-ins de segurança é um método relativamente comum recentemente.
Create2 é um opcode introduzido durante a atualização do Ethereum 'Constantinopla' que permite aos usuários criar contratos inteligentes no Ethereum. O opcode Create original gera um novo endereço com base no endereço e nonce do criador. Create2 permite que os usuários calculem o endereço antes da implantação do contrato. O Create2 é uma ferramenta muito poderosa para desenvolvedores Ethereum, permitindo interação contratual avançada e flexível, pré-cálculo de endereço de contrato baseado em parâmetros, transações off-chain e implantação e adaptação flexíveis de aplicativos distribuídos específicos.
Embora o Create2 traga benefícios, também cria novos riscos de segurança. O Create2 pode ser abusado para gerar novos endereços sem histórico de transações maliciosas, contornando a detecção de listas negras de carteiras e alertas de segurança. Quando uma vítima assina uma transação maliciosa, o atacante pode implantar o contrato em um endereço pré-computado e transferir os ativos da vítima para esse endereço, e este é um processo irreversível.
Características deste ataque:
(1) Permite a criação preditiva de endereços de contrato, permitindo que os atacantes enganem os utilizadores concedendo permissões antes de implementar o contrato.
(2) Uma vez que o contrato ainda não foi implementado no momento da autorização, o endereço de ataque é um novo endereço e a ferramenta de deteção não pode fornecer um aviso antecipado com base na lista negra histórica, o que tem maior capacidade de ocultação.
Aqui está um exemplo de phishing usando CREATE2:
https://etherscan.io/tx/0x83f6bfde97f2fe60d2a4a1f55f9c4ea476c9d87fa0fcd0c1c3592ad6a539ed14
Nesta transação, a vítima transferiu o sfrxETH no endereço para o endereço malicioso (0x4D9f77), que é um novo endereço de contrato sem quaisquer registos de transação.
Mas quando abre a transação de criação deste contrato, pode constatar que o contrato completou um ataque de phishing ao mesmo tempo que foi criado, transferindo ativos do endereço da vítima.
https://etherscan.io/tx/0x77c79f9c865c64f76dc7f9dff978a0b8081dce72cab7c256ac52a764376f8e52
Ao observar a execução desta transação, pode-se ver que 0x4d9f7773deb9cc44b34066f5e36a5ec98ac92d40 foi criado após chamar CREATE2.
Além disso, ao analisar os endereços relevantes do PinkDrainer, pode-se constatar que este endereço está a criar novos endereços de contrato para phishing através do CREATE2 todos os dias.
https://etherscan.io/address/0x5d775caa7a0a56cd2d56a480b0f92e3900fe9722#internaltx
2. Pesca como um Serviço
Os ataques de phishing estão a tornar-se cada vez mais rampantes e, devido aos enormes lucros ilegais, uma cadeia de indústria negra baseada em Drainer as a Service (DaaS) tem-se desenvolvido gradualmente. Os mais ativos incluem Inferno/MS/Angel/Monkey/Venom/Pink/Pussy/Medusa, etc., os atacantes de phishing compram estes serviços DaaS, construindo rapidamente e com baixo limiar milhares de websites de phishing, contas fraudulentas, etc., como um flagelo a invadir esta indústria, ameaçando a segurança dos ativos dos utilizadores.
Tome o Inferno Drainer, por exemplo, uma gangue de phishing notória que incorpora scripts maliciosos em diferentes websites. Por exemplo, eles distribuem seaport.js, coinbase.js e wallet-connect.js para se disfarçarem como funções populares do protocolo Web3 (Seaport, WalletConnect e Coinbase) para induzir os utilizadores a integrarem ou clicarem. Após receberem a confirmação do utilizador, eles transferirão automaticamente os ativos do utilizador para o endereço do atacante. Mais de 14.000 websites contêm scripts maliciosos do Seaport, mais de 5.500 websites contêm scripts maliciosos do WalletConnect, mais de 550 websites contêm scripts maliciosos do Coinbase, mais de 16.000 domínios maliciosos relacionados com o Inferno Drainer e mais de 100 marcas criptográficas tiveram os seus nomes afetados. O seguinte é um website de phishing relacionado com o Inferno Drainer.
A seção de cabeçalho do site contém dois scripts maliciosos, seaport.js e wallet-connect.js. Outra característica típica dos sites de phishing Inferno Drainer é que os utilizadores não podem abrir o código-fonte do site clicando com o botão direito do rato, o que torna esses sites de phishing mais ocultos.
Sob o quadro de Phishing-as-a-Service, normalmente 20% dos ativos roubados são transferidos automaticamente para o endereço do organizador do Inferno Drainer, sendo os restantes 80% retidos pelo perpetrador do phishing. Além disso, o Inferno Drainer fornece regularmente serviços gratuitos para criar e hospedar sites de phishing. Por vezes, os serviços de phishing também requerem uma taxa de 30% dos fundos defraudados. Estes sites de phishing destinam-se a atrair vítimas para os visitarem, mas são criados e desenhados por atacantes de phishing que têm as capacidades técnicas para hospedar o site ou simplesmente não querem realizar a tarefa eles próprios.
Então, como funciona este esquema de fraude DaaS? Aqui está uma descrição passo a passo do esquema de fraude de criptomoeda do Inferno Drainer:
(1) O Inferno Drainer promove o seu serviço através de um canal Telegram chamado Inferno Multichain Drainer, e por vezes os atacantes também acedem ao serviço através do website do Inferno Drainer.
(2) O atacante configura e gera o seu próprio site de phishing através da função de serviço DaaS e espalha-o através de X (Twitter), Discord e outras redes sociais.
(3) As vítimas são induzidas a digitalizar códigos QR ou outros métodos contidos nestes sites de phishing para conectar suas carteiras.
(4) O Drainer verifica os ativos mais valiosos e facilmente transferíveis da vítima e inicia transações maliciosas.
(5) A vítima confirmou a transação.
(6) Os ativos são transferidos para criminosos. Dos ativos roubados, 20% foram transferidos para os desenvolvedores do Inferno Drainer e 80% para os atacantes de phishing.
Na imagem abaixo está a página de serviço DaaS onde o Inferno Drainer mostra aos clientes suas estatísticas: número de conexões (se a vítima conectou a carteira ao site de phishing), cliques bem-sucedidos (se a vítima confirmou a transação) e o valor dos ativos roubados.
Cada cliente do serviço DaaS pode personalizar as suas próprias funções de Drainer:
3. Sugestões de Segurança
(1) Primeiramente, os utilizadores não devem clicar em links desconhecidos disfarçados de boas notícias, como recompensas, airdrops, etc.;
(2) Os incidentes de contas oficiais de redes sociais sendo roubadas estão a aumentar, e a informação oficial pode também ser informação de phishing, e a informação oficial não significa que seja absolutamente segura;
(3) Ao usar carteiras, DApps e outras aplicações, deve prestar atenção à triagem e ter cuidado com sites falsos e apps falsas;
(4) Qualquer transação ou mensagem de assinatura que exija confirmação deve ser feita com cautela e tentar confirmar cruzadamente o alvo, conteúdo e outras informações. Recuse assinar cegamente, mantenha-se vigilante, duvide de tudo e garanta que cada passo da operação seja claro e seguro.
Além disso, os utilizadores precisam de compreender os métodos comuns de ataque de phishing mencionados neste artigo e aprender a identificar proativamente as características de phishing. Dominar as assinaturas comuns, as funções de autorização e os seus riscos, dominar o URL de interação, Proprietário (endereço do autorizador), Despendente (endereço da parte autorizada), Valor (número autorizado), Nonce (número aleatório), Prazo (tempo de expiração), transferência/transferênciaDe (transferir) e outros conteúdos de campo.
Aviso Legal:
- Este artigo é reproduzido a partir de [Foresightnews]. Todos os direitos autorais pertencem ao autor original [SharkTeam]. Se houver objeções a esta reimpressão, entre em contato com o Gate Learnequipa e eles irão tratar dela prontamente.
- Aviso de responsabilidade: As opiniões expressas neste artigo são exclusivamente do autor e não constituem qualquer conselho de investimento.
- As traduções do artigo para outros idiomas são feitas pela equipe Gate Learn. Salvo indicação em contrário, copiar, distribuir ou plagiar os artigos traduzidos é proibido.
Artículos relacionados
O que é o Gate Pay?
Riscos que deve estar ciente ao negociar cripto