Méthodes courantes de phishing et suggestions de prévention de la sécurité dans Web3
1. Analyse des techniques de pêche courantes
1. Autoriser le phishing de signature hors chaîne
Permis est une fonction étendue pour l'autorisation sous la norme ERC-20. En termes simples, vous pouvez signer pour approuver d'autres adresses pour déplacer votre jeton. Le principe est que vous utilisez une signature pour indiquer que l'adresse autorisée peut utiliser vos jetons grâce à cette signature, puis l'adresse autorisée prend votre signature pour effectuer une interaction de permis sur chaîne et obtient l'autorisation d'appel et peut vous transférer. actif. Le hameçonnage de signature hors chaîne est généralement divisé en trois étapes :
(1) L'attaquant forge des liens d'hameçonnage ou des sites Web d'hameçonnage pour inciter les utilisateurs à signer via le portefeuille (pas d'interaction de contrat, pas de chaîne).
Objet de signature : DAI/USDC/WETH et autres jetons ERC20 (ici DAI)
holder:// adresse de signature
adresse du hameçon phishing
nonce:0
expiration :1988064000 // Délai d’expiration
autorisé : vrai
S’il est signé, l’hameçonneur obtiendra la signature (un point de valeurs r, s, v) utilisée pour voler DAI/USDC/WETH et d’autres jetons ERC20 (ici, DAI) à la victime. Lorsque l’hameçonneur interagit avec la fonction de permis doit être utilisée).
(2) L'attaquant appelle la fonction de permis pour compléter l'autorisation.
https://etherscan.io/tx/0x1fe75ad73f19cc4c3b658889dae552bb90cf5cef402789d256ff7c3e091bb662
(3) L'attaquant appelle la fonction transferFrom pour transférer les actifs de la victime et mener à bien l'attaque.
Permettez-moi d'abord d'expliquer la différence entre le transfert et le transfertFrom. Lorsque nous transférons directement des ERC20, nous appelons généralement la fonction de transfert dans le contrat ERC20, et transfertFrom est généralement utilisé lorsque nous autorisons un tiers à transférer les ERC20 de notre portefeuille à d'autres adresses.
https://etherscan.io/tx/0x9c02340896e238fc667c1d84fec78af99b1642c986fe3a81602903af498eb938
Explication supplémentaire : Cette signature est une signature hors chaîne sans frais de gaz. Après que l'attaquant l'obtient, il effectuera des interactions on-chain de type permit et transferFrom, de sorte que l'enregistrement d'autorisation ne peut pas être vu dans l'enregistrement on-chain de l'adresse de la victime. Il peut être vu dans l'adresse de l'attaquant. En général, cette signature est à usage unique et ne crée pas de risques de phishing répétés ou continus.
2. Permettre le phishing de signature hors chaîne
Permit2 est un contrat intelligent lancé par Uniswap à la fin de 2022 pour la commodité des utilisateurs. Il s'agit d'un contrat d'approbation de jetons qui permet de partager et de gérer l'autorisation de jetons dans différents DApps. À l'avenir, à mesure que de plus en plus de projets seront intégrés à Permit2, le contrat Permit2 pourra offrir une expérience de gestion d'autorisation plus unifiée dans l'écosystème DApp et économiser les coûts de transaction des utilisateurs.
Avant l'apparition de Permit2, l'échange de jetons sur Uniswap nécessitait une autorisation (Approve) puis un échange (Swap), ce qui nécessitait deux opérations et les frais de gaz de deux transactions. Après le lancement de Permit2, les utilisateurs peuvent autoriser toutes leurs quotas au contrat Permit2 d'Uniswap en une seule fois, et chaque rachat ultérieur ne nécessite qu'une signature hors chaîne.
Bien que Permit2 améliore l'expérience utilisateur, il est suivi par des attaques de phishing ciblant les signatures Permit2. Tout comme le phishing de signature hors chaîne de Permit, Permit2 est également du phishing de signature hors chaîne. Cette attaque est principalement divisée en quatre étapes :
(1) La condition préalable est que le portefeuille de l'utilisateur ait déjà utilisé Uniswap avant d'être victime de phishing et ait autorisé la limite de jetons au contrat Permit2 d'Uniswap (Permit2 permettra à l'utilisateur d'autoriser le solde total du jeton par défaut).
https://etherscan.io/tx/0xd8f0333b9e0db7175c38c37e490379bde5c83a916bdaa2b9d46ee6bff4412e8f
(2) L'attaquant forge des liens d'hameçonnage ou des pages d'hameçonnage pour inciter les utilisateurs à signer. L'attaquant en phishing obtient les informations de signature requises, similaires à l'hameçonnage de signature hors chaîne de Permit.
(3) L'attaquant appelle la fonction de permis du contrat Permit2 pour terminer l'autorisation.
https://etherscan.io/tx/0xd8c3f55dfbc8b368134e6236b296563f506827bd5dc4d6c0df39851fd219d658
(4) L'attaquant appelle la fonction transferFrom du contrat Permit2 pour transférer les actifs de la victime et mener à bien l'attaque.
https://etherscan.io/tx/0xf6461e003a55f8ecbe919a47b3c0dc6d0f068e48a941658329e35dc703138486
Note complémentaire : Il y a généralement plusieurs adresses où les attaquants reçoivent des actifs. En général, l'un des destinataires avec le plus grand montant est l'attaquant qui met en œuvre le phishing, et les autres sont des adresses noires qui fournissent des services de phishing (fournisseurs de services de phishing DaaS), comme PinkDrainer, InfernoDrainer, AngelDrainer, etc.
3. eth_sign sur la pêche à la signature aveugle on-chain
eth_sign est une méthode de signature ouverte qui peut signer n'importe quelle empreinte. L'attaquant n'a besoin que de construire des données malveillantes à signer (telles que le transfert de jetons, l'appel de contrat, l'acquisition d'autorisation, etc.) et d'inciter l'utilisateur à signer via eth_sign. L'attaque peut être menée à bien.
MetaMask donnera un avertissement de risque lors de la signature de eth_sign. Les portefeuilles Web3 tels que imToken et OneKey ont désactivé cette fonction ou fourni des avertissements de risque. Il est recommandé à tous les fabricants de portefeuilles de désactiver cette méthode pour éviter que les utilisateurs ne soient attaqués en raison d'un manque de sensibilisation à la sécurité ou d'une accumulation technique nécessaire.
4. personal_sign/signTypedData on-chain signature phishing
personal_sign et signTypedData sont des méthodes de signature couramment utilisées. Habituellement, les utilisateurs doivent vérifier attentivement si l'initiateur, le nom de domaine, le contenu de la signature, etc. sont sûrs. S'ils présentent un risque, ils doivent être particulièrement vigilants.
De plus, si personal_sign et signTypedData sont utilisés comme des "signatures aveugles" comme ci-dessus, l'utilisateur ne peut pas voir le texte clair, ce qui facilite leur utilisation par des groupes de hameçonnage, ce qui augmentera également le risque de hameçonnage.
5. Phishing autorisé
En créant un site Web malveillant ou en accrochant un cheval sur le site Web officiel du projet, les attaquants incitent les utilisateurs à confirmer des opérations telles que setApprovalForAll, Approve, Increase Approval et Increase Allowance, à obtenir l'autorisation d'opération sur les actifs de l'utilisateur et à commettre un vol.
(1)setApprovalForAll
Si l’on prend l’exemple de l’incident d’hameçonnage PREMINT cheval, un fichier js (https://s3-redwood-labs.premint.xyz/theme/js/boomerang.min.jsLe site Web du projet a été injecté avec un code malveillant. Un fichier js malveillanthttps://s3-redwood-labs-premint-xyz.com/cdn.min.js?v=1658050292559) sera créé dynamiquement. L'attaque est initiée par ce script malveillant.
Parce que l'utilisateur n'a pas découvert le risque à temps, il a confirmé l'opération setApprovalForAll et a involontairement divulgué l'autorisation d'opération pour l'actif, ce qui a entraîné le vol de l'actif.
(2)Approuver
Similaire à setApprovalForAll, l'utilisateur a confirmé l'opération d'Approuver, divulguant l'autorisation d'opération pour l'actif, ce qui a entraîné le vol de l'actif.
Approuver la mauvaise autorisation :
https://etherscan.io/tx/0x4b0655a5b75a9c078653939101fffc1d08ff7e5c89b0695ca6db5998214353fa
L'attaquant transfère des actifs via transferFrom:
https://etherscan.io/tx/0x0dedf25777ff5483bf71e70e031aacbaf50124f7ebb6804beb17aee2c15c33e8
Le principe d'attaque des fonctions d'augmentation de l'approbation et d'augmentation de l'autorisation est similaire à cela. Par défaut, la limite supérieure de l'attaquant pour manipuler les jetons de l'adresse de la victime est de 0. Cependant, après avoir été autorisé par ces deux fonctions, l'attaquant augmente la limite des jetons de la victime. limite d'opération, puis la quantité de jetons peut être transférée.
(3) Augmenter l'approbation
Augmentation de l'approbation de la mauvaise autorisation :
https://etherscan.io/tx/0x7ae694080e2ad007fd6fa25f9a22ca0bbbff4358b9bc84cc0a5ba7872118a223
L'attaquant transfère des actifs via transferFrom :
https://etherscan.io/tx/0x15bc5516ed7490041904f1a4c594c33740060e0f0271cb89fe9ed43c974a7a69
(4) Augmentation de l'Allocation
Augmenter Autorisation Mal Autorisée:
https://etherscan.io/tx/0xbb4fe89c03d8321c5bfed612fb76f0756ac7e99c1efaf7c4d99d99f850d4de53
L'attaquant transfère des actifs via transferFrom:
https://etherscan.io/tx/0xb91d7b1440745aa07409be36666bc291ecc661e424b21b855698d488949b920f
6. Adresse pollution phishing
La pollution par hameçonnage d'adresse est également l'une des méthodes d'hameçonnage les plus répandues récemment. L'attaquant surveille les transactions sur la chaîne, puis forge des adresses malveillantes basées sur l'adresse de l'opposant dans les transactions historiques de l'utilisateur cible. En général, les 4 à 6 premiers chiffres et les 4 à 6 derniers chiffres sont liés au bon opposant. Les adresses des deux parties sont les mêmes, puis ces adresses forgées malveillantes sont utilisées pour transférer de petites sommes ou des jetons sans valeur à l'adresse de l'utilisateur cible.
Si l'utilisateur cible copie l'adresse de l'adversaire à partir des commandes de transaction historiques pour un transfert dans des transactions ultérieures en raison d'habitudes personnelles, il est très probable que les actifs seront transférés par erreur à une adresse malveillante en raison de négligence.
Le 3 mai 2024, 1155WBTC, d'une valeur de plus de 70 millions de dollars américains, a été volé en raison de la méthode de phishing de pollution de cette adresse.
Adresse correcte : 0xd9A1b0B1e1aE382DbDc898Ea68012FfcB2853a91
Adresse malveillante : 0xd9A1C3788D81257612E2581A6ea0aDa244853a91
Transaction normale :
https://etherscan.io/tx/0xb18ab131d251f7429c56a2ae2b1b75ce104fe9e83315a0c71ccf2b20267683ac
Pollution de l'adresse :
https://etherscan.io/tx/0x87c6e5d56fea35315ba283de8b6422ad390b6b9d8d399d9b93a9051a3e11bf73
Transaction mal dirigée:
https://etherscan.io/tx/0x3374abc5a9c766ba709651399b6e6162de97ca986abc23f423a9d893c8f5f570
7. Des tentatives de phishing plus subtiles, utilisant CREATE2 pour contourner la détection de sécurité
À l'heure actuelle, divers portefeuilles et plug-ins de sécurité ont progressivement mis en œuvre des rappels visuels de risques pour les listes noires de phishing et les méthodes de phishing courantes, et affichent également de plus en plus d'informations de signature de manière plus complète, améliorant ainsi la capacité des utilisateurs ordinaires à identifier les attaques de phishing. Cependant, les technologies offensives et défensives sont toujours en concurrence les unes contre les autres et se développent constamment. De plus en plus de méthodes de phishing plus secrètes émergent constamment, nous devons donc être plus vigilants. L'utilisation de CREATE2 pour contourner la détection de listes noires des portefeuilles et des plug-ins de sécurité est une méthode relativement courante récemment.
Create2 est un opcode introduit lors de la mise à niveau 'Constantinople' d'Ethereum qui permet aux utilisateurs de créer des contrats intelligents sur Ethereum. L'opcode Create original génère une nouvelle adresse basée sur l'adresse et le nonce du créateur. Create2 permet aux utilisateurs de calculer l'adresse avant le déploiement du contrat. Create2 est un outil très puissant pour les développeurs d'Ethereum, permettant une interaction de contrat avancée et flexible, une précalculabilité d'adresse de contrat basée sur des paramètres, des transactions hors ligne et un déploiement flexible et une adaptation d'applications distribuées spécifiques.
Bien que Create2 apporte des avantages, il crée également de nouveaux risques de sécurité. Create2 peut être utilisé de manière abusive pour générer de nouvelles adresses sans historique de transactions malveillantes, contournant ainsi la détection des listes noires de portefeuilles et les alertes de sécurité. Lorsqu'une victime signe une transaction malveillante, l'attaquant peut déployer le contrat sur une adresse précalculée et transférer les actifs de la victime à cette adresse, et ceci est un processus irréversible.
Caractéristiques de cette attaque :
(1) Permet la création prédictive d'adresses de contrat, permettant aux attaquants de tromper les utilisateurs en leur accordant des autorisations avant le déploiement du contrat.
(2) Étant donné que le contrat n'a pas encore été déployé au moment de l'autorisation, l'adresse d'attaque est une nouvelle adresse, et l'outil de détection ne peut pas fournir d'avertissement précoce basé sur la liste noire historique, ce qui a une plus grande capacité de dissimulation.
Voici un exemple de hameçonnage utilisant CREATE2 :
https://etherscan.io/tx/0x83f6bfde97f2fe60d2a4a1f55f9c4ea476c9d87fa0fcd0c1c3592ad6a539ed14
Dans cette transaction, la victime a transféré le sfrxETH à l'adresse à l'adresse malveillante (0x4D9f77), qui est une nouvelle adresse de contrat sans aucun enregistrement de transaction.
Mais lorsque vous ouvrez la transaction de création de ce contrat, vous pouvez constater que le contrat a effectué une attaque de phishing en même temps que sa création, transférant des actifs depuis l'adresse de la victime.
https://etherscan.io/tx/0x77c79f9c865c64f76dc7f9dff978a0b8081dce72cab7c256ac52a764376f8e52
En regardant l'exécution de cette transaction, vous pouvez voir que 0x4d9f7773deb9cc44b34066f5e36a5ec98ac92d40 a été créé après avoir appelé CREATE2.
De plus, en analysant les adresses pertinentes de PinkDrainer, on peut constater que cette adresse crée chaque jour de nouvelles adresses de contrat pour le hameçonnage via CREATE2.
https://etherscan.io/address/0x5d775caa7a0a56cd2d56a480b0f92e3900fe9722#internaltx
2. Pêche en tant que service
Les attaques de phishing deviennent de plus en plus fréquentes, et en raison des énormes profits illégaux, une chaîne industrielle noire basée sur Drainer as a Service (DaaS) s'est développée progressivement. Les plus actifs incluent Inferno/MS/Angel/Monkey/Venom/Pink/ Pussy/Medusa, etc., les attaquants en phishing achètent ces services DaaS, construisent rapidement et avec un faible seuil, des milliers de sites de phishing, de comptes frauduleux, etc., comme un fléau se précipitant dans cette industrie, menaçant la sécurité des actifs des utilisateurs.
Prenez Inferno Drainer, par exemple, un gang de phishing notoire qui intègre des scripts malveillants sur différents sites Web. Par exemple, ils diffusent seaport.js, coinbase.js et wallet-connect.js pour se faire passer pour des fonctions populaires de protocole Web3 (Seaport, WalletConnect et Coinbase) afin d'inciter les utilisateurs à intégrer ou à cliquer. Après avoir reçu la confirmation de l'utilisateur, ils transfèreront automatiquement les actifs de l'utilisateur à l'adresse de l'attaquant. Plus de 14 000 sites Web contenant des scripts malveillants Seaport, plus de 5 500 sites Web contenant des scripts malveillants WalletConnect, plus de 550 sites Web contenant des scripts malveillants Coinbase, plus de 16 000 domaines malveillants liés à Inferno Drainer, et plus de 100 marques de cryptomonnaie ont été découverts. les noms de marque sont affectés. Voici un site Web de phishing lié à Inferno Drainer.
La section d'en-tête du site Web contient deux scripts malveillants, seaport.js et wallet-connect.js. Une autre caractéristique typique des sites de phishing Inferno Drainer est que les utilisateurs ne peuvent pas ouvrir le code source du site Web en cliquant avec le bouton droit de la souris, ce qui rend ces sites de phishing plus dissimulés.
Sous le cadre du Phishing-as-a-Service, en général 20% des actifs volés sont automatiquement transférés à l'adresse de l'organisateur d'Inferno Drainer, les 80% restants étant conservés par le fraudeur du phishing. De plus, Inferno Drainer fournit régulièrement des services gratuits pour créer et héberger des sites Web de phishing. Parfois, les services de phishing nécessitent également des frais de 30% des fonds détournés. Ces sites Web de phishing sont destinés à ceux qui peuvent attirer des victimes à les visiter mais qui manquent de la capacité de les concevoir et qui sont conçus par des attaquants en phishing qui ont soit les capacités techniques pour héberger le site Web, soit qui ne veulent tout simplement pas effectuer la tâche eux-mêmes.
Alors, comment fonctionne cette arnaque DaaS? Voici une description étape par étape du schéma d'escroquerie crypto d'Inferno Drainer :
(1) Inferno Drainer promeut son service via un canal Telegram appelé Inferno Multichain Drainer, et parfois les attaquants accèdent également au service via le site web d'Inferno Drainer.
(2) L'attaquant met en place et génère son propre site de phishing grâce à la fonction de service DaaS, et le diffuse via X (Twitter), Discord et d'autres médias sociaux.
(3) Les victimes sont incitées à scanner les codes QR ou d'autres méthodes contenus sur ces sites de phishing pour connecter leurs portefeuilles.
(4) Drainer vérifie les actifs les plus précieux et les plus facilement transférables de la victime et initie des transactions malveillantes.
(5) La victime a confirmé la transaction.
(6) Les actifs sont transférés aux criminels. Sur les actifs volés, 20 % ont été transférés aux développeurs d'Inferno Drainer et 80 % aux attaquants de phishing.
Ci-dessous est la page de service DaaS où Inferno Drainer montre aux clients leurs statistiques : nombre de connexions (si la victime a connecté le portefeuille au site de phishing), clics réussis (si la victime a confirmé la transaction), et la valeur des actifs volés.
Chaque client du service DaaS peut personnaliser ses propres fonctions Drainer :
3. Suggestions de sécurité
(1) Tout d'abord, les utilisateurs ne doivent pas cliquer sur des liens inconnus déguisés en bonnes nouvelles telles que des récompenses, des largages aériens, etc.
(2) Les incidents de vols de comptes officiels sur les réseaux sociaux augmentent, et les informations officielles peuvent également être des informations de phishing, et les informations officielles ne signifient pas qu'elles sont absolument sûres ;
(3) Lors de l'utilisation de portefeuilles, de DApps et d'autres applications, vous devez faire attention au filtrage et vous méfier des sites contrefaits et des fausses applications;
(4) Toute transaction ou message de signature nécessitant une confirmation doit être traité avec prudence, et essayer de vérifier en croisant la cible, le contenu et les autres informations. Refusez de signer aveuglément, restez vigilant, doutez de tout, et assurez-vous que chaque étape de l'opération est claire et sécurisée.
(5) De plus, les utilisateurs doivent comprendre les méthodes courantes d'attaque par hameçonnage mentionnées dans cet article et apprendre à identifier de manière proactive les caractéristiques du hameçonnage. Maîtriser les signatures courantes, les fonctions d'autorisation et leurs risques, maîtriser l'URL interactive (interaction URL), le propriétaire (adresse de l'autorisateur), le dépensier (adresse de la partie autorisée), la valeur (nombre autorisé), le nonce (nombre aléatoire), la date limite (heure d'expiration), le transfert/transferFrom (transfert) et d'autres contenus de champ.
Avertissement:
- Cet article est repris de [GateForesightnews]. Tous les droits d'auteur appartiennent à l'auteur original [SharkTeam]. Si vous avez des objections à cette réimpression, veuillez contacter le Porte Apprendreéquipe, et ils s'en occuperont rapidement.
- Clause de non-responsabilité : Les points de vue et opinions exprimés dans cet article sont uniquement ceux de l'auteur et ne constituent aucun conseil en investissement.
- Les traductions de l'article dans d'autres langues sont effectuées par l'équipe Gate Learn. Sauf mention contraire, la copie, la distribution ou le plagiat des articles traduits est interdit.
Articles connexes
Guide de prévention des arnaques Airdrop
Qu'est-ce que Solscan et comment l'utiliser ?
Qu'est-ce que Tronscan et comment l'utiliser ?
Méthodes courantes de phishing et suggestions de prévention de la sécurité dans Web3
1. Analyse des techniques de pêche courantes
1. Autoriser le phishing de signature hors chaîne
Permis est une fonction étendue pour l'autorisation sous la norme ERC-20. En termes simples, vous pouvez signer pour approuver d'autres adresses pour déplacer votre jeton. Le principe est que vous utilisez une signature pour indiquer que l'adresse autorisée peut utiliser vos jetons grâce à cette signature, puis l'adresse autorisée prend votre signature pour effectuer une interaction de permis sur chaîne et obtient l'autorisation d'appel et peut vous transférer. actif. Le hameçonnage de signature hors chaîne est généralement divisé en trois étapes :
(1) L'attaquant forge des liens d'hameçonnage ou des sites Web d'hameçonnage pour inciter les utilisateurs à signer via le portefeuille (pas d'interaction de contrat, pas de chaîne).
Objet de signature : DAI/USDC/WETH et autres jetons ERC20 (ici DAI)
holder:// adresse de signature
adresse du hameçon phishing
nonce:0
expiration :1988064000 // Délai d’expiration
autorisé : vrai
S’il est signé, l’hameçonneur obtiendra la signature (un point de valeurs r, s, v) utilisée pour voler DAI/USDC/WETH et d’autres jetons ERC20 (ici, DAI) à la victime. Lorsque l’hameçonneur interagit avec la fonction de permis doit être utilisée).
(2) L'attaquant appelle la fonction de permis pour compléter l'autorisation.
https://etherscan.io/tx/0x1fe75ad73f19cc4c3b658889dae552bb90cf5cef402789d256ff7c3e091bb662
(3) L'attaquant appelle la fonction transferFrom pour transférer les actifs de la victime et mener à bien l'attaque.
Permettez-moi d'abord d'expliquer la différence entre le transfert et le transfertFrom. Lorsque nous transférons directement des ERC20, nous appelons généralement la fonction de transfert dans le contrat ERC20, et transfertFrom est généralement utilisé lorsque nous autorisons un tiers à transférer les ERC20 de notre portefeuille à d'autres adresses.
https://etherscan.io/tx/0x9c02340896e238fc667c1d84fec78af99b1642c986fe3a81602903af498eb938
Explication supplémentaire : Cette signature est une signature hors chaîne sans frais de gaz. Après que l'attaquant l'obtient, il effectuera des interactions on-chain de type permit et transferFrom, de sorte que l'enregistrement d'autorisation ne peut pas être vu dans l'enregistrement on-chain de l'adresse de la victime. Il peut être vu dans l'adresse de l'attaquant. En général, cette signature est à usage unique et ne crée pas de risques de phishing répétés ou continus.
2. Permettre le phishing de signature hors chaîne
Permit2 est un contrat intelligent lancé par Uniswap à la fin de 2022 pour la commodité des utilisateurs. Il s'agit d'un contrat d'approbation de jetons qui permet de partager et de gérer l'autorisation de jetons dans différents DApps. À l'avenir, à mesure que de plus en plus de projets seront intégrés à Permit2, le contrat Permit2 pourra offrir une expérience de gestion d'autorisation plus unifiée dans l'écosystème DApp et économiser les coûts de transaction des utilisateurs.
Avant l'apparition de Permit2, l'échange de jetons sur Uniswap nécessitait une autorisation (Approve) puis un échange (Swap), ce qui nécessitait deux opérations et les frais de gaz de deux transactions. Après le lancement de Permit2, les utilisateurs peuvent autoriser toutes leurs quotas au contrat Permit2 d'Uniswap en une seule fois, et chaque rachat ultérieur ne nécessite qu'une signature hors chaîne.
Bien que Permit2 améliore l'expérience utilisateur, il est suivi par des attaques de phishing ciblant les signatures Permit2. Tout comme le phishing de signature hors chaîne de Permit, Permit2 est également du phishing de signature hors chaîne. Cette attaque est principalement divisée en quatre étapes :
(1) La condition préalable est que le portefeuille de l'utilisateur ait déjà utilisé Uniswap avant d'être victime de phishing et ait autorisé la limite de jetons au contrat Permit2 d'Uniswap (Permit2 permettra à l'utilisateur d'autoriser le solde total du jeton par défaut).
https://etherscan.io/tx/0xd8f0333b9e0db7175c38c37e490379bde5c83a916bdaa2b9d46ee6bff4412e8f
(2) L'attaquant forge des liens d'hameçonnage ou des pages d'hameçonnage pour inciter les utilisateurs à signer. L'attaquant en phishing obtient les informations de signature requises, similaires à l'hameçonnage de signature hors chaîne de Permit.
(3) L'attaquant appelle la fonction de permis du contrat Permit2 pour terminer l'autorisation.
https://etherscan.io/tx/0xd8c3f55dfbc8b368134e6236b296563f506827bd5dc4d6c0df39851fd219d658
(4) L'attaquant appelle la fonction transferFrom du contrat Permit2 pour transférer les actifs de la victime et mener à bien l'attaque.
https://etherscan.io/tx/0xf6461e003a55f8ecbe919a47b3c0dc6d0f068e48a941658329e35dc703138486
Note complémentaire : Il y a généralement plusieurs adresses où les attaquants reçoivent des actifs. En général, l'un des destinataires avec le plus grand montant est l'attaquant qui met en œuvre le phishing, et les autres sont des adresses noires qui fournissent des services de phishing (fournisseurs de services de phishing DaaS), comme PinkDrainer, InfernoDrainer, AngelDrainer, etc.
3. eth_sign sur la pêche à la signature aveugle on-chain
eth_sign est une méthode de signature ouverte qui peut signer n'importe quelle empreinte. L'attaquant n'a besoin que de construire des données malveillantes à signer (telles que le transfert de jetons, l'appel de contrat, l'acquisition d'autorisation, etc.) et d'inciter l'utilisateur à signer via eth_sign. L'attaque peut être menée à bien.
MetaMask donnera un avertissement de risque lors de la signature de eth_sign. Les portefeuilles Web3 tels que imToken et OneKey ont désactivé cette fonction ou fourni des avertissements de risque. Il est recommandé à tous les fabricants de portefeuilles de désactiver cette méthode pour éviter que les utilisateurs ne soient attaqués en raison d'un manque de sensibilisation à la sécurité ou d'une accumulation technique nécessaire.
4. personal_sign/signTypedData on-chain signature phishing
personal_sign et signTypedData sont des méthodes de signature couramment utilisées. Habituellement, les utilisateurs doivent vérifier attentivement si l'initiateur, le nom de domaine, le contenu de la signature, etc. sont sûrs. S'ils présentent un risque, ils doivent être particulièrement vigilants.
De plus, si personal_sign et signTypedData sont utilisés comme des "signatures aveugles" comme ci-dessus, l'utilisateur ne peut pas voir le texte clair, ce qui facilite leur utilisation par des groupes de hameçonnage, ce qui augmentera également le risque de hameçonnage.
5. Phishing autorisé
En créant un site Web malveillant ou en accrochant un cheval sur le site Web officiel du projet, les attaquants incitent les utilisateurs à confirmer des opérations telles que setApprovalForAll, Approve, Increase Approval et Increase Allowance, à obtenir l'autorisation d'opération sur les actifs de l'utilisateur et à commettre un vol.
(1)setApprovalForAll
Si l’on prend l’exemple de l’incident d’hameçonnage PREMINT cheval, un fichier js (https://s3-redwood-labs.premint.xyz/theme/js/boomerang.min.jsLe site Web du projet a été injecté avec un code malveillant. Un fichier js malveillanthttps://s3-redwood-labs-premint-xyz.com/cdn.min.js?v=1658050292559) sera créé dynamiquement. L'attaque est initiée par ce script malveillant.
Parce que l'utilisateur n'a pas découvert le risque à temps, il a confirmé l'opération setApprovalForAll et a involontairement divulgué l'autorisation d'opération pour l'actif, ce qui a entraîné le vol de l'actif.
(2)Approuver
Similaire à setApprovalForAll, l'utilisateur a confirmé l'opération d'Approuver, divulguant l'autorisation d'opération pour l'actif, ce qui a entraîné le vol de l'actif.
Approuver la mauvaise autorisation :
https://etherscan.io/tx/0x4b0655a5b75a9c078653939101fffc1d08ff7e5c89b0695ca6db5998214353fa
L'attaquant transfère des actifs via transferFrom:
https://etherscan.io/tx/0x0dedf25777ff5483bf71e70e031aacbaf50124f7ebb6804beb17aee2c15c33e8
Le principe d'attaque des fonctions d'augmentation de l'approbation et d'augmentation de l'autorisation est similaire à cela. Par défaut, la limite supérieure de l'attaquant pour manipuler les jetons de l'adresse de la victime est de 0. Cependant, après avoir été autorisé par ces deux fonctions, l'attaquant augmente la limite des jetons de la victime. limite d'opération, puis la quantité de jetons peut être transférée.
(3) Augmenter l'approbation
Augmentation de l'approbation de la mauvaise autorisation :
https://etherscan.io/tx/0x7ae694080e2ad007fd6fa25f9a22ca0bbbff4358b9bc84cc0a5ba7872118a223
L'attaquant transfère des actifs via transferFrom :
https://etherscan.io/tx/0x15bc5516ed7490041904f1a4c594c33740060e0f0271cb89fe9ed43c974a7a69
(4) Augmentation de l'Allocation
Augmenter Autorisation Mal Autorisée:
https://etherscan.io/tx/0xbb4fe89c03d8321c5bfed612fb76f0756ac7e99c1efaf7c4d99d99f850d4de53
L'attaquant transfère des actifs via transferFrom:
https://etherscan.io/tx/0xb91d7b1440745aa07409be36666bc291ecc661e424b21b855698d488949b920f
6. Adresse pollution phishing
La pollution par hameçonnage d'adresse est également l'une des méthodes d'hameçonnage les plus répandues récemment. L'attaquant surveille les transactions sur la chaîne, puis forge des adresses malveillantes basées sur l'adresse de l'opposant dans les transactions historiques de l'utilisateur cible. En général, les 4 à 6 premiers chiffres et les 4 à 6 derniers chiffres sont liés au bon opposant. Les adresses des deux parties sont les mêmes, puis ces adresses forgées malveillantes sont utilisées pour transférer de petites sommes ou des jetons sans valeur à l'adresse de l'utilisateur cible.
Si l'utilisateur cible copie l'adresse de l'adversaire à partir des commandes de transaction historiques pour un transfert dans des transactions ultérieures en raison d'habitudes personnelles, il est très probable que les actifs seront transférés par erreur à une adresse malveillante en raison de négligence.
Le 3 mai 2024, 1155WBTC, d'une valeur de plus de 70 millions de dollars américains, a été volé en raison de la méthode de phishing de pollution de cette adresse.
Adresse correcte : 0xd9A1b0B1e1aE382DbDc898Ea68012FfcB2853a91
Adresse malveillante : 0xd9A1C3788D81257612E2581A6ea0aDa244853a91
Transaction normale :
https://etherscan.io/tx/0xb18ab131d251f7429c56a2ae2b1b75ce104fe9e83315a0c71ccf2b20267683ac
Pollution de l'adresse :
https://etherscan.io/tx/0x87c6e5d56fea35315ba283de8b6422ad390b6b9d8d399d9b93a9051a3e11bf73
Transaction mal dirigée:
https://etherscan.io/tx/0x3374abc5a9c766ba709651399b6e6162de97ca986abc23f423a9d893c8f5f570
7. Des tentatives de phishing plus subtiles, utilisant CREATE2 pour contourner la détection de sécurité
À l'heure actuelle, divers portefeuilles et plug-ins de sécurité ont progressivement mis en œuvre des rappels visuels de risques pour les listes noires de phishing et les méthodes de phishing courantes, et affichent également de plus en plus d'informations de signature de manière plus complète, améliorant ainsi la capacité des utilisateurs ordinaires à identifier les attaques de phishing. Cependant, les technologies offensives et défensives sont toujours en concurrence les unes contre les autres et se développent constamment. De plus en plus de méthodes de phishing plus secrètes émergent constamment, nous devons donc être plus vigilants. L'utilisation de CREATE2 pour contourner la détection de listes noires des portefeuilles et des plug-ins de sécurité est une méthode relativement courante récemment.
Create2 est un opcode introduit lors de la mise à niveau 'Constantinople' d'Ethereum qui permet aux utilisateurs de créer des contrats intelligents sur Ethereum. L'opcode Create original génère une nouvelle adresse basée sur l'adresse et le nonce du créateur. Create2 permet aux utilisateurs de calculer l'adresse avant le déploiement du contrat. Create2 est un outil très puissant pour les développeurs d'Ethereum, permettant une interaction de contrat avancée et flexible, une précalculabilité d'adresse de contrat basée sur des paramètres, des transactions hors ligne et un déploiement flexible et une adaptation d'applications distribuées spécifiques.
Bien que Create2 apporte des avantages, il crée également de nouveaux risques de sécurité. Create2 peut être utilisé de manière abusive pour générer de nouvelles adresses sans historique de transactions malveillantes, contournant ainsi la détection des listes noires de portefeuilles et les alertes de sécurité. Lorsqu'une victime signe une transaction malveillante, l'attaquant peut déployer le contrat sur une adresse précalculée et transférer les actifs de la victime à cette adresse, et ceci est un processus irréversible.
Caractéristiques de cette attaque :
(1) Permet la création prédictive d'adresses de contrat, permettant aux attaquants de tromper les utilisateurs en leur accordant des autorisations avant le déploiement du contrat.
(2) Étant donné que le contrat n'a pas encore été déployé au moment de l'autorisation, l'adresse d'attaque est une nouvelle adresse, et l'outil de détection ne peut pas fournir d'avertissement précoce basé sur la liste noire historique, ce qui a une plus grande capacité de dissimulation.
Voici un exemple de hameçonnage utilisant CREATE2 :
https://etherscan.io/tx/0x83f6bfde97f2fe60d2a4a1f55f9c4ea476c9d87fa0fcd0c1c3592ad6a539ed14
Dans cette transaction, la victime a transféré le sfrxETH à l'adresse à l'adresse malveillante (0x4D9f77), qui est une nouvelle adresse de contrat sans aucun enregistrement de transaction.
Mais lorsque vous ouvrez la transaction de création de ce contrat, vous pouvez constater que le contrat a effectué une attaque de phishing en même temps que sa création, transférant des actifs depuis l'adresse de la victime.
https://etherscan.io/tx/0x77c79f9c865c64f76dc7f9dff978a0b8081dce72cab7c256ac52a764376f8e52
En regardant l'exécution de cette transaction, vous pouvez voir que 0x4d9f7773deb9cc44b34066f5e36a5ec98ac92d40 a été créé après avoir appelé CREATE2.
De plus, en analysant les adresses pertinentes de PinkDrainer, on peut constater que cette adresse crée chaque jour de nouvelles adresses de contrat pour le hameçonnage via CREATE2.
https://etherscan.io/address/0x5d775caa7a0a56cd2d56a480b0f92e3900fe9722#internaltx
2. Pêche en tant que service
Les attaques de phishing deviennent de plus en plus fréquentes, et en raison des énormes profits illégaux, une chaîne industrielle noire basée sur Drainer as a Service (DaaS) s'est développée progressivement. Les plus actifs incluent Inferno/MS/Angel/Monkey/Venom/Pink/ Pussy/Medusa, etc., les attaquants en phishing achètent ces services DaaS, construisent rapidement et avec un faible seuil, des milliers de sites de phishing, de comptes frauduleux, etc., comme un fléau se précipitant dans cette industrie, menaçant la sécurité des actifs des utilisateurs.
Prenez Inferno Drainer, par exemple, un gang de phishing notoire qui intègre des scripts malveillants sur différents sites Web. Par exemple, ils diffusent seaport.js, coinbase.js et wallet-connect.js pour se faire passer pour des fonctions populaires de protocole Web3 (Seaport, WalletConnect et Coinbase) afin d'inciter les utilisateurs à intégrer ou à cliquer. Après avoir reçu la confirmation de l'utilisateur, ils transfèreront automatiquement les actifs de l'utilisateur à l'adresse de l'attaquant. Plus de 14 000 sites Web contenant des scripts malveillants Seaport, plus de 5 500 sites Web contenant des scripts malveillants WalletConnect, plus de 550 sites Web contenant des scripts malveillants Coinbase, plus de 16 000 domaines malveillants liés à Inferno Drainer, et plus de 100 marques de cryptomonnaie ont été découverts. les noms de marque sont affectés. Voici un site Web de phishing lié à Inferno Drainer.
La section d'en-tête du site Web contient deux scripts malveillants, seaport.js et wallet-connect.js. Une autre caractéristique typique des sites de phishing Inferno Drainer est que les utilisateurs ne peuvent pas ouvrir le code source du site Web en cliquant avec le bouton droit de la souris, ce qui rend ces sites de phishing plus dissimulés.
Sous le cadre du Phishing-as-a-Service, en général 20% des actifs volés sont automatiquement transférés à l'adresse de l'organisateur d'Inferno Drainer, les 80% restants étant conservés par le fraudeur du phishing. De plus, Inferno Drainer fournit régulièrement des services gratuits pour créer et héberger des sites Web de phishing. Parfois, les services de phishing nécessitent également des frais de 30% des fonds détournés. Ces sites Web de phishing sont destinés à ceux qui peuvent attirer des victimes à les visiter mais qui manquent de la capacité de les concevoir et qui sont conçus par des attaquants en phishing qui ont soit les capacités techniques pour héberger le site Web, soit qui ne veulent tout simplement pas effectuer la tâche eux-mêmes.
Alors, comment fonctionne cette arnaque DaaS? Voici une description étape par étape du schéma d'escroquerie crypto d'Inferno Drainer :
(1) Inferno Drainer promeut son service via un canal Telegram appelé Inferno Multichain Drainer, et parfois les attaquants accèdent également au service via le site web d'Inferno Drainer.
(2) L'attaquant met en place et génère son propre site de phishing grâce à la fonction de service DaaS, et le diffuse via X (Twitter), Discord et d'autres médias sociaux.
(3) Les victimes sont incitées à scanner les codes QR ou d'autres méthodes contenus sur ces sites de phishing pour connecter leurs portefeuilles.
(4) Drainer vérifie les actifs les plus précieux et les plus facilement transférables de la victime et initie des transactions malveillantes.
(5) La victime a confirmé la transaction.
(6) Les actifs sont transférés aux criminels. Sur les actifs volés, 20 % ont été transférés aux développeurs d'Inferno Drainer et 80 % aux attaquants de phishing.
Ci-dessous est la page de service DaaS où Inferno Drainer montre aux clients leurs statistiques : nombre de connexions (si la victime a connecté le portefeuille au site de phishing), clics réussis (si la victime a confirmé la transaction), et la valeur des actifs volés.
Chaque client du service DaaS peut personnaliser ses propres fonctions Drainer :
3. Suggestions de sécurité
(1) Tout d'abord, les utilisateurs ne doivent pas cliquer sur des liens inconnus déguisés en bonnes nouvelles telles que des récompenses, des largages aériens, etc.
(2) Les incidents de vols de comptes officiels sur les réseaux sociaux augmentent, et les informations officielles peuvent également être des informations de phishing, et les informations officielles ne signifient pas qu'elles sont absolument sûres ;
(3) Lors de l'utilisation de portefeuilles, de DApps et d'autres applications, vous devez faire attention au filtrage et vous méfier des sites contrefaits et des fausses applications;
(4) Toute transaction ou message de signature nécessitant une confirmation doit être traité avec prudence, et essayer de vérifier en croisant la cible, le contenu et les autres informations. Refusez de signer aveuglément, restez vigilant, doutez de tout, et assurez-vous que chaque étape de l'opération est claire et sécurisée.
(5) De plus, les utilisateurs doivent comprendre les méthodes courantes d'attaque par hameçonnage mentionnées dans cet article et apprendre à identifier de manière proactive les caractéristiques du hameçonnage. Maîtriser les signatures courantes, les fonctions d'autorisation et leurs risques, maîtriser l'URL interactive (interaction URL), le propriétaire (adresse de l'autorisateur), le dépensier (adresse de la partie autorisée), la valeur (nombre autorisé), le nonce (nombre aléatoire), la date limite (heure d'expiration), le transfert/transferFrom (transfert) et d'autres contenus de champ.
Avertissement:
- Cet article est repris de [GateForesightnews]. Tous les droits d'auteur appartiennent à l'auteur original [SharkTeam]. Si vous avez des objections à cette réimpression, veuillez contacter le Porte Apprendreéquipe, et ils s'en occuperont rapidement.
- Clause de non-responsabilité : Les points de vue et opinions exprimés dans cet article sont uniquement ceux de l'auteur et ne constituent aucun conseil en investissement.
- Les traductions de l'article dans d'autres langues sont effectuées par l'équipe Gate Learn. Sauf mention contraire, la copie, la distribution ou le plagiat des articles traduits est interdit.
Articles connexes
Guide de prévention des arnaques Airdrop
Qu'est-ce que Solscan et comment l'utiliser ?