Recordo-me de alguém do grupo que partilhou uma frase sábia: "Se não souberes quem está a gerar os lucros, então és tu quem os está a gerar." Isto realmente ressoa comigo. O mesmo princípio aplica-se à segurança de usar carteiras de criptomoedas. Se não tiveres a certeza do que uma determinada ação implica, então cada interação ou assinatura on-chain que fazes poderia arriscar a perda dos ativos da tua carteira.

Recentemente, o Scam Sniffer divulgou um relatório de phishing de meados de 2024: apenas no primeiro semestre deste ano, 260.000 vítimas foram alvo de phishing nas cadeias EVM (cadeias baseadas em Ethereum), resultando em perdas totais de $314 milhões. Para colocar isso em perspectiva, isso já ultrapassou os $295 milhões perdidos em ataques de phishing em todo o ano de 2023, e levou apenas seis meses para atingir essa cifra, como mostrado no gráfico abaixo.

O relatório destaca que a maioria dos roubos de tokens ERC20 ocorre a partir da assinatura de phishing, como o Permit (assinaturas de autorização offline), Aumento de Permissão (expansão de limites de autorização) e Uniswap Permit2. Os ataques de phishing claramente continuam a ser uma vulnerabilidade significativa na segurança on-chain.

Há alguns dias, um amigo encontrou um problema. Dois meses atrás, em 14 de junho, eles fizeram três transferências da sua Carteira Coinbase para a Binance (transferências da cadeia Ethereum). A primeira transferência foi bem-sucedida, mas as outras duas nunca chegaram e já passaram dois meses. O que poderia ter corrido mal?

Verifiquei os registos de transações no Etherscan e encontrei apenas uma transferência, sem qualquer vestígio das outras duas, como mostrado na imagem abaixo.

Olhando mais de perto para todas as transações on-chain de 14 de junho, encontrei três tentativas de transferência, mas as duas últimas foram marcadas como transações fracassadas, como mostra a imagem abaixo.

Em seguida, cliquei em uma das transações falhas (marcadas como 'Falha') para ver o que deu errado. A mensagem de erro dizia: 'Erro encontrado durante a execução do contrato'. De acordo com a documentação oficial do Etherscan, esse tipo de erro não deve resultar em perda de ativos da carteira. Os tokens nunca saem da carteira do remetente nesses casos, embora as taxas de gás ainda sejam deduzidas. Isso é ilustrado na imagem abaixo.

Para resolver este tipo de problema, é preciso confirmar o seguinte:

-Verifique se os fundos foram realmente transferidos ou perdidos da carteira naquele dia (ou seja, se a transação falhada não resultou na devolução dos fundos para a carteira).

- Se for confirmado que os ativos foram transferidos ou perdidos, talvez seja necessário entrar em contato com o suporte ao cliente da plataforma relevante. Nesses casos, é melhor entrar em contato com a plataforma responsável pelo envio ou início do saque, pois a plataforma ou endereço de recebimento não poderá resolver o problema.

Dado isso, minha recomendação usual é que é uma boa ideia manter um registro detalhado de transações, como usar o Excel para acompanhar suas transações diárias (compra/venda) e seu fluxo de caixa (receitas/despesas). Dessa forma, se surgirem problemas, você pode comparar o registro com os registros de transações on-chain para verificação cruzada. Na verdade, eu mesmo mantenho um registro desse tipo, registrando cada transação em detalhes. Também adiciono notas sobre minhas experiências ou pensamentos sobre determinadas transações.

Neste ponto, o problema parece estar em grande parte compreendido. No entanto, ao analisar o histórico de transações on-chain, descobri um problema ainda mais sério com a carteira deste amigo - ela foi alvo de hackers!

O que aconteceu? Vamos dar uma olhada mais de perto (como mostrado na imagem abaixo):

Vamos primeiro olhar para a caixa vermelha na imagem (uma transação legítima):

O proprietário da carteira acabara de concluir uma troca de $10,000 e transferiu o USDT para uma carteira que começa com 0x8F e termina com f103.

Agora, verifique a caixa verde (uma transação de phishing):

Imediatamente a seguir, o hacker criou várias transações falsas. Curiosamente, o endereço da carteira do hacker também começa com 0x8F e termina com f103.

Vamos comparar os endereços da carteira mais de perto:

O endereço real do proprietário da carteira é:

0x8F773C2E1bF81cbA8ee71CBb8d33249Be6e5f103

Os endereços da carteira do hacker são:

0x8F7cCF79d497feDa14eD09F55d2c511001E5f103

0x8F776d5623F778Ea061efcA240912f9643fdf103

Reparou no problema? Os primeiros quatro e os últimos quatro caracteres destes endereços são idênticos, o que os torna quase iguais à primeira vista. Se copiar e colar um endereço diretamente do histórico de transações sem verificar duas vezes, poderá facilmente acabar por enviar dinheiro diretamente para o hacker.

Portanto, está claro que esta carteira foi realmente alvo de um hacker que tenta pescar ativos. Além disso, a página do hash da transação confirma isso - a Ação da Transação está marcada como Falso_Pescaria, o que não deixa dúvidas de que este é o endereço de um hacker. Veja a imagem abaixo para referência.

Dica rápida: Por que não consegue ver transações inválidas ou transferências de valor zero no Etherscan? Como pode alternar o navegador Ethereum para chinês simplificado?

Por padrão, o Etherscan oculta transações inválidas e transferências de valor zero. Se desejar visualizá-las, basta ir à página de configurações no Etherscan e ativar opções avançadas. Da mesma forma, se preferir usar a interface em chinês simplificado, também é possível ajustar isso nas configurações. Consulte a imagem abaixo para referência. Alternativamente, você pode usar exploradores multi-chain de terceiros como Oklink, que também suportam chinês simplificado.

A segurança da carteira é algo que definitivamente requer atenção cuidadosa, especialmente para carteiras que possuem ativos significativos (mais de US$ 1 milhão). É uma boa ideia distribuir seus fundos em diferentes carteiras com base em seu propósito para aumentar a segurança. Aqui está como eu organizo pessoalmente minhas carteiras em níveis:

Nível 1: Uma carteira fria configurada num telefone da Apple, estritamente para armazenamento a longo prazo. Mantém-se offline e nunca é usada para quaisquer transações ou transferências. Planeio manter estes ativos por pelo menos 10 anos sem os tocar. Se quiser usar uma carteira fria para transações, poderá considerar a compra de carteiras de hardware conhecidas através de canais respeitáveis (como Trezor, Ledger, etc.).

Nível 2: Uma carteira quente para somas maiores. Eu uso Trust Wallet e não concedo permissões de dApp. Esta carteira é usada apenas para transferências entre minhas próprias carteiras e saques ou transferências para a Binance.

Nível 3: Dezenas de pequenas carteiras, algumas para fins de teste (como interagir com novos projetos para experimentar suas funcionalidades ou ocasionalmente receber um airdrop), enquanto outras eram usadas para comprar altcoins ou tokens de memes (embora eu tenha feito menos disso nos últimos anos). Cada carteira contém apenas pequenas quantidades, variando de algumas centenas a alguns milhares de dólares. Sou mais relaxado em relação a autorizações e assinaturas com essas carteiras, e mesmo se uma delas for hackeada, não é grande coisa. Gerenciar todas essas carteiras pode parecer uma complicação, mas vale a pena pelo aumento da segurança.

Em resumo, cada um tem suas próprias preferências sobre como gerenciar suas carteiras, dependendo de sua situação. Usuários experientes de criptomoedas geralmente preferem manter seus ativos na cadeia, mas para a maioria dos iniciantes, é mais seguro armazenar ativos (abaixo de $100.000) em plataformas principais como Binance ou OKX.

Agora, vamos analisar algumas táticas comuns de phishing:

1. Permitir ataque de phishing

Para começar, vamos explicar alguns conceitos básicos: Quando você transfere tokens no Ethereum, normalmente interage com o contrato inteligente do token usando a função de Transferência ou a função de Transferência De. A função de Transferência é usada quando o proprietário autoriza diretamente a transferência de tokens para outro endereço, enquanto a Transferência De permite que um terceiro mova tokens de um endereço para outro.

Aqui está como funciona um ataque de phishing de permissão:

Primeiro, o atacante engana a vítima a clicar em um link de phishing ou visitar um site falso, pedindo-lhes para assinar uma transação de carteira (off-chain).

Em seguida, o atacante usa a função Permitir para obter autorização.

Finalmente, o atacante chama a função Transfer From para mover os ativos da vítima, completando o ataque de phishing.

Este método de phishing tem uma característica-chave: depois que o atacante obtém acesso à sua autorização de assinatura, eles podem executar as operações de Permitir e Transferir De. A coisa importante a observar é que a autorização não aparecerá no histórico de transações on-chain da vítima, mas será visível na atividade do endereço do atacante.

Tipicamente, este tipo de ataques de phishing de assinatura são eventos únicos, o que significa que não representam uma ameaça contínua de phishing. Em termos mais simples: um ataque de phishing de assinatura não pode roubar a frase mnemónica da sua carteira (ou chave privada). Cada tentativa de phishing apenas permite ao hacker utilizar a autorização uma vez, e apenas afeta o token e blockchain que autorizou (por exemplo, se autorizou USDT, o hacker só pode levar o seu USDT). Em outras palavras, uma única assinatura de phishing dá ao hacker uma oportunidade única, a menos que cometa o erro de assinar novamente no futuro, dando-lhes outra chance de explorar a sua carteira.

(Crédito da imagem: bocaibocai@wzxznl)

2. Ataque de phishing Uniswap Permit2

Este método de phishing é semelhante ao ataque Permit mencionado anteriormente, ambos envolvendo phishing de assinatura off-chain. Uniswap Permit2 é um contrato inteligente introduzido pela Uniswap em 2022. De acordo com a Uniswap, é um contrato de aprovação de tokens projetado para permitir que as permissões de token sejam compartilhadas e gerenciadas em diferentes aplicativos, proporcionando uma experiência do usuário mais suave, econômica e segura. Muitos projetos agora integraram o Permit2.

Recentemente, li alguns artigos de bocaibocai (X@wzxznl) para aprofundar a mecânica dos ataques de phishing do Permit2. Aqui está um resumo rápido:

Quando deseja realizar uma troca em uma bolsa descentralizada (DEX), o processo tradicional requer que primeiro Aprovar a DEX para acessar seus tokens e depois realizar a troca. Isso geralmente significa pagar taxas de gás duas vezes, o que pode ser inconveniente para os usuários. O Permit2 simplifica esse processo ao pular a etapa de aprovação extra, reduzindo efetivamente os custos de interação e melhorando a experiência geral do usuário.

Essencialmente, o Permit2 atua como um intermediário entre os usuários e os dApps. Uma vez que os usuários autorizam o Permit2, qualquer dApp integrado ao Permit2 pode compartilhar esse limite de autorização. Isso não só reduz os custos e simplifica o processo para os usuários, mas também ajuda os dApps a atrair mais usuários e liquidez devido à experiência aprimorada.

O que parecia uma situação vantajosa pode também tornar-se uma faca de dois gumes. Tradicionalmente, tanto as autorizações como as transferências de fundos envolvem ações on-chain do usuário. Mas com o Permit2, a interação do usuário é reduzida a uma assinatura off-chain, enquanto intermediários como o contrato Permit2 ou projetos integrados a ele lidam com as operações on-chain. Essa mudança oferece vantagens ao reduzir a fricção on-chain para os usuários, mas também apresenta riscos. As assinaturas off-chain são onde os usuários muitas vezes abaixam suas defesas. Por exemplo, ao conectar uma carteira a certos dApps, os usuários são solicitados a assinar algo, mas a maioria não examina cuidadosamente ou entende o conteúdo da assinatura (que muitas vezes parece um conjunto de códigos). Essa falta de escrutínio pode ser perigosa.

Outra preocupação importante é que o Permit2 autoriza por padrão o acesso ao saldo total de tokens, independentemente da quantidade que você planeja trocar. Embora carteiras como o MetaMask permitam que você defina um limite personalizado, a maioria dos usuários provavelmente clicará em "máximo" ou usará a configuração padrão. A autorização ilimitada é o padrão do Permit2, o que é especialmente arriscado. Veja a imagem abaixo para referência.

Isso significa essencialmente que se você interagiu com o Uniswap e concedeu uma permissão ao contrato Permit2, você está vulnerável a esse golpe de phishing.

Por exemplo, digamos que Xiao Li usou Uniswap e autorizou uma quantidade ilimitada de USDT ao contrato Permit2. Mais tarde, ao realizar transações rotineiras na carteira, Xiao Li, sem saber, caiu em uma armadilha de phishing envolvendo o Permit2. Uma vez que o hacker obteve a assinatura de Xiao Li, eles poderiam usá-la para realizar duas operações-chave no contrato Permit2 - Permitir e Transferir De - para roubar os ativos de Xiao Li.

Aqui está como funciona esse ataque de phishing:

Antes da tentativa de phishing, o usuário já havia usado o Uniswap e concedido permissões de token para o contrato Uniswap Permit2 (com uma permissão ilimitada por padrão).

O atacante, em seguida, cria um link ou site de phishing falso, enganando o usuário a assinar uma transação. Uma vez que a assinatura é capturada, o hacker obtém todas as informações necessárias (este passo é semelhante ao phishing com permissão).

Usando isso, o atacante chama a função de permissão no contrato Permit2, completando a autorização.

Finalmente, o atacante chama a função Transfer From dentro do contrato Permit2 para transferir os ativos da vítima, completando o ataque de phishing.

Normalmente, esses ataques envolvem múltiplos endereços de recebimento. Alguns são usados apenas para operações de phishing (e até podem ser elaborados para se parecer com o endereço da vítima, com caracteres semelhantes no início e no final), enquanto outros pertencem a anéis de phishing organizados (por exemplo, provedores de DaaS). A indústria de phishing que mira as carteiras de criptomoedas parece ter se desenvolvido em um mercado subterrâneo em grande escala. Veja a imagem abaixo.

Como pode proteger-se de ataques de phishing de Permit e Permit2?

Uma opção é usar plugins de segurança do navegador, como o Scamsniffer (tenho usado isso no meu Google Chrome), para bloquear links de phishing. Além disso, você pode verificar regularmente e revogar quaisquer autorizações ou assinaturas desnecessárias ou suspeitas com ferramentas como o Revoke Cash. Veja a imagem abaixo para um exemplo.

Também pode utilizar uma ferramenta especializada de gestão de autorização da Scamsniffer, projetada especificamente para o Uniswap Permit2, para rever regularmente as suas autorizações. Se algo parecer estranho, é importante revogar imediatamente as permissões. Veja a imagem abaixo.

Dito isto, o aspecto mais crucial é manter uma forte consciência de segurança. Evite visitar sites ou links desconhecidos e, ao interagir com dApps, verifique sempre duas vezes o que está a autorizar.

(Crédito da imagem: bocaibocai@wzxznl)

Dica rápida: Como você pode dizer se uma assinatura de carteira é para Permit ou Permit2?

Ao assinar, verá alguns detalhes na janela de confirmação de autorização. Pode identificar o tipo de assinatura ao observar campos chave como os mostrados na imagem abaixo:

Proprietário (o endereço que dá autorização); Gastador (o endereço que recebe autorização); Valor (o valor autorizado); Nonce (um número aleatório único); Prazo (a data de validade).

3. Ataque de phishing de reclamação

Este tipo de phishing é muito comum. Por exemplo, se você navegar frequentemente no X (anteriormente Twitter), provavelmente encontrará mensagens oferecendo “airdrops gratuitos”. Às vezes, você pode até encontrar NFTs aleatórios misteriosamente adicionados à sua carteira (que podem incluir um link para um site).

Se clicar num site de phishing e prosseguir com um Reivindicaçãoação, os ativos na sua carteira podem ser imediatamente roubados pelo hacker.

Como pode proteger-se?

Primeiro, não caia em ofertas “boas demais para ser verdade” (evite clicar em links suspeitos ou aceitar NFTs gratuitos e airdrops desconhecidos). Segundo, verifique sempre o site que está a utilizar para garantir que é o site oficial legítimo antes de realizar quaisquer operações de reclamação.

4. Phishing de transferência de endereço semelhante

Em 3 de maio deste ano, uma baleia de criptomoedas foi vítima de um ataque de phishing usando um endereço semelhante, perdendo 1.155 WBTC (no valor de aproximadamente $70 milhões na época).

A SlowMist analisou anteriormente este evento em detalhe, por isso não irei repetir os pormenores aqui. Se tiver curiosidade, pode reler o caso aqui:

https://mp.weixin.qq.com/s/mQch5pEg1fmJsMbiOClwOg

Este tipo de phishing é relativamente simples:

Primeiro, o hacker gera um grande número de endereços de phishing enganosos que se assemelham de perto ao endereço pretendido da vítima, muitas vezes correspondendo aos primeiros 4 e últimos 6 caracteres.

Em seguida, eles implementam um programa em lote para monitorar as atividades on-chain da vítima e, em seguida, lançam um ataque de phishing enviando um endereço semelhante imediatamente antes da transação pretendida.

Finalmente, quando a vítima faz uma transferência, o hacker usa o endereço de aparência semelhante para enviar uma transação imediatamente depois. Dessa forma, o endereço de phishing aparece no histórico de transações do usuário. Veja a imagem abaixo.

Porque muitos usuários têm o hábito de copiar detalhes de transações de seu histórico de carteira, eles podem ver a transação de phishing que segue de perto a deles e não perceber que copiaram o endereço errado. Sem verificar cuidadosamente, eles podem acabar enviando erroneamente 1.155 WBTC para o endereço de phishing.

Como pode evitar isso?

Primeiro, salve os endereços comumente usados na lista de endereços da sua carteira (ou coloque-os na lista branca), assim, na próxima vez, você poderá selecionar o endereço correto da lista. Em segundo lugar, sempre verifique novamente o endereço completo antes de transferir fundos - não confie apenas nos primeiros ou últimos caracteres. Ao fazer uma transferência grande, é uma boa ideia enviar primeiro uma pequena transação de teste para garantir que tudo esteja correto.

5. Phishing de assinatura autorizada

Os métodos de Permissão, Permissão Uniswap2 e Reivindicação mencionados anteriormente fazem parte do escopo de phishing de autorização. Na verdade, existem muitas maneiras pelas quais os hackers podem explorar as autorizações de carteira, como com Aprovar (concedendo permissão para que uma plataforma como Uniswap use seu USDT) e Aumentar a Permissão (aumentando o limite de gastos).

O processo de phishing geralmente envolve o atacante criando um link ou site falso ou mesmo hackeando um site de projeto oficial e incorporando malware, o que engana os usuários a clicar e conceder autorização de carteira sem saber.

Os cinco métodos de phishing discutidos são apenas alguns dos mais comuns. Os hackers estão constantemente a desenvolver novos e criativos métodos de ataque. Como diz o ditado, "Os hackers vão sempre estar um passo à frente." Isto significa que a segurança da carteira é um desafio contínuo e os utilizadores precisam de estar vigilantes o tempo todo.

Isenção de responsabilidade:

1. Este artigo é republicado de [ Falar dentro e fora] com o título “A sua carteira está segura? Como os hackers exploram o Permit, Uniswap Permit2 e assinaturas para phishing.”, Todos os direitos autorais pertencem ao autor original [话李话外]. Se houver objeções a esta reprodução, por favor, entre em contato com o Gate Learnequipa e eles irão tratar disso prontamente.

2. Aviso de responsabilidade: As opiniões expressas neste artigo são exclusivamente as do autor e não constituem qualquer conselho de investimento.

3. As traduções do artigo para outros idiomas são feitas pela equipa Gate Learn. A menos que seja mencionadoGate.io, copiar, distribuir ou plagiar os artigos traduzidos é proibido.