Я помню, что кто-то в группе однажды поделился мудрыми словами: «Если вы не знаете, кто генерирует прибыль, значит, это вы её генерируете». Это действительно говорит мне. Тот же принцип применим к безопасности использования криптокошельков. Если вы не уверены, что подразумевает определенное действие, то каждое взаимодействие с блокчейном или подписание, которое вы совершаете, может повлечь риск потери активов вашего кошелька.

Недавно Scam Sniffer опубликовал отчет о рыболовстве середины 2024 года: только за первое полугодие текущего года на цепях EVM (основанных на Ethereum) было обмануто 260 000 жертв, что привело к потерям в общей сложности $314 млн. Для понимания масштабов проблемы, отметим, что это уже превысило $295 млн, потерянных в результате рыболовных атак в 2023 году, и эту цифру удалось достичь всего за шесть месяцев, как показано на графике ниже.

Отчет подчеркивает, что большинство краж ERC20 токенов происходит при использовании фишинговых подписей, таких как Permit (авторизация оффлайн), Increase Allowance (расширение лимитов авторизации) и Uniswap Permit2. Фишинговые атаки явно остаются значительной уязвимостью в области безопасности на цепочке.

Несколько дней назад друг столкнулся с проблемой. Два месяца назад, 14 июня, они сделали три перевода со своего кошелька Coinbase на Binance (переводы на цепочку Ethereum). Первый перевод прошел успешно, но остальные два так и не пришли, и уже прошло два месяца. Что могло пойти не так?

Я проверил записи о транзакциях на Etherscan и нашел только один перевод, без следа двух других, как показано на изображении ниже.

При более внимательном рассмотрении всех ончейн-транзакций с 14 июня я действительно нашел три попытки перевода, но последние две были отмечены как неудавшиеся транзакции, как показано на изображении ниже.

Затем я щелкнул на одной из неудачных транзакций (отмеченных как «Fail»), чтобы узнать, что пошло не так. В сообщении об ошибке было сказано: «При выполнении контракта произошла ошибка». Согласно официальной документации Etherscan, этот тип ошибки не должен приводить к потере активов из кошелька. В таких случаях маркеры никогда не покидают кошелек отправителя, хотя все же вычитаются комиссионные. Это иллюстрируется на рисунке ниже.

Для решения такого рода проблемы необходимо подтвердить следующее:

- Проверьте, были ли фактически переведены или утрачены средства с кошелька в тот день (т.е. если неудавшаяся транзакция не привела к возврату средств на кошелек).

-Если подтвердится, что активы были переданы или потеряны, вам может понадобиться обратиться в службу поддержки соответствующей платформы. В таких случаях лучше обращаться к платформе, ответственной за отправку или инициирование вывода, поскольку принимающая платформа или адрес не сможет решить проблему.

Учитывая это, моим обычным рекомендаций является хорошей идеей вести подробный журнал транзакций, например, использовать Excel для отслеживания ваших ежедневных операций (покупка/продажа) и денежных потоков (доходы/расходы). Таким образом, если возникнут проблемы, вы сможете сравнить журнал с записями транзакций на блокчейне для перекрестной проверки. Я сам веду такой журнал и подробно записываю каждую транзакцию. Я также делаю заметки о своих впечатлениях или мыслях по определенным транзакциям.

На данный момент проблема кажется в основном понятной. Однако при просмотре истории транзакций в сети я обнаружил еще более серьезную проблему с кошельком этого друга — его атаковали хакеры!

Что случилось? Давайте взглянем поближе (как показано на изображении ниже):

Давайте сначала посмотрим на красный ящик на изображении (законная транзакция):

Владелец кошелька только что завершил обмен на $10 000 и перевел USDT на кошелек, начинающийся с 0x8F и заканчивающийся на f103.

Теперь проверьте зеленый блок (фишинговая транзакция):

Немедленно после этого хакер создал несколько фальшивых транзакций. Интересно, адрес кошелька хакера также начинается с 0x8F и заканчивается на f103.

Давайте более внимательно сравним адреса кошелька:

Реальный адрес владельца кошелька:

0x8F773C2E1bF81cbA8ee71CBb8d33249Be6e5f103

Адреса кошельков хакера:

0x8F7cCF79d497feDa14eD09F55d2c511001E5f103

0x8F776d5623F778Ea061efcA240912f9643fdf103

Обратите внимание на проблему? Первые четыре и последние четыре символа этих адресов идентичны, что делает их почти одинаковыми при быстром взгляде. Если вы скопируете и вставите адрес непосредственно из истории транзакций, не проверив его дважды, вы можете легко отправить деньги прямо хакеру.

Таким образом, ясно, что этот кошелек действительно стал целью хакера, пытающегося рыбачить активы. Более того, страница хеша транзакции подтверждает это - действие транзакции отмечено как Fake_Phishing, что не оставляет сомнений, что это адрес хакера. См. изображение ниже для справки.

Совет: Почему вы не можете видеть недействительные транзакции или транзакции с нулевым значением на Etherscan? Как переключить браузер Ethereum на упрощенный китайский?

По умолчанию Etherscan скрывает недействительные транзакции и трансферы нулевой стоимости. Если вы хотите их просмотреть, просто перейдите на страницу настроек на Etherscan и включите расширенные опции. Точно так же, если вы предпочитаете использовать интерфейс на упрощенном китайском языке, вы также можете настроить это в настройках. См. изображение ниже для справки. Кроме того, вы можете использовать многоцепные исследователи сторонних поставщиков, такие как Oklink, которые также поддерживают упрощенный китайский язык.

Безопасность кошелька - это нечто, что требует внимания, особенно для кошельков, в которых хранятся значительные активы (свыше $1 млн). Хорошей идеей будет распределить ваши средства между различными кошельками на основе их назначения, чтобы обеспечить безопасность. Вот как я лично организую свои кошельки по уровням:

Уровень 1: Настройка холодного кошелька на телефоне Apple, строго для долгосрочного хранения. Он находится в оффлайне и никогда не используется для каких-либо транзакций или переводов. Я планирую удерживать эти активы как минимум 10 лет, не трогая их. Если вы хотите использовать холодный кошелек для транзакций, вы можете рассмотреть покупку известных аппаратных кошельков через надежные каналы (например, Trezor, Ledger и т. д.).

Уровень 2: Горячий кошелек для крупных сумм. Я использую Trust Wallet и не предоставляю разрешения на любое dApp. Этот кошелек используется только для перевода между моими собственными кошельками и вывода или перевода на Binance.

Уровень 3: Десятки маленьких кошельков, некоторые для тестирования (например, взаимодействие с новыми проектами для опробования их функций или иногда для получения воздушной капли), в то время как другие использовались для покупки альткоинов или мем-токенов (хотя в последние годы я этим занимаюсь меньше). Каждый кошелек содержит только небольшие суммы, варьирующиеся от нескольких сотен до нескольких тысяч долларов. Я более спокоен относительно авторизаций и подписей с этими кошельками, и даже если один из них будет взломан, это не так уж и важно. Управление всеми этими кошельками может показаться неудобством, но это стоит того для повышенной безопасности.

В общем, у каждого свои предпочтения в отношении управления своими кошельками, в зависимости от их ситуации. Опытные пользователи криптовалют часто предпочитают хранить свои активы в цепочке, но для большинства новичков на самом деле безопаснее хранить активы (до 100 000 долларов) на основных платформах, таких как Binance или OKX.

Теперь давайте рассмотрим несколько распространенных тактик фишинга:

1. Разрешить атаку фишингом

Для начала давайте объясним некоторые основные концепции: Когда вы переводите токены на Ethereum, вы обычно взаимодействуете с умным контрактом токена с помощью функции Transfer или функции Transfer From. Функция Transfer используется, когда владелец напрямую авторизует передачу токенов на другой адрес, в то время как функция Transfer From позволяет третьей стороне перемещать токены с одного адреса на другой.

Вот как работает атака перехвата разрешения:

Сначала злоумышленник обманывает жертву, заставляя ее перейти по ссылке на фишинг или посетить поддельный веб-сайт, побуждая их подписать транзакцию кошелька (вне цепи).

Затем злоумышленник использует функцию Permit для получения авторизации.

Наконец, злоумышленник вызывает функцию Transfer From, чтобы переместить активы жертвы, завершая фишинговую атаку.

Этот метод фишинга имеет ключевую характеристику: после того, как злоумышленник получает доступ к вашему подписному удостоверению, он может выполнить операции Permit and Transfer From. Важно отметить, что уполномочивание не отобразится в истории транзакций жертвы на цепи блоков, но будет видно в действиях адреса злоумышленника.

Обычно такие виды атак фишинга по подписи являются одноразовыми событиями, что означает, что они не представляют продолжающейся угрозы фишинга. Проще говоря: атака фишинга по подписи не может украсть мнемоническую фразу вашего кошелька (или приватный ключ). Каждая попытка фишинга позволяет хакеру использовать авторизацию только один раз, и это влияет только на токен и блокчейн, для которого вы дали авторизацию (например, если вы авторизовали USDT, хакер может взять только ваши USDT). Другими словами, одна фишинговая подпись дает хакеру одноразовую возможность, пока вы не совершите ошибку и не подпишетесь снова в будущем, предоставив им еще один шанс использовать ваш кошелек.

(Источник изображения: bocaibocai@wzxznl)

2. Атака фишинга на Uniswap Permit2

Этот метод фишинга похож на ранее упомянутую атаку Permit, оба связаны с фишингом подписи вне цепочки. Uniswap Permit2 - это смарт-контракт, введенный Uniswap в 2022 году. По словам Uniswap, это контракт разрешения токена, предназначенный для обмена и управления разрешениями токена в различных приложениях, обеспечивая более гладкое, экономичное и безопасное пользовательское взаимодействие. Многие проекты сейчас интегрируют Permit2.

Недавно я прочитал несколько статей bocaibocai (X@wzxznl) чтобы более глубоко погрузиться в механику атак фишинга Permit2. Вот краткое резюме:

Когда вы хотите совершить обмен на децентрализованной бирже (DEX), традиционный процесс требует, чтобы вы сначала одобрили доступ DEX к вашим токенам, а затем совершили обмен. Обычно это означает, что пользователю придется оплатить газовые сборы дважды, что может быть неудобно. Permit2 упрощает этот процесс, пропуская дополнительный этап одобрения, что позволяет снизить затраты на взаимодействие и улучшить общий опыт пользователей.

По сути, Permit2 выступает посредником между пользователями и dApps. После того как пользователи авторизуют Permit2, любое dApp, интегрированное с Permit2, может использовать этот лимит авторизации. Это не только снижает издержки и оптимизирует процесс для пользователей, но также помогает dApps привлечь больше пользователей и ликвидности благодаря улучшенному опыту.

То, что казалось выгодной ситуацией для всех сторон, также может превратиться в двусмысленное положение. Традиционно, как авторизации, так и переводы средств включают действия пользователя на цепочке. Но с Permit2 взаимодействие пользователя сведено к оффлайновой подписи, в то время как посредники, такие как контракт Permit2 или проекты, интегрированные с ним, обрабатывают действия на цепочке. Этот сдвиг предлагает преимущества за счет снижения трения на цепочке для пользователей, но также несет риски. Оффлайновые подписи - это момент, когда пользователи часто снижают бдительность. Например, при подключении кошелька к определенным dApps, пользователей просят подписать что-то, но большинство не внимательно изучает или не понимает содержание подписи (которая часто выглядит как спутанная кодировка). Этот недостаток внимания может быть опасен.

Еще одной серьезной проблемой является то, что Permit2 по умолчанию разрешает доступ ко всему балансу ваших токенов, независимо от того, сколько вы планируете обменять. В то время как кошельки, такие как MetaMask, позволяют установить пользовательский лимит, большинство пользователей, скорее всего, просто нажмут «максимум» или используют настройки по умолчанию. По умолчанию для Permit2 установлено неограниченное разрешение, что особенно рискованно. См. изображение ниже для справки.

Это в основном означает, что если вы взаимодействовали с Uniswap и предоставили разрешение контракту Permit2, вы уязвимы для этой рыбной ловли.

Например, предположим, что Сяо Ли использовал Uniswap и авторизовал неограниченное количество USDT для контракта Permit2. Позже, проводя рутинные транзакции кошелька, Сяо Ли непреднамеренно попал в ловушку для фишинга, связанную с Permit2. Как только хакер получил подпись Сяо Ли, он мог использовать ее для выполнения двух ключевых операций с контрактом Permit2 — Permit и Transfer From — для кражи активов Сяо Ли.

Вот как работает этот фишинговый атака:

Перед попыткой рыбалки пользователь уже использовал Uniswap и предоставил разрешения на токены контракту Uniswap Permit2 (с неограниченным разрешением по умолчанию).

Затем злоумышленник создает поддельную фишинговую ссылку или веб-сайт, обманом заставляя пользователя подписать транзакцию. Как только подпись будет получена, хакер получит всю необходимую информацию (этот шаг аналогичен разрешению фишинга).

Используя это, злоумышленник вызывает функцию Permit в контракте Permit2, завершая авторизацию.

Наконец, злоумышленник вызывает функцию Transfer From внутри контракта Permit2 для передачи активов жертвы и завершения фишинговой атаки.

Как правило, в этих атаках задействовано несколько адресов получателя. Некоторые из них используются исключительно для фишинговых операций (и даже могут выглядеть как адрес жертвы с похожими символами в начале и в конце), в то время как другие принадлежат организованным фишинговым сетям (например, провайдерам DaaS). Индустрия фишинга, нацеленная на криптокошельки, похоже, превратилась в полномасштабный подпольный рынок. Смотрите изображение ниже.

Как вы можете защитить себя от фишинговых атак Permit и Permit2?

Один из вариантов - использовать браузерные плагины безопасности, такие как Scamsniffer (я использую его в своем Google Chrome), чтобы блокировать фишинговые ссылки. Кроме того, вы можете регулярно проверять и отзывать любые ненужные или подозрительные авторизации или подписи с помощью инструментов, таких как Revoke Cash. См. изображение ниже для примера.

Вы также можете использовать специализированный инструмент управления авторизацией от Scamsniffer, разработанный специально для Uniswap Permit2, чтобы регулярно проверять ваши авторизации. Если что-то выглядит необычно, важно немедленно отозвать разрешения. См. изображение ниже.

Следовательно, самым важным аспектом является поддержание сильного осознания безопасности. Избегайте посещения неизвестных веб-сайтов или ссылок, и при взаимодействии с dApps всегда дважды проверяйте, что вы авторизуете.

(Изображение: bocaibocai@wzxznl)

Быстрый совет: Как можно определить, что подпись кошелька предназначена для Permit или Permit2?

При подписании вы увидите некоторые детали в окне подтверждения авторизации. Вы можете определить тип подписи, посмотрев на ключевые поля, такие как показанные на изображении ниже:

Владелец (адрес, предоставляющий авторизацию); Потребитель (адрес, получающий авторизацию); Значение (разрешенная сумма); Нонс (уникальное случайное число); Срок (дата истечения срока действия).

3. Атака фишинга на запросы на выплату

Этот тип фишинга очень распространен. Например, если вы часто просматриваете X (ранее известный как Twitter), вы, вероятно, столкнетесь с сообщениями, предлагающими «бесплатные воздушные капли». Иногда вы даже можете обнаружить случайные NFT, загадочно появившиеся в вашем кошельке (включая ссылку на веб-сайт).

Если вы нажмете на фишинговый сайт и продолжите действия,ПретензияДействия, ваши активы в кошельке могут быть немедленно украдены хакером.

Как вы можете защитить себя?

Во-первых, не попадайтесь на «слишком хорошие, чтобы быть правдой» предложения (избегайте нажатия на подозрительные ссылки или принятия неизвестных бесплатных NFT и эйрдропов). Во-вторых, всегда дважды проверяйте сайт, который вы используете, чтобы убедиться, что это официальный легитимный сайт, прежде чем выполнять какие-либо операции по претензии.

4. Фишинг-перевод на похожий адрес

3 мая этого года криптовалютный кит стал жертвой фишинговой атаки с использованием похожего адреса, потеряв 1 155 WBTC (на тот момент стоимостью примерно 70 миллионов долларов).

SlowMist ранее подробно проанализировали этот случай, поэтому здесь я не буду повторять конкретику. Если вас интересует, вы можете ознакомиться с делом здесь:

https://mp.weixin.qq.com/s/mQch5pEg1fmJsMbiOClwOg

Такой вид фишинга довольно прост:

Сначала хакер генерирует большое количество обманчивых адресов для рыбной ловли, которые тесно напоминают предполагаемый адрес жертвы, часто совпадая с первыми 4 и последними 6 символами.

Затем они развертывают пакетную программу для отслеживания онлайн-активности жертвы, а затем запускают фишинговую атаку, отправляя аналогичный адрес прямо перед намеченной транзакцией.

Наконец, когда жертва совершает перевод, хакер использует похожий адрес для отправки транзакции сразу после этого. Таким образом, адрес для фишинга появляется в истории транзакций пользователя. См. изображение ниже.

Поскольку многие пользователи привыкли копировать детали транзакций из истории своего кошелька, они могут увидеть фишинговую транзакцию, которая тесно следует за их собственной, и не осознать, что они скопировали неправильный адрес. Не произведя тщательной проверки, они могут ошибочно отправить 1,155 WBTC на фишинговый адрес.

Как можно предотвратить это?

Во-первых, сохраните часто используемые адреса в адресной книге вашего кошелька (или добавьте их в белый список), чтобы в следующий раз можно было выбрать правильный адрес из списка. Во-вторых, всегда дважды проверяйте полный адрес перед переводом средств, не полагайтесь только на первые или последние несколько символов. При осуществлении крупного перевода хорошей идеей будет сначала отправить небольшую тестовую транзакцию, чтобы убедиться, что все правильно.

5. Фишинговые атаки на авторизованную подпись

Методы разрешения, Универсальное разрешение2 и метод Claim, упомянутые ранее, относятся к общей категории мошенничества с авторизацией. Фактически, существует много способов, которыми хакеры могут использовать авторизации кошелька, например, с помощью Approve (разрешение на использование вашего USDT платформой, наподобие Uniswap) и Increase Allowance (увеличение лимита на сумму, которая может быть потрачена).

Процесс hishing обычно включает в себя настройку атакующим фальшивой ссылки или веб-сайта или даже взлом официального сайта проекта и встраивание вредоносного ПО, которое обманывает пользователей, заставляя их кликать и ненамеренно предоставлять разрешение кошелька.

Обсуждаемые пять методов фишинга лишь некоторые из наиболее распространенных. Хакеры постоянно придумывают новые и креативные способы атаки. Как говорится, "Хакеры всегда будут впереди." Это означает, что безопасность кошелька является постоянным вызовом, и пользователи должны быть бдительными всегда.

Отказ от ответственности:

1. Эта статья взята из [ Gate话李话外] с заголовком «Ваш кошелек безопасен? Как хакеры используют Permit, Uniswap Permit2 и подписи для фишинга.», Все авторские права принадлежат оригинальному автору [话李话外]. Если есть возражения по поводу этой публикации, пожалуйста, свяжитесь с Gate Learnкоманда и они быстро справятся с этим.

2. Отказ от ответственности: Взгляды и мнения, выраженные в этой статье, являются исключительно мнением автора и не являются инвестиционными советами.

3. Переводы статьи на другие языки выполняются командой Gate Learn. Если не указано иное,Gate.io, копирование, распространение или плагиат переведенных статей запрещено.