回顧過去的一年,我們看到加密領域出現了很多新場景,新應用和新變化。玩家也在逐漸增多,但是安全問題也一直困擾著行業的發展。因此,慢霧整理了2022 年行業中出現的那些重大的安全時間,並進行了相應的分析和解讀。
圖片描述SlowMist Hacked圖片描述
(2022 年安全事件統計)
公鏈
一級標題
公鏈
公鏈
公鍊是Web3 領域最重要的基礎設施,也是行業中競爭最激烈的賽道之一。而2022 年最令人訝異的莫過於Terra 事件了。 5 月8 日,加密貨幣市場上出現了史上最具破壞性的一次崩盤。 Terra 網絡的算法穩定幣UST 出現了2.85 億美元的巨額拋售,引發了一系列連鎖反應。 Terra 的原生代幣LUNA 的價格突然毫無徵兆的連續跳崖式暴跌,一天時間,Luna 市值蒸發了近400 億美元,全生態項目TVL 也幾乎歸零。此次事件或許成為了開啟2022 加密寒冬的死亡按鈕。
DeFi / 跨鏈橋
據DeFi Llama數據顯示,截止12 月底,DeFi 總鎖倉價值約為398 億美元,同比巨降75% 。 Ethereum 以佔比整個DeFi TVL 的58.5% (233 億美元)佔據主導地位,緊隨其後的是TRON,TVL 為43 億美元,BNB Chain (BNB根據,根據
根據SlowMist Hacked根據
數據數據根據
根據SlowMist Hacked二級標題
二級標題
NFT
NFT 在2022 年表現極為搶眼,據NFTScan數據顯示,在以太坊上的NFT 全年交易次數達1.98 億次,明顯高於2020 年和2021 年。而在BNBChain 上的NFT 全年交易次數達3.45 億次,在Polygon 上的NFT 全年交易次數達7.93 億次。
另一方面,根據SlowMist Hacked不完全統計, 2022 年NFT 賽道安全事件約56 起,損失超6543 萬美元,其中大部分是由釣魚攻擊導致,佔比約為40% (22 起),其次是Rug Pull,佔比約為21% (12 起)。
錢包/ 交易平台
2 月8 日,美國司法部(DOJ)發佈公告稱,已經查獲了價值36 億美元的比特幣,這些比特幣與2016 年加密貨幣交易所Bitfinex 的黑客事件有關。 34 歲的Ilya Lichtenstein 和其31 歲的妻子Heather Morgan 在紐約被捕,兩人被指控共謀洗錢和詐騙罪。這也是美國司法部有史以來最大規模的金融扣押。
11 月6 日,幣安創始人CZ 發推稱決定清算賬面上所有剩餘的FTT,由此引發兩大交易所之間的對峙。儘管Alameda CEO 和FTX CEO SBF 接連發推試圖穩固用戶信心並闢謠此前曝光的消息,但還是引發FTX 在流動性枯竭後迅速破產。最終,FTX 暴雷,SBF 被捕。中心化交易所的不透明再度引發人們的信任危機,缺乏審慎監管的問題越發凸顯。無論是對消費者更嚴格的保護,還是對機構更明確的規則,監管的腳步都將愈發清晰。
在FTX 暴雷後,硬件錢包的銷量大幅增長,用戶量最多的錢包MetaMask 月活用戶達3000 萬。根據Finbold其他
其他
數據
數據數據, 2021 年涉詐款項的支付方式中,利用加密貨幣進行支付僅次於銀行轉賬,排名第二位,高達7.5 億美元;而2020 年、 2019 年僅為1.3、 0.3 億美元,逐年大幅增長的趨勢明顯。值得關注的是,加密貨幣轉賬在“殺豬盤”詐騙中增長迅速。 2021 年“殺豬盤”詐騙資金中1.39 億美元使用加密貨幣支付,是2020 年的5 倍、 2019 年的25 倍。
根據美國聯邦貿易委員會(FTC)發布的一份報告,在自2021 年年初以來的一年多時間裡,已有超過4.6 萬人報告自己遭遇了加密貨幣騙局,損失總額超過10 億美元。根據報告,最常見的加密貨幣騙局類型是投資相關欺詐,在總金額10 億美元中佔5.75 億美元,最常向詐騙者支付的加密貨幣包括BTC(70% )、USDT(10% )和ETH (9% )。
二、攻擊手法
295 起安全事件中,攻擊手法主要分為三類:由項目自身設計缺陷和各種合約漏洞引起的攻擊;包含Rug Pull、釣魚、Scam 類型的手法;由私鑰洩露引起的資產損失。
2022 年最常見的攻擊手法是由項目自身設計缺陷和各種合約漏洞引起,約92 起,造成損失10.6 億美元,佔總數量的40.5% 。其中較為主要的是利用閃電貸引起的攻擊,約19 起,造成損失6133 萬美元,其他包括重入問題、價格操縱、驗證問題等等。
因私鑰被盜引起的資產損失發生率約為6% ,損失金額卻達到7.46 億美元,僅次於合約漏洞利用,因私鑰被盜的事件中,損失最大的來自Ronin 事件,其次是Harmony ,都是來自跨鏈橋。
在Web3 世界,用戶的安全意識往往是參差不齊,這也導致了針對用戶的釣魚攻擊花樣多多且頻繁發生。例如,攻擊者利用惡意手段將各項目的官方媒體平台(如Discord、Twitter)佔為己有或者偽造官方媒體號並發布釣魚Mint、AirDrop 鏈接,還時不時轉發真正的官方號內容來混餚視聽。例如,利用搜索引擎上的廣告宣傳虛假網站或者與官方域名高度相似的域名及內容來以假亂真;例如通過偽造的郵件、吸引人的贈品活動來引你入局;又例如利用新用戶信息差提供假APP下載鏈接。無論如何,提高安全意識才是最必要的,同時,一旦發現自己中招,第一時間轉移資產,及時止損並保留證據,必要時尋求業內安全機構的幫助。
其次,最令人憎惡的則是Rug Pull。 Rug Pull 通常指項目的開發者放棄項目,帶著資金逃跑,更多是項目方主動作惡。它可以以多種方式發生:比如當開發者啟動初始流動性,推高價格,然後撤回流動性項目方先創建一個加密項目,通過各種營銷手段吸引加密用戶投資,並在合適的時機毫無徵兆地捲走用戶投資的資金,拋售加密資產,最終銷聲匿跡,投資該項目的用戶也將蒙受巨大損失。再比如推出一個網站,但在吸引了數十萬存款後關閉。 2022 年RugPull 事件達到50 起,損失約1.88 億美元,常發生於BSC 生態及NFT 領域。
2022 年其他較為新型的手法為前端惡意攻擊、DNS 攻擊以及BGP 劫持;最為奇葩的則是人為配置操作失誤導致的資產損失。
三、釣魚/騙局手法
此節只選取部分SlowMist 曾披露過的釣魚/騙局手法。
瀏覽器惡意書籤盜取Discord Token
現在的瀏覽器都有自帶的書籤管理器,在提供便利的同時卻也容易被攻擊者利用。通過精心構造惡意的釣魚頁面可以讓你收藏的書籤中插入一段JavaScript 代碼,有了這個幾乎可以做任何事情,包括通過Discord 封裝好的webpackChunkdiscord_app 前端包進行信息獲取。當Discord 用戶點擊時,惡意JavaScript 代碼就會在用戶所在的Discord 域內執行,盜取Discord Token,攻擊者獲得項目方的Discord Token 後就可以直接自動化接管項目方的Discord 賬戶相關權限。攻擊者拿到了Token 等同於登錄了Discord 賬號,可以做登錄Discord 的任何同等操作,比如建立一個Discord webhook 機器人,在頻道裡發佈公告等虛假消息進行釣魚。下面是演示受害者點擊了釣魚的書籤:
下面是演示攻擊者編寫的JavaScript 代碼獲取Token 等個人信息後,通過Discord Server 的webhook 接收到。
可以看到,在用戶登錄Web 端Discord 的前提下,假設受害者在釣魚頁面的指引下添加了惡意書籤,在Discord Web 端登錄時,點擊了該書籤,觸發惡意代碼,受害者的Token 等個人信息便會通過攻擊者設置好的Discord webhook 發送到攻擊者的頻道上。
“零元購” NFT 釣魚
例如下圖釣魚網站,簽名內容為
Maker:用戶地址
Taker:0xde6135b63decc 47 d 5 a 5 d 47834 a 7 dd 241 fe 61945 a
Exchange:0x7f268357A8c2552623316e2562D90 e 64 2bB 538 E 5 (OpenSeaV2合約地址)
這是一種較為常見的NFT 釣魚方式,即騙子能夠以0 ETH(或任何代幣)購買你所有授權的NFT。也就是說,這是欺騙用戶簽名NFT 的銷售訂單,NFT 是由用戶持有的,一旦用戶簽名了此訂單,騙子就可以直接通過OpenSea 購買用戶的NFT,但是購買的價格由騙子決定,也就是說騙子不花費任何資金就能“買”走用戶的NFT。
此外,簽名本身是為攻擊者存儲的,不能通過Revoke.Cash 或Etherscan 等網站取消授權來廢棄簽名的有效性,但可以取消你之前的掛單授權,這樣也能從根源上避免這種釣魚風險。
Redline Stealer 木馬盜幣
這種攻擊主要是通過Discord 邀請用戶參與新的遊戲項目內測,打著“給予優惠”等幌子,或是通過群內私聊等方式發一個程序讓你下載,一般是發送壓縮包,解壓出來是一個大概800 M 左右的exe 文件,一旦你在電腦上運行,它會掃描你電腦上的文件,然後過濾包含Wallet 等關鍵詞的文件上傳到攻擊者服務器,達到盜取加密貨幣的目的。
RedLine Stealer 是一種惡意木馬軟件, 2020 年3 月被發現,在地下論壇上單獨出售。該惡意軟件從瀏覽器中收集保存的憑據、自動完成數據和信用卡等信息。在目標機器上運行時,會蒐集如用戶名、位置數據、硬件配置和已安裝的安全軟件等詳細信息。新版本的RedLine 增加了竊取加密貨幣的能力,能夠自動掃描本地計算機已安裝的數字貨幣錢包信息,並上傳到遠端控制機。該惡意軟件具有上傳和下載文件、執行命令以及定期發回有關受感染計算機的信息的能力。常常針對加密貨幣錢包目錄、錢包文件進行掃描:
空白支票eth_sign 釣魚
連接錢包後並點擊Claim 後,彈出一個簽名申請框,同時MetaMask 顯示了一個紅色提醒警告,而光從這個彈窗上無法辨別要求籤名的到底是什麼內容。其實這是一種非常危險的簽名類型,基本上就是以太坊的“空白支票”。通過這個釣魚,騙子可以使用您的私鑰簽署任何交易。
這種eth_sign 方法可以對任意哈希進行簽名,那麼自然可以對我們簽名後的bytes 32 數據進行簽名。因此攻擊者只需要在我們連接DApp 後獲取我們的地址對我們賬戶進行分析查詢,即可構造出任意數據(如:native 代幣轉賬,合約調用)讓我們通過eth_sign 進行簽名。
除此之外,還有一種釣魚:在你拒絕上述的sign 後,它會在你的MetaMask 自動顯示另一個簽名框,趁你沒注意就騙到你的簽名。而看看簽名內容,使用了SetApprovalForAll 方法,同時Approved asset 的目標顯示為All of your NFT,也就是說,一旦你簽名,騙子就可以毫無節制地盜走你的所有NFT。
這種釣魚方式對用戶會有很強的迷惑性,以往我們碰到的授權類釣魚在MetaMask 會給我直觀的展示出攻擊者所要我們簽名的數據。而當攻擊者使用eth_sign 方法讓用戶簽名時,MetaMask 展示的只是一串bytes 32 的哈希。
尾號相同+ TransferFrom 零轉賬騙局
用戶的地址轉賬記錄中不斷出現陌生地址轉賬0 USDT,而這筆交易均是通過調用TransferFrom 函數完成的。究其原因主要是代幣合約的TransferFrom 函數未強制要求授權轉賬數額必須大於0 ,因此可以從任意用戶賬戶向未授權的賬戶發起轉賬0 的交易而不會失敗。惡意攻擊者利用此條件不斷地對鏈上活躍用戶發起TransferFrom 操作,以觸發轉賬事件。
除了0 USDT 轉賬騷擾,還伴隨著攻擊者針對交易規模較大頻率較高的用戶不斷空投小額數量的Token(例如0.01 USDT 或0.001 USDT 等),攻擊者地址尾數和用戶地址尾數幾乎一樣,通常為後幾位,用戶去複制歷史轉賬記錄中的地址時一不小心就複製錯,導致資產損失。
以上只是舉例了一些常見的攻擊手法和場景,實際上道高一尺魔高一丈,黑客的攻擊手法永遠都在推陳出新,我們能做的就是不斷提高自己的見識。
對於個人用戶來說,遵守以下安全法則及原則,可以避免大部分風險:
兩大安全法則:
零信任。簡單來說就是保持懷疑,而且是始終保持懷疑。
持續驗證。你要相信,你就必須有能力去驗證你懷疑的點,並把這種能力養成習慣。
安全原則:
網絡上的知識,凡事都參考至少兩個來源的信息,彼此佐證,始終保持懷疑。
做好隔離,也就是雞蛋不要放在一個籃子裡。
對於存有重要資產的錢包,不做輕易更新,夠用就好。所見即所簽。即你看到的內容就是你預期要簽名的內容,當你簽名發出去後,結果就應該是你預期的,絕不是事後拍斷大腿的。
重視系統安全更新,有安全更新就立即行動。
不亂下程序。
