1. Analisis tentang teknik memancing umum

1. Izinkan phishing tanda tangan di luar rantai

Permit adalah fungsi tambahan untuk otorisasi di bawah standar ERC-20. Singkatnya, Anda dapat menandatangani untuk menyetujui alamat lain untuk memindahkan Token Anda. Prinsipnya adalah Anda menggunakan tanda tangan untuk menunjukkan bahwa alamat yang diotorisasi dapat menggunakan token Anda melalui tanda tangan ini, dan kemudian alamat yang diotorisasi mengambil tanda tangan Anda untuk melakukan interaksi izin on-chain dan mendapatkan otorisasi panggilan dan dapat mentransfer aset Anda. Phishing tanda tangan off-chain izin biasanya dibagi menjadi tiga langkah:

(1) Penyerang memalsukan tautan phishing atau situs web phishing untuk menginduksi pengguna agar masuk melalui dompet (tidak ada interaksi kontrak, tidak on-chain).

Objek tanda tangan: DAI/USDC/WETH dan token ERC20 lainnya (inilah DAI)

holder:// alamat tanda tangan

spender:// alamat phisher

nonce:0

kedaluwarsa:1988064000 // Waktu kedaluwarsa

diizinkan:benar

Jika ditandatangani, si peretas akan memperoleh tanda tangan (sebuah periode dari nilai r, s, v) yang digunakan untuk mencuri DAI/USDC/WETH dan token ERC20 lainnya (di sini, DAI) dari korban. Ketika si peretas berinteraksi dengan fungsi izin yang perlu digunakan).

(2) Penyerang memanggil fungsi izin untuk menyelesaikan otorisasi.

https://etherscan.io/tx/0x1fe75ad73f19cc4c3b658889dae552bb90cf5cef402789d256ff7c3e091bb662

(3) Penyerang memanggil fungsi transferFrom untuk mentransfer aset korban dan menyelesaikan serangan.

Pertama-tama, izinkan saya menjelaskan perbedaan antara transfer dan transferFrom. Ketika kita mentransfer ERC20 secara langsung, biasanya kita memanggil fungsi transfer dalam kontrak ERC20, dan transferFrom biasanya digunakan saat memberi izin kepada pihak ketiga untuk mentransfer ERC20 di dompet kita ke alamat lain.

https://etherscan.io/tx/0x9c02340896e238fc667c1d84fec78af99b1642c986fe3a81602903af498eb938

Penjelasan tambahan: Tanda tangan ini adalah tanda tangan luar rantai tanpa Gas. Setelah penyerang mendapatkannya, dia akan melakukan interaksi on-chain izin dan transferFrom, sehingga catatan izin tidak dapat dilihat dalam catatan on-chain dari alamat korban. Di alamat penyerang dapat dilihat. Secara umum, tanda tangan ini adalah penggunaan sekali pakai dan tidak menciptakan risiko phishing berulang atau berkelanjutan.

2. Izinkan phishing tanda tangan off-chain

Permit2 adalah kontrak pintar yang diluncurkan oleh Uniswap pada akhir 2022 untuk kenyamanan pengguna. Ini adalah kontrak persetujuan token yang memungkinkan otorisasi token dibagikan dan dikelola di berbagai DApps. Di masa depan, seiring semakin banyak proyek yang akan terintegrasi dengan Permit2, kontrak Permit2 dapat mencapai pengalaman manajemen otorisasi yang lebih terpadu dalam ekosistem DApp dan menghemat biaya transaksi pengguna.

Sebelum munculnya Permit2, pertukaran token di Uniswap memerlukan otorisasi (Approve) dan kemudian pertukaran (Swap), yang memerlukan dua operasi dan biaya gas dari dua transaksi. Setelah diluncurkannya Permit2, pengguna dapat mengotorisasi semua kuota mereka ke kontrak Permit2 Uniswap sekaligus, dan setiap penebusan selanjutnya hanya memerlukan tanda tangan di luar rantai.

Meskipun Permit2 meningkatkan pengalaman pengguna, namun diikuti oleh serangan phishing yang menargetkan tanda tangan Permit2. Seperti phishing tanda tangan Permit di luar rantai, Permit2 juga merupakan phishing tanda tangan di luar rantai. Serangan ini terutama terbagi menjadi empat langkah:

(1) Prasyaratnya adalah bahwa dompet pengguna telah menggunakan Uniswap sebelum dijebak dan memberikan otorisasi batas token ke kontrak Permit2 Uniswap (Permit2 akan memungkinkan pengguna untuk mengotorisasi seluruh saldo token secara default).

https://etherscan.io/tx/0xd8f0333b9e0db7175c38c37e490379bde5c83a916bdaa2b9d46ee6bff4412e8f

(2) Penyerang memalsukan tautan phishing atau halaman phishing untuk menginduksi pengguna agar menandatangani. Penyerang phishing memperoleh informasi tanda tangan yang diperlukan, yang mirip dengan izin phishing tanda tangan off-chain.

(3) Penyerang memanggil fungsi izin dari kontrak Permit2 untuk menyelesaikan otorisasi.

https://etherscan.io/tx/0xd8c3f55dfbc8b368134e6236b296563f506827bd5dc4d6c0df39851fd219d658

(4) Penyerang memanggil fungsi transferFrom kontrak Permit2 untuk mentransfer aset korban keluar dan menyelesaikan serangan.

https://etherscan.io/tx/0xf6461e003a55f8ecbe919a47b3c0dc6d0f068e48a941658329e35dc703138486

Catatan tambahan: Biasanya ada beberapa alamat di mana para penyerang menerima aset. Biasanya salah satu penerima dengan jumlah terbesar adalah penyerang yang melaksanakan phishing, dan yang lainnya adalah alamat hitam yang menyediakan phishing-as-a-service (penyedia DaaS phishing-as-a-service), seperti PinkDrainer, InfernoDrainer, AngelDrainer, dll.

3. eth_sign on-chain blind sign fishing

eth_sign adalah metode tanda tangan terbuka yang dapat menandatangani hash apa pun. Penyerang hanya perlu membuat data berbahaya apa pun yang perlu ditandatangani (seperti transfer token, panggilan kontrak, perolehan otorisasi, dll.) dan menginduksi pengguna untuk menandatangani melalui eth_sign. Serangan dapat diselesaikan.

MetaMask akan memberikan peringatan risiko saat menandatangani eth_sign. Dompet Web3 seperti imToken dan OneKey telah menonaktifkan fungsi ini atau memberikan peringatan risiko. Disarankan agar semua produsen dompet menonaktifkan metode ini untuk mencegah pengguna dari serangan akibat kurangnya kesadaran keamanan atau akumulasi teknis yang diperlukan.

4. phishing tanda tangan personal_sign/signTypedData on-chain

personal_sign dan signTypedData adalah metode tanda tangan yang umum digunakan. Biasanya pengguna perlu memeriksa dengan hati-hati apakah inisiator, nama domain, konten tanda tangan, dll. aman. Jika berisiko, mereka harus ekstra waspada.

Selain itu, jika personal_sign dan signTypedData digunakan sebagai “tanda tangan buta” seperti di atas, pengguna tidak dapat melihat teks yang jelas, yang membuatnya mudah digunakan oleh geng phishing, yang juga akan meningkatkan risiko phishing.

5. Phishing yang Diotorisasi

Dengan membuat situs web berbahaya atau menggantung kuda di situs web resmi proyek, penyerang menginduksi pengguna untuk mengonfirmasi operasi seperti setApprovalForAll, Approve, Increase Approval, dan Increase Allowance, memperoleh otorisasi operasi aset pengguna, dan melakukan pencurian.

setujuiSemua

Mengambil insiden phishing kuda PREMINT sebagai contoh, sebuah file js (https://s3-redwood-labs.premint.xyz/theme/js/boomerang.min.js) di situs web proyek disuntik dengan kode berbahaya. File js berbahaya (https://s3-redwood-labs-premint-xyz.com/cdn.min.js?v=1658050292559) akan dibuat secara dinamis. Serangan ini dimulai oleh skrip berbahaya ini.

Karena pengguna tidak menemukan risiko tepat waktu, dia mengonfirmasi operasi setApprovalForAll dan tanpa disengaja membocorkan otorisasi operasi untuk aset, yang mengakibatkan aset dicuri.

（2）Menyetujui

Sama seperti setApprovalForAll, pengguna mengonfirmasi operasi Persetujuan, bocornya izin operasi untuk aset, yang mengakibatkan aset dicuri.

Menyetujui Penyalahgunaan:

https://etherscan.io/tx/0x4b0655a5b75a9c078653939101fffc1d08ff7e5c89b0695ca6db5998214353fa

Penyerang mentransfer aset melalui transferFrom:

https://etherscan.io/tx/0x0dedf25777ff5483bf71e70e031aacbaf50124f7ebb6804beb17aee2c15c33e8

Prinsip serangan dari fungsi Increase Approval dan Increase Allowance mirip dengan ini. Secara default, batas atas penyerang untuk mengoperasikan token alamat korban adalah 0. Namun, setelah mendapatkan otorisasi dari kedua fungsi ini, penyerang meningkatkan batas untuk token korban. batas operasi, dan kemudian jumlah token dapat ditransfer.

（3）Peningkatan Persetujuan

Meningkatkan Persetujuan Kesalahan Otorisasi:

https://etherscan.io/tx/0x7ae694080e2ad007fd6fa25f9a22ca0bbbff4358b9bc84cc0a5ba7872118a223

Penyerang mentransfer aset melalui transferFrom:

https://etherscan.io/tx/0x15bc5516ed7490041904f1a4c594c33740060e0f0271cb89fe9ed43c974a7a69

(4) Meningkatkan Tunjangan

Peningkatan Izin Penyalahgunaan:

https://etherscan.io/tx/0xbb4fe89c03d8321c5bfed612fb76f0756ac7e99c1efaf7c4d99d99f850d4de53

Penyerang mentransfer aset melalui transferFrom:

https://etherscan.io/tx/0xb91d7b1440745aa07409be36666bc291ecc661e424b21b855698d488949b920f

6. Phishing polusi alamat

Phishing polusi alamat juga salah satu metode phishing yang merajalela belakangan ini. Penyerang memantau transaksi di rantai lalu menciptakan alamat jahat berdasarkan alamat lawan dalam transaksi historis pengguna target. Biasanya 4 hingga 6 digit pertama dan 4 hingga 6 digit terakhir terkait dengan lawan yang benar. Alamat kedua pihak sama, lalu alamat palsu jahat ini digunakan untuk mentransfer jumlah kecil atau token tak berharga ke alamat pengguna target.

Jika pengguna target menyalin alamat lawan dari pesanan transaksi historis untuk transfer dalam transaksi berikutnya karena kebiasaan pribadi, sangat mungkin aset akan secara tidak sengaja ditransfer ke alamat jahat karena kelalaian.

Pada 3 Mei 2024, 1155WBTC, senilai lebih dari 70 juta dolar AS, dicuri karena metode phishing polusi dari alamat ini.

Alamat yang benar: 0xd9A1b0B1e1aE382DbDc898Ea68012FfcB2853a91

Alamat jahat: 0xd9A1C3788D81257612E2581A6ea0aDa244853a91

Transaksi normal:

https://etherscan.io/tx/0xb18ab131d251f7429c56a2ae2b1b75ce104fe9e83315a0c71ccf2b20267683ac

Polusi alamat:

https://etherscan.io/tx/0x87c6e5d56fea35315ba283de8b6422ad390b6b9d8d399d9b93a9051a3e11bf73

Transaksi yang salah alamat:

https://etherscan.io/tx/0x3374abc5a9c766ba709651399b6e6162de97ca986abc23f423a9d893c8f5f570

7. Lebih halus phishing, menggunakan CREATE2 untuk menghindari deteksi keamanan

Saat ini, berbagai dompet dan plug-in keamanan telah secara bertahap menerapkan pengingat risiko visual untuk daftar hitam phishing dan metode phishing umum, dan juga semakin menampilkan informasi tanda tangan secara lebih lengkap, meningkatkan kemampuan pengguna biasa untuk mengidentifikasi serangan phishing. Namun, teknologi ofensif dan defensif selalu bersaing satu sama lain dan terus berkembang. Metode phishing yang lebih tersembunyi juga terus muncul, sehingga kita perlu lebih waspada. Menggunakan CREATE2 untuk menghindari deteksi daftar hitam dari dompet dan plug-in keamanan adalah metode yang relatif umum belakangan ini.

Create2 adalah sebuah opcode yang diperkenalkan selama upgrade Ethereum 'Constantinople' yang memungkinkan pengguna untuk membuat kontrak pintar di Ethereum. Opcode Create asli menghasilkan alamat baru berdasarkan alamat pembuat dan nonce. Create2 memungkinkan pengguna untuk menghitung alamat sebelum implementasi kontrak. Create2 adalah alat yang sangat kuat bagi pengembang Ethereum, memungkinkan interaksi kontrak canggih dan fleksibel, perhitungan alamat kontrak berbasis parameter, transaksi off-chain, dan implementasi dan adaptasi fleksibel dari aplikasi terdistribusi spesifik.

Sementara Create2 memberikan manfaat, itu juga menciptakan risiko keamanan baru. Create2 dapat disalahgunakan untuk menghasilkan alamat baru tanpa riwayat transaksi berbahaya, melewati deteksi daftar hitam dompet dan peringatan keamanan. Ketika korban menandatangani transaksi berbahaya, penyerang dapat mendeploy kontrak pada alamat yang telah dihitung sebelumnya dan mentransfer aset korban ke alamat tersebut, dan ini adalah proses yang tidak dapat dibalikkan.

Fitur dari serangan ini:

(1) Memungkinkan penciptaan alamat kontrak prediktif, memungkinkan penyerang untuk menipu pengguna agar memberikan izin sebelum melakukan penyebaran kontrak.

(2) Karena kontrak belum diterapkan pada saat otorisasi, alamat serangan adalah alamat baru, dan alat deteksi tidak dapat memberikan peringatan dini berdasarkan daftar hitam historis, yang memiliki tingkat penyembunyian yang lebih tinggi.

Berikut adalah contoh phishing menggunakan CREATE2:

https://etherscan.io/tx/0x83f6bfde97f2fe60d2a4a1f55f9c4ea476c9d87fa0fcd0c1c3592ad6a539ed14

Dalam transaksi ini, korban mentransfer sfrxETH di alamat ke alamat jahat (0x4D9f77), yang merupakan alamat kontrak baru tanpa catatan transaksi apa pun.

Tetapi ketika Anda membuka transaksi penciptaan kontrak ini, Anda dapat menemukan bahwa kontrak menyelesaikan serangan phishing pada saat yang sama dengan penciptaannya, mentransfer aset dari alamat korban.

https://etherscan.io/tx/0x77c79f9c865c64f76dc7f9dff978a0b8081dce72cab7c256ac52a764376f8e52

Melihat pelaksanaan transaksi ini, Anda dapat melihat bahwa 0x4d9f7773deb9cc44b34066f5e36a5ec98ac92d40 dibuat setelah memanggil CREATE2.

Selain itu, dengan menganalisis alamat terkait PinkDrainer, dapat ditemukan bahwa alamat ini membuat alamat kontrak baru untuk phishing melalui CREATE2 setiap hari.

https://etherscan.io/address/0x5d775caa7a0a56cd2d56a480b0f92e3900fe9722#internaltx

2. Memancing sebagai Layanan

Serangan phishing semakin marak, dan karena keuntungan ilegal yang besar, rantai industri hitam berbasis Drainer as a Service (DaaS) telah berkembang secara bertahap. Yang lebih aktif termasuk Inferno/MS/Angel/Monkey/Venom/Pink/Pussy/Medusa, dll., pelaku phishing membeli layanan DaaS ini, dengan cepat dan dengan ambang batas rendah, membangun ribuan situs web phishing, akun palsu, dll., seperti bencana yang merambah ke industri ini, mengancam keamanan aset pengguna.

Ambil Inferno Drainer sebagai contoh, sebuah kelompok phising yang terkenal yang menyisipkan skrip jahat pada berbagai situs web. Sebagai contoh, mereka menyebarkan seaport.js, coinbase.js, dan wallet-connect.js untuk menyamar sebagai fungsi protokol Web3 populer (Seaport, WalletConnect, dan Coinbase) untuk menginduksi pengguna untuk mengintegrasikan atau mengklik. Setelah menerima konfirmasi pengguna, mereka akan secara otomatis mentransfer aset pengguna ke alamat penyerang. Lebih dari 14.000 situs web yang mengandung skrip Seaport berbahaya, lebih dari 5.500 situs web yang mengandung skrip WalletConnect berbahaya, lebih dari 550 situs web yang mengandung skrip Coinbase berbahaya, lebih dari 16.000 domain berbahaya terkait Inferno Drainer, dan lebih dari 100 merek kripto telah ditemukan. nama merek terpengaruh. Berikut adalah situs web phishing terkait Inferno Drainer.

Bagian kepala situs web berisi dua skrip jahat, seaport.js dan wallet-connect.js. Fitur tipikal lain dari situs web phishing Inferno Drainer adalah pengguna tidak dapat membuka kode sumber situs web dengan mengklik kanan mouse, yang membuat situs web phishing ini lebih tersembunyi.

Di bawah kerangka Phishing-as-a-Service, biasanya 20% aset yang dicuri secara otomatis ditransfer ke alamat penyelenggara Inferno Drainer, dengan 80% sisanya dikuasai oleh pelaku phishing. Selain itu, Inferno Drainer secara teratur menyediakan layanan gratis untuk membuat dan menghosting situs web phishing. Terkadang layanan phishing juga memerlukan biaya sebesar 30% dari dana yang ditipu. Situs web phishing ini ditujukan bagi mereka yang dapat menarik korban untuk mengunjunginya tetapi tidak memiliki kemampuan untuk membuat dan dirancang oleh pelaku phishing yang entah memiliki kemampuan teknis untuk meng-host situs web atau hanya tidak ingin melakukannya sendiri.

Jadi, bagaimana penipuan DaaS ini bekerja? Berikut adalah deskripsi langkah demi langkah skema penipuan kripto Inferno Drainer:

(1) Inferno Drainer mempromosikan layanan mereka melalui saluran Telegram bernama Inferno Multichain Drainer, dan terkadang penyerang juga mengakses layanan tersebut melalui situs web Inferno Drainer.

(2) Penyerang menyiapkan dan membuat situs web phishing sendiri melalui fungsi layanan DaaS, dan menyebarkannya melalui X (Twitter), Discord, dan media sosial lainnya.

(3) Korban dibujuk untuk memindai kode QR atau metode lain yang terdapat di situs web phishing ini untuk menghubungkan dompet mereka.

(4) Drainer memeriksa aset paling berharga dan mudah dipindahkan korban serta menginisiasi transaksi jahat.

(5) Korban mengkonfirmasi transaksi tersebut.

(6) Aset dialihkan ke penjahat. Dari aset yang dicuri, 20% dialihkan ke pengembang Inferno Drainer dan 80% ke penyerang phishing.

Berikut ini adalah halaman layanan DaaS di mana Inferno Drainer menunjukkan kepada pelanggan statistik mereka: jumlah koneksi (jika korban telah terhubung dompet ke situs phishing), klik berhasil (jika korban telah mengonfirmasi transaksi), dan nilai aset yang dicuri.

Setiap pelanggan layanan DaaS dapat menyesuaikan fungsi Drainer mereka sendiri:

3. Saran Keselamatan

(1) Pertama-tama, pengguna tidak boleh mengklik tautan yang tidak dikenal yang menyamar sebagai berita baik seperti reward, airdrop, dll;

(2) Kejadian akun media sosial resmi yang dicuri semakin meningkat, dan informasi resmi juga bisa menjadi informasi phishing, dan informasi resmi tidak berarti itu mutlak aman;

(3) Saat menggunakan dompet, DApps, dan aplikasi lainnya, Anda harus memperhatikan penyaringan dan waspada terhadap situs palsu dan aplikasi palsu;

(4) Setiap transaksi atau pesan tanda tangan yang membutuhkan konfirmasi perlu berhati-hati, dan mencoba untuk saling mengonfirmasi target, konten, dan informasi lainnya. Menolak untuk menandatangani secara membabi buta, tetap waspada, meragukan segalanya, dan memastikan bahwa setiap langkah operasi jelas dan aman.

(5) Selain itu, pengguna perlu memahami metode serangan phishing umum yang disebutkan dalam artikel ini dan belajar untuk secara proaktif mengidentifikasi karakteristik phishing. Kuasai tanda tangan umum, fungsi otorisasi dan risikonya, kuasai Interaktif (URL interaksi), Pemilik (alamat pemberi izin), Pengeluar (alamat pihak yang diizinkan), Nilai (jumlah yang diizinkan), Nonce (nomor acak), Batas Waktu (waktu kadaluarsa), transfer/transferFrom (transfer) dan konten bidang lainnya.

Penafian:

1. Artikel ini dicetak ulang dari [Foresightnews]. Semua hak cipta dimiliki oleh penulis asli [SharkTeam]. Jika ada keberatan terhadap cetakan ulang ini, silakan hubungi Pelajari Gatetim, dan mereka akan menanganinya dengan cepat.
2. Penyangkalan Tanggung Jawab: Pandangan dan opini yang terdapat dalam artikel ini semata-mata milik penulis dan tidak merupakan saran investasi apa pun.
3. Terjemahan artikel ke dalam bahasa lain dilakukan oleh tim Gate Learn. Kecuali disebutkan, menyalin, mendistribusikan, atau menjiplak artikel yang telah diterjemahkan dilarang.