วิธีการล่อลวงที่พบบ่อยและคำแนะนำในการป้องกันความปลอดภัยใน Web3
1. วิเคราะห์เทคนิคการตกปลาทั่วไป
1. อนุญาตให้ตัวปลอมลายเซ็นออฟเชน
การอนุญาตเป็นฟังก์ชันที่ถูกขยายสำหรับการอนุญาตภายใต้มาตรฐาน ERC-20 โดยตรง คุณสามารถลงลายมือเพื่ออนุมัติที่อยู่อื่น ๆ เพื่อย้ายโทเค็นของคุณ หลักการคือคุณใช้ลายมือเพื่อระบุว่าที่อยู่ที่ได้รับอนุญาตสามารถใช้โทเค็นของคุณผ่านลายมือนี้ และจากนั้นที่อยู่ที่ได้รับอนุญาตจะใช้ลายมือของคุณเพื่อดำเนินการอนุญาตภายในเชือก และได้รับการอนุญาตในการโทรออกและสามารถโอนสินทรัพย์ของคุณ การปลอมลายมือภัยออกนอกโซนทั่วไปมักถูกแบ่งออกเป็นสามขั้นตอน
(1) ผู้โจมตีปลอมแอพลิเคชี่ลิงก์หรือเว็บไซต์แอพลิเคชี่เพื่อกระตุ้นผู้ใช้ลงนามผ่านกระเป๋าเงิน (ไม่มีการโต้ตอบสัญญา ไม่มีการโต้ตอบบนเชน)
วัตถุลายมือ: DAI/USDC/WETH และตัวแทน ERC20 อื่น ๆ (ที่นี่คือ DAI)
holder:// ที่อยู่ลายเซ็น
spender:// ที่อยู่ของผู้โกง
nonce:0
วันหมดอายุ:1988064000 // เวลาหมดอายุ
allowed:true
หากลงนาม ผู้โจมตีจะได้รับลายเซ็น (ช่วงของค่า r, s, v) ที่ใช้ในการขโมย DAI/USDC/WETH และเหรียญ ERC20 อื่น ๆ (ที่นี่คือ DAI) จากเหยื่อ เมื่อผู้โจมตีมีปฏิสัมพันธ์กับฟังก์ชันการอนุญาตจำเป็นต้องใช้)
(2) ผู้โจมตีเรียกใช้ฟังก์ชันการอนุญาตเพื่อทำการอนุญาตเสร็จสิ้น
https://etherscan.io/tx/0x1fe75ad73f19cc4c3b658889dae552bb90cf5cef402789d256ff7c3e091bb662
(3) ผู้โจมตีเรียกใช้ฟังก์ชัน transferFrom เพื่อโอนสินทรัพย์ของเหยื่อและเสร็จสิ้นการโจมตี
ขออธิบายความแตกต่างระหว่างการโอนและการโอนจาก ก่อน โอน ERC20 โดยตรง เรามักเรียกฟังก์ชันการโอนในสัญญา ERC20 และโอนจาก มักใช้เมื่อมีการให้สิทธิให้บุคคลที่สามโอน ERC20 ในกระเป๋าเราไปยังที่อยู่อื่น
https://etherscan.io/tx/0x9c02340896e238fc667c1d84fec78af99b1642c986fe3a81602903af498eb938
คำอธิบายเพิ่มเติม: ลายเซ็นนี้เป็นลายเซ็นออฟเชนที่ไม่ใช้ Gas หลังจากที่ผู้โจมตีได้รับมันแล้ว เขาจะดำเนินการ permit และ transferFrom ในการโต้ตอบ on-chain ดังนั้นบันทึกการอนุญาตจะไม่สามารถมองเห็นได้ในบันทึก on-chain ของที่อยู่ของเหยื่อ อาจเห็นได้ที่ที่อยู่ของผู้โจมตี โดยทั่วไปแล้ว ลายเซ็นนี้เป็นการใช้ครั้งเดียวและไม่สร้างความเสี่ยงในการโจมตีที่ซ้ำซากหรือต่อเนื่อง
2. อนุญาตให้มีการลวดลายปลอมลายนอกเชือก
Permit2 เป็นสัญญาอัจฉริยะที่เปิดตัวโดย Uniswap ปลายปี 2022 เพื่อความสะดวกของผู้ใช้ นั้นเป็นสัญญาการอนุญาตโทเค็นที่อนุญาตให้การอนุญาตโทเค็นถูกแบ่งปันและจัดการใน DApps ต่างๆ ในอนาคต โดยที่โครงการมากขึ้นและมากขึ้นจะถูกผนวกกับ Permit2 สัญญา Permit2 สามารถบรรลุประสบการณ์การจัดการอนุญาตที่เป็นไปได้ในระบบนิเวศ DApp ที่เป็นมิตรกันมากขึ้นและประหยัดค่าธุรกรรมของผู้ใช้
ก่อนที่ Permit2 จะเกิดขึ้น การแลกเปลี่ยนโทเค็นบน Uniswap ต้องให้การอนุญาต (Approve) แล้วแลกเปลี่ยน (Swap) ซึ่งต้องการการดำเนินการสองขั้นตอนและค่าธรรมเนียมแก๊สของธุรกรรมสองรายการ หลังจากเปิดตัว Permit2 ผู้ใช้สามารถอนุญาตสิทธิ์ทั้งหมดให้กับสัญญา Permit2 ของ Uniswap ในครั้งเดียว และการแลกเปลี่ยนที่ตามมาจะต้องการลายเซ็นเชิงออฟเชนเท่านั้น
แม้ว่า Permit2 จะปรับปรุงประสบการณ์ของผู้ใช้ แต่ก็ตามมาด้วยการโจมตีฟิชชิ่งที่เน้นที่ลายเซ็นเจอร์ของ Permit2 คล้ายกับการโจมตีฟิชชิ่งลายเซ็นเจอร์ Permit ภายนอก โจมตีนี้ยังแบ่งเป็น 4 ขั้นตอนหลักๆ คือ
(1) เงื่อนไขที่ต้องการคือว่ากระเป๋าเงินของผู้ใช้ได้ใช้ Uniswap มาก่อนที่จะถูกเจาะและให้สิทธิให้กับการจำกัดโทเค็นกับสัญญา Permit2 ของ Uniswap (Permit2 จะอนุญาตให้ผู้ใช้ให้สิทธิทั้งยอดคงเหลือของโทเค็นตามค่าเริ่มต้น)
https://etherscan.io/tx/0xd8f0333b9e0db7175c38c37e490379bde5c83a916bdaa2b9d46ee6bff4412e8f
(2) ผู้โจมตีปลอมแอพลิเคชั่นหรือหน้าเว็บช่องพร้อมให้ผู้ใช้เซ็นต์ ผู้โจมตีการล่อลวงได้รับข้อมูลลายเซ็นที่จำเป็นที่คล้ายกับการล่อลวงลายเซ็น Permit off-chain
(3) ผู้โจมตีเรียกใช้ฟังก์ชันอนุญาตของสัญญาอนุญาต2 เพื่อสิ้นสุดการอนุญาต
https://etherscan.io/tx/0xd8c3f55dfbc8b368134e6236b296563f506827bd5dc4d6c0df39851fd219d658
(4) ผู้โจมตีเรียกใช้ฟังก์ชัน transferFrom ของสัญญา Permit2 เพื่อโอนสินทรัพย์ของเหยืออออกและทำการโจมตีเสร็จสิ้น
https://etherscan.io/tx/0xf6461e003a55f8ecbe919a47b3c0dc6d0f068e48a941658329e35dc703138486
หมายเหตุเพิ่มเติม: โดยปกติจะมีหลายที่อยู่ที่ผู้โจมตีได้รับสินทรัพย์ โดยทั่วไปผู้รับหนึ่งคนที่มีจำนวนมากที่สุดคือผู้โจมตีที่นำเสนอฟิชชิ่ง และอีกส่วนหนึ่งคือที่อยู่ดำที่ให้บริการฟิชชิ่งเป็นบริการ (ผู้ให้บริการ DaaS ฟิชชิ่งเช่น PinkDrainer, InfernoDrainer, AngelDrainer, ฯลฯ)
3. eth_sign on-chain blind sign fishing
eth_sign เป็นวิธีลายเซ็นเปิดที่สามารถลงลายเซ็นในแฮชใดก็ได้ ผู้โจมตีจำเป็นต้องสร้างข้อมูลที่เป็นอันตรายใดก็ได้ที่ต้องการลงลายเซ็น (เช่น การโอนโทเค็น, การเรียกใช้สัญญา, การขออนุญาต เป็นต้น) และกระตุ้นผู้ใช้ที่จะลงลายเซ็นผ่าน eth_sign การโจมตีสามารถสำเร็จได้
MetaMask จะแจ้งเตือนเกี่ยวกับความเสี่ยงเมื่อทำการเซ็น eth_sign กระเป๋าสตางค์ Web3 เช่น imToken และ OneKey ได้ปิดใช้งานฟังก์ชันนี้หรือให้คำเตือนเกี่ยวกับความเสี่ยง แนะนำให้ผู้ผลิตกระเป๋าทั้งหมดปิดใช้วิธีนี้เพื่อป้องกันไม่ให้ผู้ใช้โดนโจมตีเนื่องจากขาดความรู้เรื่องความปลอดภัยหรือการสะสมทางเทคนิคที่จำเป็น
4. การเซ็น personal_sign/signTypedData การปลอมเข็มลงบนเชน
personal_sign และ signTypedData เป็นวิธีการลายเซ็นที่ใช้กันอย่างแพร่หลาย โดยทั่วไปผู้ใช้จำเป็นต้องตรวจสอบอย่างรอบคอบว่าผู้เริ่มต้น ชื่อโดเมน หรือเนื้อหาลายเซ็นเป็นปลอดภัยหรือไม่ หากมีความเสี่ยงควรระวังเพิ่มเติม
นอกจากนี้ หากใช้ personal_sign และ signTypedData เป็น "ลายเซ็นบนรูปแบบที่ปกปิด" เช่นเดียวกับที่กล่าวมาข้างต้น ผู้ใช้จะไม่สามารถเห็นข้อความชัดเจนซึ่งทำให้ง่ายต่อการใช้โดยกลุ่มผู้ทรงคุณวุฒิที่ทำการล่องหลอม ซึ่งยังเพิ่มความเสี่ยงในการล่องหลอม
5. การโจมตีทางอินเทอร์เน็ตที่ได้รับอนุญาต
โดยการปลอมเว็บไซต์ที่เป็นอันตรายหรือแขวนม้าบนเว็บไซต์อย่างเป็นทางการของโครงการ ผู้โจมตีจะกระตุ้นผู้ใช้ให้ยืนยันการดำเนินการ เช่น setApprovalForAll, Approve, Increase Approval, และ Increase Allowance, รับอนุญาติดำเนินการสินทรัพย์ของผู้ใช้ และกระทำการโจมตี
setApprovalForAll
เรียกอุบัติการณ์การล่อลวง PREMINT สมมติเช่นไฟล์ js ( https://s3-redwood-labs.premint.xyz/theme/js/boomerang.min.js) บนเว็บไซต์โปรเจกต์ถูกฉีดโค้ดที่อันตราย เป็นไฟล์ js ที่อันตรายhttps://s3-redwood-labs-premint-xyz.com/cdn.min.js?v=1658050292559) จะถูกสร้างขึ้นอย่างไดนามิก การโจมตีถูกเริ่มต้นโดยสคริปต์ที่ไม่ดีเลยที่นี้
เนื่องจากผู้ใช้ไม่ได้ค้นพบความเสี่ยงทันเวลา จึงยืนยันการดำเนินการ setApprovalForAll และไร้ความรู้ความเสี่ยงและรั่วไหลการอนุญาตให้ดำเนินการสำหรับสินทรัพย์ ซึ่งส่งผลให้สินทรัพย์ถูกขโมย
(2)อนุมัติ
เช่นเดียวกับ setApprovalForAll ผู้ใช้ได้ยืนยันการดำเนินการ Approve ซึ่งทำให้ข้อมูลการอนุญาตของสินทรัพย์รั่วไหล ซึ่งส่งผลให้สินทรัพย์ถูกขโมย
อนุมัติการไม่มีสิทธิ์
https://etherscan.io/tx/0x4b0655a5b75a9c078653939101fffc1d08ff7e5c89b0695ca6db5998214353fa
ผู้โจมตีโอนสินทรัพย์ผ่าน transferFrom:
https://etherscan.io/tx/0x0dedf25777ff5483bf71e70e031aacbaf50124f7ebb6804beb17aee2c15c33e8
หลักการโจมตีของฟังก์ชันเพิ่มการอนุมัติและเพิ่มการอนุญาตคล้ายกัน โดยค่าเริ่มต้น ค่าสูงสุดของผู้โจมตีในการดำเนินการกับโทเค็นของที่อยู่ของเหยื่อคือ 0 อย่างไรก็ตาม หลังจากได้รับอนุญาตจากฟังก์ชันสองตัวนี้ ผู้โจมตีจึงเพิ่มขีดจำกัดสำหรับโทเค็นของเหยื่อ ขีดจำกัดการดำเนินการ และจำนวนโทเค็นสามารถถูกโอนได้
(3) เพิ่มการอนุมัติ
เพิ่มการอนุมัติการไม่อนุญาต
https://etherscan.io/tx/0x7ae694080e2ad007fd6fa25f9a22ca0bbbff4358b9bc84cc0a5ba7872118a223
ผู้โจมตีโอนสินทรัพย์ผ่าน transferFrom:
https://etherscan.io/tx/0x15bc5516ed7490041904f1a4c594c33740060e0f0271cb89fe9ed43c974a7a69
(4) เพิ่มค่าเบี้ยสูง
เพิ่มอนุญาตการใช้งานที่ไม่ถูกต้อง:
https://etherscan.io/tx/0xbb4fe89c03d8321c5bfed612fb76f0756ac7e99c1efaf7c4d99d99f850d4de53
ผู้โจมตีโอนสินทรัพย์ผ่าน transferFrom:
https://etherscan.io/tx/0xb91d7b1440745aa07409be36666bc291ecc661e424b21b855698d488949b920f
6. การล่อลวงเพื่อการเกิดมลพิษที่อยู่
การหลอกลวงด้วยการปนเปื้อนที่อยู่ก็เป็นหนึ่งในวิธีการหลอกลวงที่ระบาดล่าสุดด้วย ผู้โจมตีติดตามธุรกรรมบนเชน แล้วปลอมแปลงที่อยู่ที่เป็นเพียงส่วนหนึ่งตามที่อยู่ของคู่ต่อสู้ในธุรกรรมย้อนหลังของผู้ใช้เป้าหมาย โดยทั่วไปแล้วหลักเลข 4 ถึง 6 หลักแรกและหลักท้าย 4 ถึง 6 หลักเกี่ยวข้องกับคู่ต่อสู้ที่ถูกต้อง ที่อยู่ของทั้งสองฝ่ายเหมือนกัน แล้วที่อยู่ที่ปลอมแปลงนี้จึงถูกใช้ในการโอนเงินจำนวนเล็กหรือโทเคนที่ไม่มีค่าไปยังที่อยู่ของผู้ใช้เป้าหมาย
ถ้าผู้ใช้เป้าหมายคัดลอกที่อยู่ของคู่แข่งจากรายการธุรกรรมย้อนหลังสำหรับการโอนในธุรกรรมต่อๆ ไปเพราะนิสัยส่วนตัว มีโอกาสมากมายที่สินทรัพย์จะถูกโอนไปยังที่อยู่ที่ไม่ดีเพราะควา cuidado.imes.
ในวันที่ 3 พฤษภาคม 2024 1155WBTC มูลค่าเกิน 70 ล้านดอลลาร์สหรัฐถูกโจมตีด้วยวิธีการโจมตีการทำเลียนแบบการจับตัวของที่อยู่นี้
ที่อยู่ที่ถูกต้อง: 0xd9A1b0B1e1aE382DbDc898Ea68012FfcB2853a91
ที่อยู่ที่ไม่ดี: 0xd9A1C3788D81257612E2581A6ea0aDa244853a91
ธุรกรรมปกติ:
https://etherscan.io/tx/0xb18ab131d251f7429c56a2ae2b1b75ce104fe9e83315a0c71ccf2b20267683ac
ปัญหามลพิษของที่อยู่:
https://etherscan.io/tx/0x87c6e5d56fea35315ba283de8b6422ad390b6b9d8d399d9b93a9051a3e11bf73
ธุรกรรมที่เสียหาย:
https://etherscan.io/tx/0x3374abc5a9c766ba709651399b6e6162de97ca986abc23f423a9d893c8f5f570
7. การหลอกลวงที่ละเอียดมากขึ้น โดยใช้ CREATE2 เพื่อหลีกเลี่ยงการตรวจจับความปลอดภัย
ในปัจจุบัน กระเป๋าเงินและปลั๊กอุปกรณ์รักษาความปลอดภัยต่าง ๆ ได้นำการเตือนความเสี่ยงทางสายตาสำหรับรายการดำบ้างและวิธีการลวงหลอกที่รู้จักมากที่สุดลงบนหน้าจอ และยังแสดงข้อมูลลายเซ็นต์ได้มากขึ้นเรื่อย ๆ ทำให้ความสามารถของผู้ใช้ทั่วไปในการระบุการโจมตีลวงหลอกเพิ่มขึ้น อย่างไรก็ตาม เทคโนโลยีทางรบและทางป้องกันกันอยู่ในการแข่งขันกันและพัฒนาอยู่เสมอ วิธีการลวงหลอกที่มีลักษณะซ่อนไปมีอยู่อย่างต่อเนื่อง ดังนั้นเราควรระมัดระวังมากขึ้น การใช้ CREATE2 เพื่อหลีกเลี่ยงการตรวจจับรายการดำและปลั๊กอุปกรณ์รักษาความปลอดภัยถือเป็นวิธีที่พบได้บ่อยเร็วๆ นี้
Create2 เป็น opcode ที่เปิดตัวในระหว่างการอัปเกรด Ethereum 'Constantinople' ที่ช่วยให้ผู้ใช้สามารถสร้างสัญญาอัจฉริยะบน Ethereum ได้ ต้นฉบับสร้าง opcode สร้างที่อยู่ใหม่ตามที่อยู่ของผู้สร้างและ nonce Create2 ช่วยให้ผู้ใช้สามารถคํานวณที่อยู่ก่อนการปรับใช้สัญญา Create2 เป็นเครื่องมือที่ทรงพลังมากสําหรับนักพัฒนา Ethereum ทําให้สามารถโต้ตอบกับสัญญาขั้นสูงและยืดหยุ่นการคํานวณที่อยู่สัญญาตามพารามิเตอร์ล่วงหน้าธุรกรรมนอกเครือข่ายและการปรับใช้ที่ยืดหยุ่นและการปรับตัวของแอปพลิเคชันแบบกระจายเฉพาะ
ในขณะที่ Create2 มีประโยชน์ มันก็สร้างความเสี่ยงด้านความปลอดภัยใหม่ Create2 สามารถถูกใช้งานให้มุ่งหน้าที่การสร้างที่อยู่ใหม่ๆ ซึ่งไม่มีประวัติของธุรกรรมที่เป็นอันตราย โดยการหลีกเลี่ยงการตรวจจับในรายการดำและการเตือนเรื่องความปลอดภัยของกระเป๋าเงิน เมื่อเหยื่อลงนามที่ธุรกรรมที่เป็นอันตราย ผู้โจมตีสามารถใช้สัญญาบนที่อยู่ที่คำนวณล่วงหน้าและโอนสินทรัพย์ของเหยื่อไปยังที่อยู่นั้น และนี่เป็นกระบวนการที่ไม่สามารถย้อนกลับได้
คุณลักษณะของการโจมตีนี้:
(1) ช่วยให้สามารถสร้างที่อยู่สัญญาล่วงหน้าได้ ซึ่งทำให้ผู้โจมตีสามารถหลอกผู้ใช้ให้ให้สิทธิ์ก่อนการประดิษฐ์สัญญา
(2) เนื่องจากสัญญายังไม่ได้ถูกเรียกใช้ในเวลาที่ได้รับอนุญาต ที่อยู่โจมตีเป็นที่อยู่ใหม่ และเครื่องมือตรวจจับไม่สามารถให้คำเตือนล่วงหน้าโดยใช้รายชื่อดำประวัติศาสตร์ซึ่งมีการปกคลุมที่สูง
นี่คือตัวอย่างการลวดลายโดยใช้ CREATE2:
https://etherscan.io/tx/0x83f6bfde97f2fe60d2a4a1f55f9c4ea476c9d87fa0fcd0c1c3592ad6a539ed14
ในการทําธุรกรรมนี้เหยื่อได้โอน sfrxETH ในที่อยู่ไปยังที่อยู่ที่เป็นอันตราย (0x4D9f77) ซึ่งเป็นที่อยู่สัญญาใหม่โดยไม่มีบันทึกการทําธุรกรรมใด ๆ
แต่เมื่อคุณเปิดธุรกรรมการสร้างสัญญานี้ คุณจะพบว่าสัญญาดำเนินการโจมตีด้วยวิธีการช่องชวาในขณะเดียวกันกับการสร้าง โดยโอนทรัพย์สินจากที่อยู่ของเหยื่อ
https://etherscan.io/tx/0x77c79f9c865c64f76dc7f9dff978a0b8081dce72cab7c256ac52a764376f8e52
เมื่อดูการดําเนินการของธุรกรรมนี้คุณจะเห็นว่า 0x4d9f7773deb9cc44b34066f5e36a5ec98ac92d40 ถูกสร้างขึ้นหลังจากโทร CREATE2
นอกจากนี้ โดยการวิเคราะห์ที่อยู่ที่เกี่ยวข้องของ PinkDrainer จะพบว่าที่อยู่นี้กำลังสร้างที่อยู่สัญญาใหม่สำหรับการโจมตีผ่าน CREATE2 ทุกวัน
https://etherscan.io/address/0x5d775caa7a0a56cd2d56a480b0f92e3900fe9722#internaltx
2. การตกปลาเป็นบริการ
การโจมตีด้วยวิธีการปลอมแปลงกำลังเพิ่มมากขึ้น และเนื่องจากกำไรที่ผิดกฎหมายมหาศาล ซึ่งรากฐานอุตสาหกรรมดำที่ใช้ Drainer ให้บริการ (DaaS) ได้พัฒนาขึ้นเรื่อย ๆ มากขึ้น บางทีมีอยู่ด้วยกันเช่น Inferno/MS/Angel/Monkey/Venom/Pink/Pussy/Medusa ฯลฯ ผู้โจมตีด้วยวิธีการปลอมแปลงซื้อบริการ DaaS เหล่านี้ สร้างเว็บไซต์ปลอมแปลงหลายพันเว็บไซต์และบัญชีที่ใช้โกง อย่างเช่นหายนะที่รวดเร็ว และมีระดับความยากน้อย ลงมาก เหมือนรุ่นพิฆาตที่รุมเข้ามาในอุตสาหกรรมนี้ ทำให้ความปลอดภัยของทรัพย์สินของผู้ใช้ได้ถูกข่มขู่
ยกตัวอย่างเช่น Inferno Drainer แก๊งฟิชชิ่งฉาวโฉ่ที่ฝังสคริปต์ที่เป็นอันตรายบนเว็บไซต์ต่างๆ ตัวอย่างเช่นพวกเขาแพร่กระจาย seaport.js, coinbase.js และ wallet-connect.js เพื่อปลอมตัวเป็นฟังก์ชันโปรโตคอล Web3 ยอดนิยม (Seaport, WalletConnect และ Coinbase) เพื่อชักจูงให้ผู้ใช้รวมหรือคลิก หลังจากได้รับการยืนยันจากผู้ใช้พวกเขาจะโอนทรัพย์สินของผู้ใช้ไปยังที่อยู่ของผู้โจมตีโดยอัตโนมัติ เว็บไซต์มากกว่า 14,000 แห่งที่มีสคริปต์ Seaport ที่เป็นอันตรายเว็บไซต์มากกว่า 5,500 แห่งที่มีสคริปต์ WalletConnect ที่เป็นอันตรายเว็บไซต์มากกว่า 550 แห่งที่มีสคริปต์ Coinbase ที่เป็นอันตรายโดเมนที่เป็นอันตรายมากกว่า 16,000 โดเมนที่เกี่ยวข้องกับ Inferno Draner และแบรนด์ crypto มากกว่า 100 แบรนด์ถูกค้นพบ ชื่อแบรนด์ได้รับผลกระทบ ต่อไปนี้เป็นเว็บไซต์ฟิชชิ่งที่เกี่ยวข้องกับ Inferno Drainer
ส่วนหัวของเว็บไซต์มีสคริปต์ที่เป็นอันตรายสองตัว คือ seaport.js และ wallet-connect.js ลักษณะที่พบบ่อยอีกอย่างของเว็บไซต์ที่ใช้เทคนิค Inferno Drainer ในการโจมตีคือผู้ใช้ไม่สามารถเปิดรหัสของเว็บไซต์ได้ด้วยการคลิกขวาเมาส์ ซึ่งทำให้เว็บไซต์ดักจับข้อมูลเหล่านี้มีลักษณะที่ปกปิดมากขึ้น
ในกรอบ Phishing-as-a-Service โดยทั่วไป 20% ของสินทรัพย์ที่ถูกขโมยจะถูกโอนโดยอัตโนมัติไปยังที่อยู่ของผู้จัดการ Inferno Drainer โดยที่ 80% ที่เหลือจะถูกเก็บไว้โดยผู้กระทําการทำการโฆษณา นอกจากนี้ Inferno Drainer ยังให้บริการฟรีอย่างสม่ำเสมอในการสร้างและโฮสต์เว็บไซต์ของการทำการโฆษณา บางครั้งการให้บริการการทำการโฆษณายังต้องการค่าธรรมเนียม 30% ของเงินที่ถูกหลอกลวงเว็บไซต์การทำการโฆษณาเหล่านี้เหมาะสําหรับผู้ที่สามารถดึงดูดเหยื่อให้มาเยี่ยมชม แต่ขาดความสามารถในการสร้างและออกแบบโดยผู้โจมตีการทำการโฆษณาที่มีความสามารถทางเทคนิคในการโฮสต์เว็บไซต์หรือเพียงแค่ไม่ต้องการทํางานด้วยตนเอง
งั้น วิธีการโกง DaaS นี้ทำงานอย่างไร? นี่คือคำอธิบายขั้นตอนทีละขั้นตอนของแผนโกงคริปโตของ Inferno Drainer:
(1) Inferno Drainer โปรโมทบริการของพวกเขาผ่านช่องทาง Telegram ที่ชื่อ Inferno Multichain Drainer และบางครั้งผู้โจมตีก็เข้าถึงบริการผ่านเว็บไซต์ของ Inferno Drainer ด้วย
(2) ผู้โจมตีตั้งค่าและสร้างเว็บไซต์ของตนเองผ่านฟังก์ชันบริการ DaaS และแพร่กระจายผ่านทาง X (Twitter), Discord และโซเชียลมีเดียอื่น ๆ
(3) ผู้เสียหายถูกโน้มน้าวให้สแกนรหัส QR หรือวิธีอื่น ๆ ที่ปรากฏบนเว็บไซต์การหลอกลวงเหล่านี้เพื่อเชื่อมต่อกระเป๋าเงินของพวกเขา
(4) Drainer checks the victim’s most valuable and easily transferable assets and initiates malicious transactions.
(5) ผู้เสียหายยืนยันธุรกรรม
(6) สินทรัพย์ถูกระบบแพทย์ไปยังผู้ก่ออาชญากรรม จากสินทรัพย์ที่ถูกขโมยไป 20% ถูกระบบแพทย์ไปยังนักพัฒนา Inferno Drainer และ 80% ไปยังผู้โจมตีการลวงตัว
ภาพด้านล่างแสดงหน้าบริการ DaaS ที่ Inferno Drainer แสดงสถิติของลูกค้า: จำนวนการเชื่อมต่อ (หากเหยื่อเชื่อมต่อกระเป๋าเงินกับเว็บไซต์การจ phishing), คลิกสำเร็จ (หากเหยื่อได้ยืนยันธุรกรรม), และมูลค่าของสินทรัพย์ที่ถูกขโมย
ลูกค้าแต่ละคนของบริการ DaaS สามารถปรับแต่งฟังก์ชัน Drainer ของตนเองได้:
3. คำแนะนำเรื่องความปลอดภัย
(1) โดยทั่วไปผู้ใช้ไม่ควรคลิกที่ลิงก์ที่ไม่รู้จักที่ปลอมตัวเป็นข่าวดีเช่นรางวัล แอร์ดรอป ฯลฯ
(2) การเกิดเหตุการณ์ที่บัญชีโซเชียลมีเดียทางการถูกขโมยเพิ่มมาก และข้อมูลทางการอาจเป็นข้อมูลการล่อและข้อมูลทางการไม่ได้หมายความว่ามันปลอดภัยอย่างแน่นอน
(3) เมื่อใช้กระเป๋าเงิน DApps และแอปพลิเคชันอื่น ๆ คุณต้องใส่ใจในการคัดกรองและระวังไซต์ปลอมและแอปปลอม;
(4) ธุรกรรมหรือข้อความลายเซ็นใด ๆ ที่ต้องการการยืนยันจำเป็นต้องระวัง และพยายามยืนยันสิ่งที่เป้าหมาย เนื้อหา และข้อมูลอื่น ๆ ปฏิเสธการลงลายเซ็นอย่างบรรยาย ระวังตัว สงสัยทุกสิ่ง และให้แน่ใจว่าทุกขั้นตอนของการดำเนินงานเป็นชัดเจนและปลอดภัย
(5) นอกจากนี้ผู้ใช้จำเป็นต้องเข้าใจวิธีการโจมตีด้วยเทคนิคการโจมตีของฟิชชิ่งที่พบบ่อยที่กล่าวถึงในบทความนี้และเรียนรู้การระบุลักษณะของฟิชชิ่งอย่างใจเจริญ รู้จักลายเซ็นเจาะจง ฟังก์ชันการอนุญาตและความเสี่ยงของพวกเขา รู้จัก Interactive (URL การโต้ตอบ), Owner (ที่อยู่ของผู้อนุญาต), Spender (ที่อยู่ของฝ่ายที่ได้รับอนุญาต), Value (จำนวนที่ได้รับอนุญาต), Nonce (หมายเลขสุ่ม), Deadline (เวลาหมดอายุ), การโอน/การโอนจาก (การโอน) และเนื้อหาในฟิลด์อื่นๆ
คำปฏิเสธ:
- บทความนี้ถูกพิมพ์ซ้ำจาก [GateForesightnews]. ลิขสิทธิ์ทั้งหมดเป็นของผู้เขียนต้นฉบับ [SharkTeam]. If there are objections to this reprint, please contact the Gate Learnทีม และพวกเขาจะดำเนินการโดยเร็ว
- Liability Disclaimer: มุมมองและความคิดเห็นที่แสดงอยู่ในบทความนี้เป็นเพียงของผู้เขียนเท่านั้น และไม่เกิดเป็นคำแนะนำในการลงทุนใด ๆ
- การแปลบทความเป็นภาษาอื่นๆ ทำโดยทีม Gate Learn หากไม่ระบุไว้ การคัดลอก การกระจาย หรือการลอกเลียนบทความที่ถูกแปลนั้นห้าม
Artigos relacionados
คู่มือสำหรับผู้เริ่มต้นสู่ TradingView
คู่มือสำหรับผู้เริ่มต้นเทรด
ความเสี่ยงที่คุณต้องระวังเมื่อซื้อขาย Crypto
วิธีการล่อลวงที่พบบ่อยและคำแนะนำในการป้องกันความปลอดภัยใน Web3
1. วิเคราะห์เทคนิคการตกปลาทั่วไป
1. อนุญาตให้ตัวปลอมลายเซ็นออฟเชน
การอนุญาตเป็นฟังก์ชันที่ถูกขยายสำหรับการอนุญาตภายใต้มาตรฐาน ERC-20 โดยตรง คุณสามารถลงลายมือเพื่ออนุมัติที่อยู่อื่น ๆ เพื่อย้ายโทเค็นของคุณ หลักการคือคุณใช้ลายมือเพื่อระบุว่าที่อยู่ที่ได้รับอนุญาตสามารถใช้โทเค็นของคุณผ่านลายมือนี้ และจากนั้นที่อยู่ที่ได้รับอนุญาตจะใช้ลายมือของคุณเพื่อดำเนินการอนุญาตภายในเชือก และได้รับการอนุญาตในการโทรออกและสามารถโอนสินทรัพย์ของคุณ การปลอมลายมือภัยออกนอกโซนทั่วไปมักถูกแบ่งออกเป็นสามขั้นตอน
(1) ผู้โจมตีปลอมแอพลิเคชี่ลิงก์หรือเว็บไซต์แอพลิเคชี่เพื่อกระตุ้นผู้ใช้ลงนามผ่านกระเป๋าเงิน (ไม่มีการโต้ตอบสัญญา ไม่มีการโต้ตอบบนเชน)
วัตถุลายมือ: DAI/USDC/WETH และตัวแทน ERC20 อื่น ๆ (ที่นี่คือ DAI)
holder:// ที่อยู่ลายเซ็น
spender:// ที่อยู่ของผู้โกง
nonce:0
วันหมดอายุ:1988064000 // เวลาหมดอายุ
allowed:true
หากลงนาม ผู้โจมตีจะได้รับลายเซ็น (ช่วงของค่า r, s, v) ที่ใช้ในการขโมย DAI/USDC/WETH และเหรียญ ERC20 อื่น ๆ (ที่นี่คือ DAI) จากเหยื่อ เมื่อผู้โจมตีมีปฏิสัมพันธ์กับฟังก์ชันการอนุญาตจำเป็นต้องใช้)
(2) ผู้โจมตีเรียกใช้ฟังก์ชันการอนุญาตเพื่อทำการอนุญาตเสร็จสิ้น
https://etherscan.io/tx/0x1fe75ad73f19cc4c3b658889dae552bb90cf5cef402789d256ff7c3e091bb662
(3) ผู้โจมตีเรียกใช้ฟังก์ชัน transferFrom เพื่อโอนสินทรัพย์ของเหยื่อและเสร็จสิ้นการโจมตี
ขออธิบายความแตกต่างระหว่างการโอนและการโอนจาก ก่อน โอน ERC20 โดยตรง เรามักเรียกฟังก์ชันการโอนในสัญญา ERC20 และโอนจาก มักใช้เมื่อมีการให้สิทธิให้บุคคลที่สามโอน ERC20 ในกระเป๋าเราไปยังที่อยู่อื่น
https://etherscan.io/tx/0x9c02340896e238fc667c1d84fec78af99b1642c986fe3a81602903af498eb938
คำอธิบายเพิ่มเติม: ลายเซ็นนี้เป็นลายเซ็นออฟเชนที่ไม่ใช้ Gas หลังจากที่ผู้โจมตีได้รับมันแล้ว เขาจะดำเนินการ permit และ transferFrom ในการโต้ตอบ on-chain ดังนั้นบันทึกการอนุญาตจะไม่สามารถมองเห็นได้ในบันทึก on-chain ของที่อยู่ของเหยื่อ อาจเห็นได้ที่ที่อยู่ของผู้โจมตี โดยทั่วไปแล้ว ลายเซ็นนี้เป็นการใช้ครั้งเดียวและไม่สร้างความเสี่ยงในการโจมตีที่ซ้ำซากหรือต่อเนื่อง
2. อนุญาตให้มีการลวดลายปลอมลายนอกเชือก
Permit2 เป็นสัญญาอัจฉริยะที่เปิดตัวโดย Uniswap ปลายปี 2022 เพื่อความสะดวกของผู้ใช้ นั้นเป็นสัญญาการอนุญาตโทเค็นที่อนุญาตให้การอนุญาตโทเค็นถูกแบ่งปันและจัดการใน DApps ต่างๆ ในอนาคต โดยที่โครงการมากขึ้นและมากขึ้นจะถูกผนวกกับ Permit2 สัญญา Permit2 สามารถบรรลุประสบการณ์การจัดการอนุญาตที่เป็นไปได้ในระบบนิเวศ DApp ที่เป็นมิตรกันมากขึ้นและประหยัดค่าธุรกรรมของผู้ใช้
ก่อนที่ Permit2 จะเกิดขึ้น การแลกเปลี่ยนโทเค็นบน Uniswap ต้องให้การอนุญาต (Approve) แล้วแลกเปลี่ยน (Swap) ซึ่งต้องการการดำเนินการสองขั้นตอนและค่าธรรมเนียมแก๊สของธุรกรรมสองรายการ หลังจากเปิดตัว Permit2 ผู้ใช้สามารถอนุญาตสิทธิ์ทั้งหมดให้กับสัญญา Permit2 ของ Uniswap ในครั้งเดียว และการแลกเปลี่ยนที่ตามมาจะต้องการลายเซ็นเชิงออฟเชนเท่านั้น
แม้ว่า Permit2 จะปรับปรุงประสบการณ์ของผู้ใช้ แต่ก็ตามมาด้วยการโจมตีฟิชชิ่งที่เน้นที่ลายเซ็นเจอร์ของ Permit2 คล้ายกับการโจมตีฟิชชิ่งลายเซ็นเจอร์ Permit ภายนอก โจมตีนี้ยังแบ่งเป็น 4 ขั้นตอนหลักๆ คือ
(1) เงื่อนไขที่ต้องการคือว่ากระเป๋าเงินของผู้ใช้ได้ใช้ Uniswap มาก่อนที่จะถูกเจาะและให้สิทธิให้กับการจำกัดโทเค็นกับสัญญา Permit2 ของ Uniswap (Permit2 จะอนุญาตให้ผู้ใช้ให้สิทธิทั้งยอดคงเหลือของโทเค็นตามค่าเริ่มต้น)
https://etherscan.io/tx/0xd8f0333b9e0db7175c38c37e490379bde5c83a916bdaa2b9d46ee6bff4412e8f
(2) ผู้โจมตีปลอมแอพลิเคชั่นหรือหน้าเว็บช่องพร้อมให้ผู้ใช้เซ็นต์ ผู้โจมตีการล่อลวงได้รับข้อมูลลายเซ็นที่จำเป็นที่คล้ายกับการล่อลวงลายเซ็น Permit off-chain
(3) ผู้โจมตีเรียกใช้ฟังก์ชันอนุญาตของสัญญาอนุญาต2 เพื่อสิ้นสุดการอนุญาต
https://etherscan.io/tx/0xd8c3f55dfbc8b368134e6236b296563f506827bd5dc4d6c0df39851fd219d658
(4) ผู้โจมตีเรียกใช้ฟังก์ชัน transferFrom ของสัญญา Permit2 เพื่อโอนสินทรัพย์ของเหยืออออกและทำการโจมตีเสร็จสิ้น
https://etherscan.io/tx/0xf6461e003a55f8ecbe919a47b3c0dc6d0f068e48a941658329e35dc703138486
หมายเหตุเพิ่มเติม: โดยปกติจะมีหลายที่อยู่ที่ผู้โจมตีได้รับสินทรัพย์ โดยทั่วไปผู้รับหนึ่งคนที่มีจำนวนมากที่สุดคือผู้โจมตีที่นำเสนอฟิชชิ่ง และอีกส่วนหนึ่งคือที่อยู่ดำที่ให้บริการฟิชชิ่งเป็นบริการ (ผู้ให้บริการ DaaS ฟิชชิ่งเช่น PinkDrainer, InfernoDrainer, AngelDrainer, ฯลฯ)
3. eth_sign on-chain blind sign fishing
eth_sign เป็นวิธีลายเซ็นเปิดที่สามารถลงลายเซ็นในแฮชใดก็ได้ ผู้โจมตีจำเป็นต้องสร้างข้อมูลที่เป็นอันตรายใดก็ได้ที่ต้องการลงลายเซ็น (เช่น การโอนโทเค็น, การเรียกใช้สัญญา, การขออนุญาต เป็นต้น) และกระตุ้นผู้ใช้ที่จะลงลายเซ็นผ่าน eth_sign การโจมตีสามารถสำเร็จได้
MetaMask จะแจ้งเตือนเกี่ยวกับความเสี่ยงเมื่อทำการเซ็น eth_sign กระเป๋าสตางค์ Web3 เช่น imToken และ OneKey ได้ปิดใช้งานฟังก์ชันนี้หรือให้คำเตือนเกี่ยวกับความเสี่ยง แนะนำให้ผู้ผลิตกระเป๋าทั้งหมดปิดใช้วิธีนี้เพื่อป้องกันไม่ให้ผู้ใช้โดนโจมตีเนื่องจากขาดความรู้เรื่องความปลอดภัยหรือการสะสมทางเทคนิคที่จำเป็น
4. การเซ็น personal_sign/signTypedData การปลอมเข็มลงบนเชน
personal_sign และ signTypedData เป็นวิธีการลายเซ็นที่ใช้กันอย่างแพร่หลาย โดยทั่วไปผู้ใช้จำเป็นต้องตรวจสอบอย่างรอบคอบว่าผู้เริ่มต้น ชื่อโดเมน หรือเนื้อหาลายเซ็นเป็นปลอดภัยหรือไม่ หากมีความเสี่ยงควรระวังเพิ่มเติม
นอกจากนี้ หากใช้ personal_sign และ signTypedData เป็น "ลายเซ็นบนรูปแบบที่ปกปิด" เช่นเดียวกับที่กล่าวมาข้างต้น ผู้ใช้จะไม่สามารถเห็นข้อความชัดเจนซึ่งทำให้ง่ายต่อการใช้โดยกลุ่มผู้ทรงคุณวุฒิที่ทำการล่องหลอม ซึ่งยังเพิ่มความเสี่ยงในการล่องหลอม
5. การโจมตีทางอินเทอร์เน็ตที่ได้รับอนุญาต
โดยการปลอมเว็บไซต์ที่เป็นอันตรายหรือแขวนม้าบนเว็บไซต์อย่างเป็นทางการของโครงการ ผู้โจมตีจะกระตุ้นผู้ใช้ให้ยืนยันการดำเนินการ เช่น setApprovalForAll, Approve, Increase Approval, และ Increase Allowance, รับอนุญาติดำเนินการสินทรัพย์ของผู้ใช้ และกระทำการโจมตี
setApprovalForAll
เรียกอุบัติการณ์การล่อลวง PREMINT สมมติเช่นไฟล์ js ( https://s3-redwood-labs.premint.xyz/theme/js/boomerang.min.js) บนเว็บไซต์โปรเจกต์ถูกฉีดโค้ดที่อันตราย เป็นไฟล์ js ที่อันตรายhttps://s3-redwood-labs-premint-xyz.com/cdn.min.js?v=1658050292559) จะถูกสร้างขึ้นอย่างไดนามิก การโจมตีถูกเริ่มต้นโดยสคริปต์ที่ไม่ดีเลยที่นี้
เนื่องจากผู้ใช้ไม่ได้ค้นพบความเสี่ยงทันเวลา จึงยืนยันการดำเนินการ setApprovalForAll และไร้ความรู้ความเสี่ยงและรั่วไหลการอนุญาตให้ดำเนินการสำหรับสินทรัพย์ ซึ่งส่งผลให้สินทรัพย์ถูกขโมย
(2)อนุมัติ
เช่นเดียวกับ setApprovalForAll ผู้ใช้ได้ยืนยันการดำเนินการ Approve ซึ่งทำให้ข้อมูลการอนุญาตของสินทรัพย์รั่วไหล ซึ่งส่งผลให้สินทรัพย์ถูกขโมย
อนุมัติการไม่มีสิทธิ์
https://etherscan.io/tx/0x4b0655a5b75a9c078653939101fffc1d08ff7e5c89b0695ca6db5998214353fa
ผู้โจมตีโอนสินทรัพย์ผ่าน transferFrom:
https://etherscan.io/tx/0x0dedf25777ff5483bf71e70e031aacbaf50124f7ebb6804beb17aee2c15c33e8
หลักการโจมตีของฟังก์ชันเพิ่มการอนุมัติและเพิ่มการอนุญาตคล้ายกัน โดยค่าเริ่มต้น ค่าสูงสุดของผู้โจมตีในการดำเนินการกับโทเค็นของที่อยู่ของเหยื่อคือ 0 อย่างไรก็ตาม หลังจากได้รับอนุญาตจากฟังก์ชันสองตัวนี้ ผู้โจมตีจึงเพิ่มขีดจำกัดสำหรับโทเค็นของเหยื่อ ขีดจำกัดการดำเนินการ และจำนวนโทเค็นสามารถถูกโอนได้
(3) เพิ่มการอนุมัติ
เพิ่มการอนุมัติการไม่อนุญาต
https://etherscan.io/tx/0x7ae694080e2ad007fd6fa25f9a22ca0bbbff4358b9bc84cc0a5ba7872118a223
ผู้โจมตีโอนสินทรัพย์ผ่าน transferFrom:
https://etherscan.io/tx/0x15bc5516ed7490041904f1a4c594c33740060e0f0271cb89fe9ed43c974a7a69
(4) เพิ่มค่าเบี้ยสูง
เพิ่มอนุญาตการใช้งานที่ไม่ถูกต้อง:
https://etherscan.io/tx/0xbb4fe89c03d8321c5bfed612fb76f0756ac7e99c1efaf7c4d99d99f850d4de53
ผู้โจมตีโอนสินทรัพย์ผ่าน transferFrom:
https://etherscan.io/tx/0xb91d7b1440745aa07409be36666bc291ecc661e424b21b855698d488949b920f
6. การล่อลวงเพื่อการเกิดมลพิษที่อยู่
การหลอกลวงด้วยการปนเปื้อนที่อยู่ก็เป็นหนึ่งในวิธีการหลอกลวงที่ระบาดล่าสุดด้วย ผู้โจมตีติดตามธุรกรรมบนเชน แล้วปลอมแปลงที่อยู่ที่เป็นเพียงส่วนหนึ่งตามที่อยู่ของคู่ต่อสู้ในธุรกรรมย้อนหลังของผู้ใช้เป้าหมาย โดยทั่วไปแล้วหลักเลข 4 ถึง 6 หลักแรกและหลักท้าย 4 ถึง 6 หลักเกี่ยวข้องกับคู่ต่อสู้ที่ถูกต้อง ที่อยู่ของทั้งสองฝ่ายเหมือนกัน แล้วที่อยู่ที่ปลอมแปลงนี้จึงถูกใช้ในการโอนเงินจำนวนเล็กหรือโทเคนที่ไม่มีค่าไปยังที่อยู่ของผู้ใช้เป้าหมาย
ถ้าผู้ใช้เป้าหมายคัดลอกที่อยู่ของคู่แข่งจากรายการธุรกรรมย้อนหลังสำหรับการโอนในธุรกรรมต่อๆ ไปเพราะนิสัยส่วนตัว มีโอกาสมากมายที่สินทรัพย์จะถูกโอนไปยังที่อยู่ที่ไม่ดีเพราะควา cuidado.imes.
ในวันที่ 3 พฤษภาคม 2024 1155WBTC มูลค่าเกิน 70 ล้านดอลลาร์สหรัฐถูกโจมตีด้วยวิธีการโจมตีการทำเลียนแบบการจับตัวของที่อยู่นี้
ที่อยู่ที่ถูกต้อง: 0xd9A1b0B1e1aE382DbDc898Ea68012FfcB2853a91
ที่อยู่ที่ไม่ดี: 0xd9A1C3788D81257612E2581A6ea0aDa244853a91
ธุรกรรมปกติ:
https://etherscan.io/tx/0xb18ab131d251f7429c56a2ae2b1b75ce104fe9e83315a0c71ccf2b20267683ac
ปัญหามลพิษของที่อยู่:
https://etherscan.io/tx/0x87c6e5d56fea35315ba283de8b6422ad390b6b9d8d399d9b93a9051a3e11bf73
ธุรกรรมที่เสียหาย:
https://etherscan.io/tx/0x3374abc5a9c766ba709651399b6e6162de97ca986abc23f423a9d893c8f5f570
7. การหลอกลวงที่ละเอียดมากขึ้น โดยใช้ CREATE2 เพื่อหลีกเลี่ยงการตรวจจับความปลอดภัย
ในปัจจุบัน กระเป๋าเงินและปลั๊กอุปกรณ์รักษาความปลอดภัยต่าง ๆ ได้นำการเตือนความเสี่ยงทางสายตาสำหรับรายการดำบ้างและวิธีการลวงหลอกที่รู้จักมากที่สุดลงบนหน้าจอ และยังแสดงข้อมูลลายเซ็นต์ได้มากขึ้นเรื่อย ๆ ทำให้ความสามารถของผู้ใช้ทั่วไปในการระบุการโจมตีลวงหลอกเพิ่มขึ้น อย่างไรก็ตาม เทคโนโลยีทางรบและทางป้องกันกันอยู่ในการแข่งขันกันและพัฒนาอยู่เสมอ วิธีการลวงหลอกที่มีลักษณะซ่อนไปมีอยู่อย่างต่อเนื่อง ดังนั้นเราควรระมัดระวังมากขึ้น การใช้ CREATE2 เพื่อหลีกเลี่ยงการตรวจจับรายการดำและปลั๊กอุปกรณ์รักษาความปลอดภัยถือเป็นวิธีที่พบได้บ่อยเร็วๆ นี้
Create2 เป็น opcode ที่เปิดตัวในระหว่างการอัปเกรด Ethereum 'Constantinople' ที่ช่วยให้ผู้ใช้สามารถสร้างสัญญาอัจฉริยะบน Ethereum ได้ ต้นฉบับสร้าง opcode สร้างที่อยู่ใหม่ตามที่อยู่ของผู้สร้างและ nonce Create2 ช่วยให้ผู้ใช้สามารถคํานวณที่อยู่ก่อนการปรับใช้สัญญา Create2 เป็นเครื่องมือที่ทรงพลังมากสําหรับนักพัฒนา Ethereum ทําให้สามารถโต้ตอบกับสัญญาขั้นสูงและยืดหยุ่นการคํานวณที่อยู่สัญญาตามพารามิเตอร์ล่วงหน้าธุรกรรมนอกเครือข่ายและการปรับใช้ที่ยืดหยุ่นและการปรับตัวของแอปพลิเคชันแบบกระจายเฉพาะ
ในขณะที่ Create2 มีประโยชน์ มันก็สร้างความเสี่ยงด้านความปลอดภัยใหม่ Create2 สามารถถูกใช้งานให้มุ่งหน้าที่การสร้างที่อยู่ใหม่ๆ ซึ่งไม่มีประวัติของธุรกรรมที่เป็นอันตราย โดยการหลีกเลี่ยงการตรวจจับในรายการดำและการเตือนเรื่องความปลอดภัยของกระเป๋าเงิน เมื่อเหยื่อลงนามที่ธุรกรรมที่เป็นอันตราย ผู้โจมตีสามารถใช้สัญญาบนที่อยู่ที่คำนวณล่วงหน้าและโอนสินทรัพย์ของเหยื่อไปยังที่อยู่นั้น และนี่เป็นกระบวนการที่ไม่สามารถย้อนกลับได้
คุณลักษณะของการโจมตีนี้:
(1) ช่วยให้สามารถสร้างที่อยู่สัญญาล่วงหน้าได้ ซึ่งทำให้ผู้โจมตีสามารถหลอกผู้ใช้ให้ให้สิทธิ์ก่อนการประดิษฐ์สัญญา
(2) เนื่องจากสัญญายังไม่ได้ถูกเรียกใช้ในเวลาที่ได้รับอนุญาต ที่อยู่โจมตีเป็นที่อยู่ใหม่ และเครื่องมือตรวจจับไม่สามารถให้คำเตือนล่วงหน้าโดยใช้รายชื่อดำประวัติศาสตร์ซึ่งมีการปกคลุมที่สูง
นี่คือตัวอย่างการลวดลายโดยใช้ CREATE2:
https://etherscan.io/tx/0x83f6bfde97f2fe60d2a4a1f55f9c4ea476c9d87fa0fcd0c1c3592ad6a539ed14
ในการทําธุรกรรมนี้เหยื่อได้โอน sfrxETH ในที่อยู่ไปยังที่อยู่ที่เป็นอันตราย (0x4D9f77) ซึ่งเป็นที่อยู่สัญญาใหม่โดยไม่มีบันทึกการทําธุรกรรมใด ๆ
แต่เมื่อคุณเปิดธุรกรรมการสร้างสัญญานี้ คุณจะพบว่าสัญญาดำเนินการโจมตีด้วยวิธีการช่องชวาในขณะเดียวกันกับการสร้าง โดยโอนทรัพย์สินจากที่อยู่ของเหยื่อ
https://etherscan.io/tx/0x77c79f9c865c64f76dc7f9dff978a0b8081dce72cab7c256ac52a764376f8e52
เมื่อดูการดําเนินการของธุรกรรมนี้คุณจะเห็นว่า 0x4d9f7773deb9cc44b34066f5e36a5ec98ac92d40 ถูกสร้างขึ้นหลังจากโทร CREATE2
นอกจากนี้ โดยการวิเคราะห์ที่อยู่ที่เกี่ยวข้องของ PinkDrainer จะพบว่าที่อยู่นี้กำลังสร้างที่อยู่สัญญาใหม่สำหรับการโจมตีผ่าน CREATE2 ทุกวัน
https://etherscan.io/address/0x5d775caa7a0a56cd2d56a480b0f92e3900fe9722#internaltx
2. การตกปลาเป็นบริการ
การโจมตีด้วยวิธีการปลอมแปลงกำลังเพิ่มมากขึ้น และเนื่องจากกำไรที่ผิดกฎหมายมหาศาล ซึ่งรากฐานอุตสาหกรรมดำที่ใช้ Drainer ให้บริการ (DaaS) ได้พัฒนาขึ้นเรื่อย ๆ มากขึ้น บางทีมีอยู่ด้วยกันเช่น Inferno/MS/Angel/Monkey/Venom/Pink/Pussy/Medusa ฯลฯ ผู้โจมตีด้วยวิธีการปลอมแปลงซื้อบริการ DaaS เหล่านี้ สร้างเว็บไซต์ปลอมแปลงหลายพันเว็บไซต์และบัญชีที่ใช้โกง อย่างเช่นหายนะที่รวดเร็ว และมีระดับความยากน้อย ลงมาก เหมือนรุ่นพิฆาตที่รุมเข้ามาในอุตสาหกรรมนี้ ทำให้ความปลอดภัยของทรัพย์สินของผู้ใช้ได้ถูกข่มขู่
ยกตัวอย่างเช่น Inferno Drainer แก๊งฟิชชิ่งฉาวโฉ่ที่ฝังสคริปต์ที่เป็นอันตรายบนเว็บไซต์ต่างๆ ตัวอย่างเช่นพวกเขาแพร่กระจาย seaport.js, coinbase.js และ wallet-connect.js เพื่อปลอมตัวเป็นฟังก์ชันโปรโตคอล Web3 ยอดนิยม (Seaport, WalletConnect และ Coinbase) เพื่อชักจูงให้ผู้ใช้รวมหรือคลิก หลังจากได้รับการยืนยันจากผู้ใช้พวกเขาจะโอนทรัพย์สินของผู้ใช้ไปยังที่อยู่ของผู้โจมตีโดยอัตโนมัติ เว็บไซต์มากกว่า 14,000 แห่งที่มีสคริปต์ Seaport ที่เป็นอันตรายเว็บไซต์มากกว่า 5,500 แห่งที่มีสคริปต์ WalletConnect ที่เป็นอันตรายเว็บไซต์มากกว่า 550 แห่งที่มีสคริปต์ Coinbase ที่เป็นอันตรายโดเมนที่เป็นอันตรายมากกว่า 16,000 โดเมนที่เกี่ยวข้องกับ Inferno Draner และแบรนด์ crypto มากกว่า 100 แบรนด์ถูกค้นพบ ชื่อแบรนด์ได้รับผลกระทบ ต่อไปนี้เป็นเว็บไซต์ฟิชชิ่งที่เกี่ยวข้องกับ Inferno Drainer
ส่วนหัวของเว็บไซต์มีสคริปต์ที่เป็นอันตรายสองตัว คือ seaport.js และ wallet-connect.js ลักษณะที่พบบ่อยอีกอย่างของเว็บไซต์ที่ใช้เทคนิค Inferno Drainer ในการโจมตีคือผู้ใช้ไม่สามารถเปิดรหัสของเว็บไซต์ได้ด้วยการคลิกขวาเมาส์ ซึ่งทำให้เว็บไซต์ดักจับข้อมูลเหล่านี้มีลักษณะที่ปกปิดมากขึ้น
ในกรอบ Phishing-as-a-Service โดยทั่วไป 20% ของสินทรัพย์ที่ถูกขโมยจะถูกโอนโดยอัตโนมัติไปยังที่อยู่ของผู้จัดการ Inferno Drainer โดยที่ 80% ที่เหลือจะถูกเก็บไว้โดยผู้กระทําการทำการโฆษณา นอกจากนี้ Inferno Drainer ยังให้บริการฟรีอย่างสม่ำเสมอในการสร้างและโฮสต์เว็บไซต์ของการทำการโฆษณา บางครั้งการให้บริการการทำการโฆษณายังต้องการค่าธรรมเนียม 30% ของเงินที่ถูกหลอกลวงเว็บไซต์การทำการโฆษณาเหล่านี้เหมาะสําหรับผู้ที่สามารถดึงดูดเหยื่อให้มาเยี่ยมชม แต่ขาดความสามารถในการสร้างและออกแบบโดยผู้โจมตีการทำการโฆษณาที่มีความสามารถทางเทคนิคในการโฮสต์เว็บไซต์หรือเพียงแค่ไม่ต้องการทํางานด้วยตนเอง
งั้น วิธีการโกง DaaS นี้ทำงานอย่างไร? นี่คือคำอธิบายขั้นตอนทีละขั้นตอนของแผนโกงคริปโตของ Inferno Drainer:
(1) Inferno Drainer โปรโมทบริการของพวกเขาผ่านช่องทาง Telegram ที่ชื่อ Inferno Multichain Drainer และบางครั้งผู้โจมตีก็เข้าถึงบริการผ่านเว็บไซต์ของ Inferno Drainer ด้วย
(2) ผู้โจมตีตั้งค่าและสร้างเว็บไซต์ของตนเองผ่านฟังก์ชันบริการ DaaS และแพร่กระจายผ่านทาง X (Twitter), Discord และโซเชียลมีเดียอื่น ๆ
(3) ผู้เสียหายถูกโน้มน้าวให้สแกนรหัส QR หรือวิธีอื่น ๆ ที่ปรากฏบนเว็บไซต์การหลอกลวงเหล่านี้เพื่อเชื่อมต่อกระเป๋าเงินของพวกเขา
(4) Drainer checks the victim’s most valuable and easily transferable assets and initiates malicious transactions.
(5) ผู้เสียหายยืนยันธุรกรรม
(6) สินทรัพย์ถูกระบบแพทย์ไปยังผู้ก่ออาชญากรรม จากสินทรัพย์ที่ถูกขโมยไป 20% ถูกระบบแพทย์ไปยังนักพัฒนา Inferno Drainer และ 80% ไปยังผู้โจมตีการลวงตัว
ภาพด้านล่างแสดงหน้าบริการ DaaS ที่ Inferno Drainer แสดงสถิติของลูกค้า: จำนวนการเชื่อมต่อ (หากเหยื่อเชื่อมต่อกระเป๋าเงินกับเว็บไซต์การจ phishing), คลิกสำเร็จ (หากเหยื่อได้ยืนยันธุรกรรม), และมูลค่าของสินทรัพย์ที่ถูกขโมย
ลูกค้าแต่ละคนของบริการ DaaS สามารถปรับแต่งฟังก์ชัน Drainer ของตนเองได้:
3. คำแนะนำเรื่องความปลอดภัย
(1) โดยทั่วไปผู้ใช้ไม่ควรคลิกที่ลิงก์ที่ไม่รู้จักที่ปลอมตัวเป็นข่าวดีเช่นรางวัล แอร์ดรอป ฯลฯ
(2) การเกิดเหตุการณ์ที่บัญชีโซเชียลมีเดียทางการถูกขโมยเพิ่มมาก และข้อมูลทางการอาจเป็นข้อมูลการล่อและข้อมูลทางการไม่ได้หมายความว่ามันปลอดภัยอย่างแน่นอน
(3) เมื่อใช้กระเป๋าเงิน DApps และแอปพลิเคชันอื่น ๆ คุณต้องใส่ใจในการคัดกรองและระวังไซต์ปลอมและแอปปลอม;
(4) ธุรกรรมหรือข้อความลายเซ็นใด ๆ ที่ต้องการการยืนยันจำเป็นต้องระวัง และพยายามยืนยันสิ่งที่เป้าหมาย เนื้อหา และข้อมูลอื่น ๆ ปฏิเสธการลงลายเซ็นอย่างบรรยาย ระวังตัว สงสัยทุกสิ่ง และให้แน่ใจว่าทุกขั้นตอนของการดำเนินงานเป็นชัดเจนและปลอดภัย
(5) นอกจากนี้ผู้ใช้จำเป็นต้องเข้าใจวิธีการโจมตีด้วยเทคนิคการโจมตีของฟิชชิ่งที่พบบ่อยที่กล่าวถึงในบทความนี้และเรียนรู้การระบุลักษณะของฟิชชิ่งอย่างใจเจริญ รู้จักลายเซ็นเจาะจง ฟังก์ชันการอนุญาตและความเสี่ยงของพวกเขา รู้จัก Interactive (URL การโต้ตอบ), Owner (ที่อยู่ของผู้อนุญาต), Spender (ที่อยู่ของฝ่ายที่ได้รับอนุญาต), Value (จำนวนที่ได้รับอนุญาต), Nonce (หมายเลขสุ่ม), Deadline (เวลาหมดอายุ), การโอน/การโอนจาก (การโอน) และเนื้อหาในฟิลด์อื่นๆ
คำปฏิเสธ:
- บทความนี้ถูกพิมพ์ซ้ำจาก [GateForesightnews]. ลิขสิทธิ์ทั้งหมดเป็นของผู้เขียนต้นฉบับ [SharkTeam]. If there are objections to this reprint, please contact the Gate Learnทีม และพวกเขาจะดำเนินการโดยเร็ว
- Liability Disclaimer: มุมมองและความคิดเห็นที่แสดงอยู่ในบทความนี้เป็นเพียงของผู้เขียนเท่านั้น และไม่เกิดเป็นคำแนะนำในการลงทุนใด ๆ
- การแปลบทความเป็นภาษาอื่นๆ ทำโดยทีม Gate Learn หากไม่ระบุไว้ การคัดลอก การกระจาย หรือการลอกเลียนบทความที่ถูกแปลนั้นห้าม
Artigos relacionados
คู่มือสำหรับผู้เริ่มต้นสู่ TradingView
คู่มือสำหรับผู้เริ่มต้นเทรด