กระเป๋าเงินของคุณปลอดภัยหรือไม่? ฮากเกอร์ทำอย่างไรในการใช้ Exploit Permit, Uniswap Permit2 และลายเซ็นเพื่อการฟิชชิ่ง
ฉันจําได้ว่ามีคนในกลุ่มเคยแบ่งปันคําพูดที่ชาญฉลาด: "ถ้าคุณไม่รู้ว่าใครกําลังสร้างผลกําไรคุณก็เป็นคนสร้างมันขึ้นมา" สิ่งนี้สะท้อนกับฉันจริงๆ หลักการเดียวกันนี้ใช้กับความปลอดภัยของการใช้กระเป๋าเงินดิจิตอล หากคุณไม่แน่ใจว่าการกระทําที่เฉพาะเจาะจงเกี่ยวข้องกับอะไรการโต้ตอบหรือลายเซ็นแบบ on-chain ทุกครั้งที่คุณทําอาจเสี่ยงต่อการสูญเสียทรัพย์สินในกระเป๋าเงินของคุณ
เร็ว ๆ นี้ Scam Sniffer ปล่อยรายงานการล่องลอยระหว่างปี 2024 ล่าสุด: ในสามารถแรกของปีนี้เพียงแค่ครึ่งแรก มีผู้เสียหายถูกล่องลอยบน EVM chains (Ethereum-based chains) ถึง 260,000 คน ซึ่งทำให้เสียหายรวมถึง $314 ล้าน เพื่อให้เข้าใจง่าย ๆ กว่านี้ นั้นคือเสียหายรวมในการโจมตีด้วยวิธีล่องลอยในทั้งหมดของปี 2023 ที่เป็นเงินรวม $295 ล้าน และในเพียงหกเดือนก็ทำให้มูลค่านี้เกินไปแล้ว ตามที่แสดงในกราฟด้านล่าง
รายงานเน้นว่าการโจรกรรมโทเค็น ERC20 ส่วนใหญ่เกิดจากการเซ็นลายเซ็นฟิชชิ่ง เช่น ใบอนุญาต (ลายเซ็นการอนุญาตแบบออฟไลน์) ค่าเผื่อการเพิ่ม (การขยายขีดจํากัดการอนุญาต) และ Uniswap Permit2 เห็นได้ชัดว่าการโจมตีแบบฟิชชิงยังคงเป็นช่องโหว่ที่สําคัญในการรักษาความปลอดภัยแบบ on-chain
ไม่กี่วันก่อน เพื่อนของฉันเผชิญกับปัญหา สองเดือนก่อนในวันที่ 14 มิถุนายน พวกเขาทำการโอนเงิน 3 ครั้งจาก Coinbase Wallet ไปยัง Binance (โอนเชน Ethereum) การโอนเงินครั้งแรกผ่านไปสำเร็จ แต่สองครั้งหลังไม่เคยมาถึงและผ่านมาสองเดือนแล้ว อะไรที่อาจเกิดข้อผิดพลาดได้บ้าง?
ฉันตรวจสอบบันทึกรายการธุรกรรมบน Etherscan และพบว่ามีเพียงการโอนเงินอันเดียว โดยไม่มีร่องรอยของสองรายการอื่น ๆ ตามที่แสดงในภาพด้านล่าง
เมื่อมองอย่างใกล้ชิดกว่านี้ที่ธุรกรรม on-chain ทั้งหมดตั้งแต่วันที่ 14 มิถุนายน ฉันพบว่ามีพยายามโอนเงินสามครั้ง แต่สองครั้งสุดท้ายถูกทำเครื่องหมายว่าเป็นธุรกรรมที่ล้มเหลวตามที่แสดงในภาพด้านล่างนี้
ฉันจึงคลิกที่หนึ่งในธุรกรรมที่ล้มเหลว (ที่ถูกทำเครื่องหมายว่า “ล้มเหลว”) เพื่อดูว่าผิดพลาดที่ไหน ข้อความผิดพลาดบอกว่า “เกิดข้อผิดพลาดขณะทำสัญญา” ตามเอกสารประกอบการทางการของ Etherscan ประเภทของข้อผิดพลาดนี้ไม่ควรทำให้สูญเสียสินทรัพย์จากกระเป๋าเงิน โทเคนไม่เคลื่อนย้ายจากรถกระทั่งกระเป๋าเงินของผู้ส่งในกรณีเช่นนี้ แม้ค่าธรรมเนียมในการใช้แก๊สจะถูกหักออก ฉบับภาพดังกล่าว
เพื่อแก้ไขประเด็นประเภทนี้ ต้องยืนยันสิ่งต่อไปนี้:
-ตรวจสอบว่าเงินถูกโอนหรือสูญหายจริงๆจากกระเป๋าสตางค์ในวันนั้น (เช่น หากการทำธุรกรรมที่ล้มเหลวไม่ทำให้เงินกลับมาที่กระเป๋าสตางค์)
-ถ้าได้ยืนยันว่าทรัพย์สินถูกโอนหรือสูญหาย คุณอาจต้องติดต่อฝ่ายบริการลูกค้าของแพลตฟอร์มที่เกี่ยวข้อง ในกรณีเช่นนี้ ควรติดต่อแพลตฟอร์มที่รับผิดชอบในการส่งหรือเริ่มต้นการถอน โดยที่แพลตฟอร์มหรือที่อยู่ที่รับจะไม่สามารถแก้ไขปัญหา
ด้วยเหตุนี้ คำแนะนำทั่วไปของฉันคือ ควรเก็บบันทึกธุรกรรมอย่างละเอียด เช่น โดยใช้ Excel เพื่อติดตามธุรกรรมประจำวัน (ซื้อ/ขาย) และ cash flow (รายได้/รายจ่าย) โดยนี้หมายความว่า หากมีปัญหาเกิดขึ้น คุณสามารถเปรียบเทียบบันทึกกับบันทึกรายการธุรกรรม on-chain เพื่อการตรวจสอบทับซ้อน ฉันเองก็เก็บบันทึกแบบนี้เอง บันทึกทุกธุรกรรมอย่างละเอียด ฉันยังเพิ่มหมายเหตุเกี่ยวกับประสบการณ์หรือความคิดเห็นของฉันเกี่ยวกับธุรกรรมบางรายการ
ณจุดนี้ ปัญหาดูเหมือนจะเข้าใจได้มากที่สุด อย่างไรก็ตาม ขณะที่กำลังทบทวนประวัติการทำธุรกรรม on-chain ฉันพบปัญหาที่ร้ายแรงมากขึ้นกับกระเป๋าเงินของเพื่อน—มันถูกเป้าหมายโดยนักเจาะระบบ!
มีอะไรเกิดขึ้น? มาชมให้ดีกว่า (ตามที่แสดงในรูปภาพด้านล่าง):
เรามาดูกล่องสีแดงในภาพก่อน (ธุรกรรมที่ถูกต้อง)
เจ้าของกระเป๋าเงินได้ทำการสลับ $10,000 และโอน USDT ไปยังกระเป๋าเงินที่ขึ้นต้นด้วย 0x8F และลงท้ายด้วย f103 ล่าสุด
ตอนนี้ ตรวจสอบกล่องสีเขียว (ธุรกรรมการจับปลา phishing):
ทันทีหลังจากนั้น ฮากเกอร์ได้สร้างธุรกรรมปลอมหลายรายการ ที่น่าสนใจคือ ที่อยู่กระเป๋าเงินของฮากเกอร์เริ่มต้นด้วย 0x8F และลงท้ายด้วย f103
มาเปรียบเทียบที่อยู่กระเป๋าเงินอย่างใกล้ชิดมากขึ้น:
ที่อยู่จริงของเจ้าของกระเป๋าเงินคือ:
0x8F773C2E1bF81cbA8ee71CBb8d33249Be6e5f103
ที่อยู่กระเป๋าของแฮกเกอร์คือ:
0x8F7cCF79d497feDa14eD09F55d2c511001E5f103
0x8F776d5623F778Ea061efcA240912f9643fdf103
สังเกตปัญหาหรือไม่? ตัวอักษร 4 ตัวแรกและ 4 ตัวท้ายของที่อยู่เหล่านี้เหมือนกัน ซึ่งทำให้มองดูเหมือนเดียวกันเมื่อมองด้วยด่อนรวดเร็ว หากคุณคัดลอกและวางที่อยู่โดยตรงจากประวัติธุรกรรมโดยไม่ตรวจสอบสองครั้ง คุณอาจส่งเงินไปยังผู้แฮ็กเกอร์ได้อย่างง่ายดาย
ดังนั้น มีข้อมูลชัดเจนว่ากระเป๋าเงินนี้ต้องถูกเป้าหมายจากผู้โจมตีที่พยายามจะขโมยสินทรัพย์ นอกจากนี้ หน้าเพจการธุรกรรมแฮชยืนยันสิ่งนี้ - การกระทำการธุรกรรมถูกทำเครื่องหมายว่า เป็นการปลอมแปลง/ขโมยสิ่งของ ซึ่งไม่เหลือเกินที่นี่นั่นเป็นที่อยู่ของผู้โจมตี ดูภาพด้านล่างเพื่ออ้างอิง
คำแนะนำ: ทำไมคุณไม่สามารถเห็นธุรกรรมที่ไม่ถูกต้องหรือการโอนมูลค่าศูนย์บน Etherscan ได้? คุณจะสามารถสลับเบราว์เซอร์ Ethereum เป็นภาษาจีนตัวอักษรที่ประยุกต์ได้อย่างไร?
ตามค่าเริ่มต้น Etherscan ซ่อนธุรกรรมที่ไม่ถูกต้องและการโอนค่าศูนย์ หากคุณต้องการดูพวกเขา โปรดไปที่หน้าการตั้งค่าบน Etherscan และเปิดใช้งานตัวเลือกขั้นสูง ในทำเนียบเดียวกัน หากคุณต้องการใช้อินเตอร์เฟซเป็นภาษาจีนตัวย่อ คุณยังสามารถปรับเปลี่ยนได้ในการตั้งค่า ดูภาพด้านล่างเพื่ออ้างอิง หรือหากคุณต้องการ คุณสามารถใช้ตัวสำรวจหลายโซนของฝั่งที่สาม เช่น Oklink ซึ่งยังสนับสนุนภาษาจีนตัวย่อ
ความปลอดภัยของกระเป๋าเงินเป็นสิ่งที่ต้องให้ความสนใจอย่างเต็มที่ โดยเฉพาะสำหรับกระเป๋าเงินที่มีสินทรัพย์มาก (มากกว่า 1 ล้านดอลลาร์) ควรทำการกระจายเงินของคุณในกระเป๋าเงินที่แตกต่างกันตามจุดประสงค์เพื่อเพิ่มความปลอดภัย นี่คือวิธีที่ฉันจัดระเบียบกระเป๋าเงินของฉันเป็นชั้นๆ
เทียร์ 1: กระเป๋าเงินเย็นที่ตั้งค่าบนโทรศัพท์ Apple อย่างเคร่งครัดสําหรับการจัดเก็บระยะยาว มันถูกเก็บไว้แบบออฟไลน์และไม่เคยใช้สําหรับการทําธุรกรรมหรือการโอนใด ๆ ฉันวางแผนที่จะถือครองสินทรัพย์เหล่านี้เป็นเวลาอย่างน้อย 10 ปีโดยไม่ต้องสัมผัส หากคุณต้องการใช้กระเป๋าเงินเย็นสําหรับการทําธุรกรรมคุณสามารถดูการซื้อกระเป๋าเงินฮาร์ดแวร์ที่รู้จักกันดีผ่านช่องทางที่มีชื่อเสียง (เช่น Trezor, Ledger ฯลฯ )
ระดับ 2: กระเป๋าเงินร้อนสำหรับยอดเงินที่ใหญ่ขึ้น ฉันใช้ Trust Wallet และไม่ให้สิทธิ์ใด ๆ ให้กับ dApp บางอย่าง กระเป๋าเงินนี้ใช้เฉพาะสำหรับโอนเงินระหว่างกระเป๋าเงินของฉันเอง และถอนหรือโอนไปยัง Binance เท่านั้น
เทียร์ 3: กระเป๋าเงินขนาดเล็กหลายสิบใบบางใบเพื่อวัตถุประสงค์ในการทดสอบ (เช่นการโต้ตอบกับโครงการใหม่เพื่อลองใช้คุณสมบัติของพวกเขาหรือขัดขวาง airdrop เป็นครั้งคราว) ในขณะที่กระเป๋าเงินอื่น ๆ ถูกใช้สําหรับการซื้อ altcoins หรือโทเค็นมีม (แม้ว่าฉันจะทําสิ่งนี้น้อยลงในช่วงไม่กี่ปีที่ผ่านมา) กระเป๋าเงินแต่ละใบมีจํานวนเงินเพียงเล็กน้อยตั้งแต่ไม่กี่ร้อยถึงไม่กี่พันดอลลาร์ ฉันรู้สึกผ่อนคลายมากขึ้นเกี่ยวกับการอนุญาตและลายเซ็นด้วยกระเป๋าเงินเหล่านี้ และแม้ว่าจะถูกแฮ็ก แต่ก็ไม่ใช่เรื่องใหญ่ การจัดการกระเป๋าเงินทั้งหมดเหล่านี้อาจดูเหมือนเป็นเรื่องยุ่งยาก แต่ก็คุ้มค่าสําหรับการรักษาความปลอดภัยที่เพิ่มขึ้น
สรุปเป็นที่สังเกตทุกคนมีความชอบในการจัดการกระเป๋าเงินของตนเองตามสถานการณ์ของพวกเขา ผู้ใช้คริปโตที่เชี่ยวชาญมักมีความชื่นชอบในการเก็บสินทรัพย์ของพวกเขาบนเชื่อมโยง แต่สำหรับมากของผู้เริ่มต้นที่จะเป็นความปลอดภัยจริงๆที่จะเก็บสินทรัพย์ (ใต้ 100,000 ดอลลาร์) บนแพลตฟอร์มชั้นนำเช่น Binance หรือ OKX
ตอนนี้เรามาดูกันบางกลยุทธ์ของการจี้หลอกปลอมทั่วไป:
1.อนุญาตให้โจมตีการทำเครื่องหมาย
ในการเริ่มต้นเรามาอธิบายแนวคิดพื้นฐานบางประการ: เมื่อคุณโอนโทเค็นบน Ethereum คุณมักจะโต้ตอบกับสัญญาอัจฉริยะของโทเค็นโดยใช้ฟังก์ชันโอนหรือฟังก์ชันโอนจาก ฟังก์ชันการโอนจะใช้เมื่อเจ้าของอนุญาตการโอนโทเค็นไปยังที่อยู่อื่นโดยตรงในขณะที่โอนจากอนุญาตให้บุคคลที่สามย้ายโทเค็นจากที่อยู่หนึ่งไปยังอีกที่อยู่หนึ่ง
นี่คือวิธีการโจมตี Permit Phishing:
ตัวโจรจะล่อเหยื่อให้คลิกลิงก์ปลอมหรือเข้าเว็บไซต์ปลอมเพื่อสั่งซื้อธุรกรรมกระเป๋าเงิน (ออฟเชน)
จากนั้น ผู้โจมตีใช้ฟังก์ชันการอนุญาตเพื่อได้รับการอนุญาต
ในที่สุด, ผู้โจมตีเรียกใช้ฟังก์ชันการโอนจากการโอนเงินให้กับสินทรัพย์ของเหยื่อเพื่อทำให้การโจมตีดูเสร็จสิ้น
วิธีการจู่โจมที่เหล่านี้มีลักษณะสำคัญคือ: เมื่อผู้โจมตีได้รับสิทธิ์ในการลงนามของคุณ พวกเขาสามารถดำเนินการให้สิทธิ์และโอนจากการดำเนินการ สิ่งสำคัญที่ต้องระบุคือ สิทธิ์ในการลงนามจะไม่ปรากฏในประวัติธุรกรรม on-chain ของเหยื่อ แต่จะแสดงขึ้นในกิจกรรมที่อยู่ในที่อยู่ของผู้โจมตี
โดยทั่วไปแล้ว การโจมตีแบบฟิชชิงลายเซ็นประเภทนี้เป็นเหตุการณ์แบบครั้งเดียว ซึ่งหมายความว่าจะไม่ก่อให้เกิดภัยคุกคามฟิชชิงอย่างต่อเนื่อง พูดง่ายๆ ก็คือ การโจมตีแบบฟิชชิงลายเซ็นไม่สามารถขโมยวลีการจํา (หรือคีย์ส่วนตัว) ของกระเป๋าเงินของคุณได้ การพยายามฟิชชิงแต่ละครั้งจะอนุญาตให้แฮ็กเกอร์ใช้การอนุญาตเพียงครั้งเดียว และจะมีผลกับโทเค็นและบล็อกเชนที่คุณอนุญาตเท่านั้น (ตัวอย่างเช่น หากคุณอนุญาต USDT แฮ็กเกอร์จะรับ USDT ของคุณได้เท่านั้น) กล่าวอีกนัยหนึ่งลายเซ็นฟิชชิ่งเดียวให้โอกาสแฮ็กเกอร์เพียงครั้งเดียวเว้นแต่คุณจะทําผิดพลาดในการลงนามอีกครั้งในอนาคตทําให้พวกเขามีโอกาสใช้ประโยชน์จากกระเป๋าเงินของคุณอีกครั้ง
(ภาพเครดิต: bocaibocai@wzxznl)
2. การโจมตีการจลาจลใน Uniswap Permit2
วิธีการฟิชชิ่งนี้คล้ายกับการโจมตีใบอนุญาตที่กล่าวถึงก่อนหน้านี้ ซึ่งทั้งสองอย่างเกี่ยวข้องกับฟิชชิงลายเซ็นนอกเครือข่าย Uniswap Permit2 เป็นสัญญาอัจฉริยะที่ Uniswap เปิดตัวในปี 2022 จากข้อมูลของ Uniswap เป็นสัญญาการอนุมัติโทเค็นที่ออกแบบมาเพื่ออนุญาตให้แชร์และจัดการโทเค็นในแอปพลิเคชันต่างๆ มอบประสบการณ์การใช้งานที่ราบรื่น คุ้มค่า และปลอดภัยยิ่งขึ้น ขณะนี้หลายโครงการได้รวม Permit2 ไว้แล้ว
เร็ว ๆ นี้ ฉันอ่านบทความหลายบทโดย bocaibocai (X@wzxznl) เพื่อลงจมลงไปในกลไกของการโจมตี Permit2 phishing อย่างลึกซึ้งขึ้น นี่คือสรุปอย่างรวดเร็ว:
เมื่อคุณต้องการทำการสวิปบนเว็บไซต์การแลกเปลี่ยนที่ไม่มีส่วนหนึ่ง (DEX) กระบวนการทางดั้งเดิมต้องการให้คุณอนุญาต DEX เพื่อเข้าถึงโทเค็นของคุณแล้วจึงดำเนินการสวิป ซึ่งมักหมายความว่าคุณต้องจ่ายค่าแก๊สสองครั้ง ซึ่งอาจไม่สะดวกสำหรับผู้ใช้ ด้วย Permit2 ขั้นตอนนี้จะถูกละเลยไป ลดค่าใช้จ่ายในการตอบสนองและปรับปรุงประสบการณ์ของผู้ใช้ทั้งหมด
โดยพื้นฐานแล้ว Permit2 ทำหน้าที่เป็นตัวกลางระหว่างผู้ใช้และ dApps หนึ่งครั้งที่ผู้ใช้ให้สิทธิ์ให้ Permit2 แล้ว dApp ใดที่ได้รับการรวมระบบกับ Permit2 สามารถแบ่งปันขีดจำกัดในการให้สิทธิ์นั้น ๆ ซึ่งไม่เพียงทำให้ลดต้นทุนและทำให้กระบวนการสำหรับผู้ใช้ง่ายขึ้น แต่ยังช่วยให้ dApps ดึงดูดผู้ใช้และ Likuiditiy มากขึ้นด้วยประสบการณ์ที่ดีขึ้น
สิ่งที่ดูเหมือนสถานการณ์ win-win สามารถเปลี่ยนเป็นดาบสองคมได้ ตามเนื้อผ้าทั้งการอนุมัติและการโอนเงินเกี่ยวข้องกับการดําเนินการแบบ on-chain โดยผู้ใช้ แต่ด้วย Permit2 การโต้ตอบของผู้ใช้จะลดลงเป็นลายเซ็นนอกเครือข่ายในขณะที่ตัวกลางเช่นสัญญา Permit2 หรือโครงการที่รวมเข้ากับมันจัดการการดําเนินงานแบบ on-chain การเปลี่ยนแปลงนี้มีข้อดีโดยการลดแรงเสียดทานแบบ on-chain สําหรับผู้ใช้ แต่ก็มีความเสี่ยงเช่นกัน ลายเซ็นนอกเครือข่ายเป็นที่ที่ผู้ใช้มักจะลดการป้องกันลง ตัวอย่างเช่นเมื่อเชื่อมต่อกระเป๋าเงินกับ dApps บางรายการผู้ใช้จะได้รับแจ้งให้เซ็นชื่อบางอย่าง แต่ส่วนใหญ่ไม่ได้ตรวจสอบหรือทําความเข้าใจเนื้อหาลายเซ็นอย่างละเอียด (ซึ่งมักจะดูเหมือนรหัสที่สับสน) การขาดการตรวจสอบข้อเท็จจริงนี้อาจเป็นอันตรายได้
ข้อกังวลที่สําคัญอีกประการหนึ่งคือ Permit2 โดยค่าเริ่มต้นอนุญาตให้เข้าถึงยอดคงเหลือโทเค็นทั้งหมดของคุณไม่ว่าคุณจะวางแผนที่จะแลกเปลี่ยนมากแค่ไหนก็ตาม ในขณะที่กระเป๋าเงินเช่น MetaMask อนุญาตให้คุณกําหนดขีด จํากัด ที่กําหนดเองผู้ใช้ส่วนใหญ่มักจะคลิก "สูงสุด" หรือใช้การตั้งค่าเริ่มต้น ค่าเริ่มต้นสําหรับ Permit2 คือการอนุญาตแบบไม่ จํากัด ซึ่งมีความเสี่ยงเป็นพิเศษ ดูภาพด้านล่างสําหรับการอ้างอิง
นี่หมายถึงว่าหากคุณได้มีปฏิสัมพันธ์กับ Uniswap และให้สิทธิให้กับสัญญา Permit2 คุณจะเป็นเป้าหมายของการหลอกลวงนี้
เช่นเดียวกัน ขอให้สมมติว่าเสียงเจียวเลี่ยมได้ใช้ Uniswap และให้สิทธิ์ให้มีจำนวนไม่จำกัดของ USDT กับสัญญา Permit2 ภายหลังในขณะที่ทำธุรกรรมกระเป๋าเงินปกติ เสียงเจียวเลี่ยมได้ตกอยู่ในกับดักการโกงที่เกี่ยวข้องกับ Permit2 โดยไม่รู้ตัว หลังจากที่แฮ็กเกอร์ได้รับลายเซ็นของเสียงเจียวเลี่ยม พวกเขาสามารถนำมันไปทำสองปฏิบัติสำคัญบนสัญญา Permit2 คือ อนุญาตและโอนจาก เพื่อขโมยทรัพย์สินของเสียงเจียวเลี่ยม
นี่คือวิธีการโจมตีฟิชชิงที่ทำงาน
ก่อนการพยายามการลอกข้อมูลผู้ใช้ได้ใช้ Uniswap และให้สิทธิ์โทเค็นให้กับสัญญา Uniswap Permit2 แล้ว (ด้วยการอนุญาตไม่จำกัดโดยค่าเริ่มต้น)
จากนั้นผู้โจมตีจะสร้างลิงก์ฟิชชิ่งปลอมหรือเว็บไซต์หลอกให้ผู้ใช้ลงนามในธุรกรรม เมื่อจับลายเซ็นแล้วแฮ็กเกอร์จะได้รับข้อมูลทั้งหมดที่ต้องการ (ขั้นตอนนี้คล้ายกับอนุญาตฟิชชิง)
โดยใช้วิธีนี้ ผู้โจมตีเรียกใช้ฟังก์ชันการอนุญาตในสัญญา Permit2 เพื่อทำการอนุญาตเสร็จสิ้น
ในที่สุด, ผู้โจมตีเรียกใช้ฟังก์ชัน Transfer From ภายในสัญญา Permit2 เพื่อโอนทรัพย์สินของเหยื่อเพียงพอแล้ว การโจมตีผ่านอีเมลล์เสร็จสิ้น
โดยทั่วไปการโจมตีเหล่านี้เกี่ยวข้องกับที่อยู่รับหลายแห่ง บางส่วนใช้สําหรับการดําเนินการฟิชชิ่งเท่านั้น (และอาจสร้างขึ้นเพื่อให้ดูเหมือนที่อยู่ของเหยื่อที่มีอักขระคล้ายกันในตอนเริ่มต้นและตอนท้าย) ในขณะที่บางตัวเป็นของวงแหวนฟิชชิ่งที่จัดระเบียบ (เช่นผู้ให้บริการ DaaS) อุตสาหกรรมฟิชชิ่งที่กําหนดเป้าหมายกระเป๋าเงินคริปโตดูเหมือนจะพัฒนาเป็นตลาดใต้ดินเต็มรูปแบบ ดูภาพด้านล่าง
คุณสามารถป้องกันตัวเองจากการโจมตีการถลอกข้อมูลที่มีการอนุญาตและอนุญาต2 ได้อย่างไร
หนึ่งวิธีคือใช้ปลั๊กอินความปลอดภัยของเบราว์เซอร์เช่น Scamsniffer (ฉันใช้ของ Google Chrome) เพื่อบล็อกลิงก์การโจมตีช่องโหว่ นอกจากนี้ คุณยังสามารถตรวจสอบและเพิกถอนสิทธิ์หรือลายเซ็นต์ที่ไม่จำเป็นหรือน่าสงสัยโดยใช้เครื่องมือเช่น Revoke Cash ดูตัวอย่างในภาพด้านล่าง
คุณยังสามารถใช้เครื่องมือการจัดการการอนุญาตที่เชี่ยวชาญจาก Scamsniffer ที่ออกแบบมาเพื่อ Uniswap Permit2 เพื่อตรวจสอบอนุญาตของคุณเป็นประจำ หากมีอะไรที่ดูไม่ปกติ สำคัญที่จะเพิกถอนการอนุญาตทันที ดูภาพด้านล่าง
อย่างที่กล่าวไว้ ประเด็นที่สำคัญที่สุดคือการรักษาการตระหนักด้านความปลอดภัยอย่างมั่นคง หลีกเลี่ยงการเข้าชมเว็บไซต์หรือลิงก์ที่ไม่รู้จัก และเมื่อมีปฏิสัมพันธ์กับ dApps ตรวจสอบสิ่งที่คุณยินยอมอีกครั้ง
(Image credit: bocaibocai@wzxznl)
เคล็ดลับ: คุณจะรู้ได้อย่างไรว่าลายเซ็นต์ของกระเป๋าเงินเป็นสำหรับ Permit หรือ Permit2?
เมื่อลงนาม คุณจะเห็นรายละเอียดบางอย่างในหน้าต่างยืนยันการให้สิทธิ์ คุณสามารถระบุประเภทของลายเซ็นโดยการดูที่ฟิลด์หลักเช่นที่แสดงในภาพด้านล่าง:
เจ้าของ (ที่อยู่ที่ให้อนุญาต); ผู้ใช้ (ที่อยู่ที่ได้รับอนุญาต); มูลค่า (จำนวนที่ได้รับอนุญาต); Nonce (หมายเลขสุ่มที่ไม่ซ้ำกัน); วันหมดอายุ (วันที่หมดอายุ)
3.การโจมตีฉ้อโกงการเรียกร้อง
ประเภทนี้ของการทำแฟร์ชิงเป็นที่พบได้มาก ตัวอย่างเช่น หากคุณเรียกดู X (เดิมเป็น Twitter) บ่อยคุณจะมักพบข้อความที่มอบฟรีเอร์ดรอปบางครั้งคุณอาจพบ NFTs สุ่มที่ถูกโยงลงในกระเป๋าเงินของคุณโดยลึกลับ (ซึ่งอาจรวมถึงลิงก์เว็บไซต์)
หากคุณคลิกที่เว็บไซต์ขโมยข้อมูลและดำเนินการต่อเรียกร้องในกรณีนี้ สินทรัพย์ในกระเป๋าเงินของคุณอาจถูกโจมตีและถูกขโมยได้โดยทันทีโดยแฮกเกอร์
คุณสามารถป้องกันตัวเองได้อย่างไร?
1. อย่าตกใจกับข้อเสนอที่ดูดีเกินไป (หลีกเลี่ยงการคลิกลิงก์ที่น่าสงสัยหรือยอมรับ NFT ฟรีและ airdrops ที่ไม่รู้จัก) 2. เช็คเว็บไซต์ที่คุณใช้เสมอเพื่อให้แน่ใจว่าเป็นเว็บไซต์อย่างเป็นทางการก่อนที่จะดำเนินการเรียกร้องใด ๆ
4. การลวดลายโจมตีการโอนที่คล้ายกัน
เมื่อวันที่ 3 พฤษภาคมของปีนี้ วาฬคริปโตตกเป็นเหยื่อของการโจมตีแบบฟิชชิงโดยใช้ที่อยู่ที่คล้ายกัน โดยสูญเสีย 1,155 WBTC (มูลค่าประมาณ 70 ล้านดอลลาร์ในขณะนั้น)
SlowMist ได้วิเคราะห์เหตุการณ์นี้อย่างละเอียดแล้ว ดังนั้นฉันจะไม่ทำซ้ำรายละเอียดที่นี่ หากคุณอยากรู้สามารถเยี่ยมชมเคสได้ที่นี่:
https://mp.weixin.qq.com/s/mQch5pEg1fmJsMbiOClwOg
ประเภทของการลวงอย่างง่ายคือ
ต่อไป ฮากเกอร์จะสร้างจำนวนมากของที่อยู่การล่อลวงที่คล้ายกับที่อยู่เป้าหมายของเหยื่อโดยใกล้เคียง โดยทั่วไปจะตรงกับตัวอักษร 4 ตัวแรกและตัวอักษร 6 ตัวสุดท้าย
ต่อมาพวกเขาจะใช้โปรแกรมแบบแบ็ตเพื่อตรวจสอบกิจกรรมบนเชื่อมโยงของเหยื่อ แล้วทำการโจมตีด้วยการส่งที่อยู่ที่คล้ายกันก่อนที่ธุรกรรมที่ตั้งใจ
ในที่สุดเมื่อเหยื่อทําการโอนเงินแฮ็กเกอร์จะใช้ที่อยู่ที่ดูคล้ายกันเพื่อส่งธุรกรรมทันทีหลังจากนั้น ด้วยวิธีนี้ ที่อยู่ฟิชชิ่งจะปรากฏในประวัติการทําธุรกรรมของผู้ใช้ ดูภาพด้านล่าง
เนื่องจากผู้ใช้หลายคนมีนิสัยในการคัดลอกรายละเอียดธุรกรรมจากประวัติกระเป๋าเงินของพวกเขาพวกเขาอาจเห็นธุรกรรมฟิชชิ่งที่ติดตามตัวเองอย่างใกล้ชิดและไม่ทราบว่าพวกเขาคัดลอกที่อยู่ผิด หากไม่มีการตรวจสอบอย่างรอบคอบพวกเขาอาจส่ง 1,155 WBTC ไปยังที่อยู่ฟิชชิ่งโดยไม่ได้ตั้งใจ
คุณสามารถป้องกันได้อย่างไร?
1. บันทึกที่อยู่ที่ใช้บ่อยในสมุดที่อยู่ของกระเป๋าเงินของคุณ (หรือเพิ่มในรายชื่อที่ได้รับอนุญาต) เพื่อให้คราวหน้าคุณสามารถเลือกที่อยู่ที่ถูกต้องจากรายการได้ 2. ตรวจสอบที่อยู่ทั้งหมดก่อนที่จะโอนเงิน - อย่าพึ่งพิจารณาเพียงไม่กี่ตัวอักษรแรกหรือสุดท้าย 3. เมื่อโอนเงินจำนวนมาก ควรส่งธุรกรรมทดสอบขนาดเล็กก่อนเพื่อให้แน่ใจว่าทุกอย่างถูกต้อง
5. การล่อผู้ใช้ยินยอมเซ็นชื่อ
การอนุญาต, การอนุญาต Uniswap2 และวิธีการเรียกร้องที่กล่าวถึงก่อนหน้านี้ทั้งหมดอยู่ภายใต้หลักการของการล่องลอยขออนุญาต ในความเป็นจริงมีหลายวิธีที่ผู้แฮ็กเกอร์สามารถใช้ประโยชน์จากการอนุญาตกระเป๋าสตางค์ เช่น Approve (ให้สิทธิให้แพลตฟอร์มเช่น Uniswap ใช้ USDT ของคุณ) และ Increase Allowance (เพิ่มวงเงินสูงสุดที่สามารถใช้ได้)
กระบวนการฟิชชิ่งมักเกิดขึ้นจากผู้โจมตีที่กำหนดลิงก์หรือเว็บไซต์ปลอมหรือแม้แต่แฮกเว็บไซต์โปรเจกต์อย่างเป็นทางการแล้วฝังโค้ดอันตรายซึ่งจะหลอกผู้ใช้งานคลิกและอนุญาตการใช้งานกระเป๋าเงินโดยไม่รู้ตัว
วิธีการฟิชชิ่งห้าวิธีที่ถูกพูดถึงเป็นเพียงบางส่วนของวิธีที่พบบ่อยขึ้น ฮากเกอร์กำลังคิดค้นวิธีการโจมตีใหม่และสร้างสรรค์อยู่เสมอ ดังที่พูดไว้ว่า "ฮากเกอร์จะยังคงอยู่ข้างหน้าเสมอ" นี่หมายความว่าความปลอดภัยของกระเป๋าสตางค์เป็นความท้าทายที่ต้องระวังให้สอดคล้องตลอดเวลา
ข้อความประกาศล้มเหลว:
บทความนี้ถูกพิมพ์ใหม่จาก [Gate话李话外] พร้อมชื่อเรื่อง 'กระเป๋าเงินของคุณปลอดภัยหรือไม่? มัลแวร์ตกปลาด้วยการใช้ Permit, Uniswap Permit2 และลายเซ็นเพื่อการเข้าถึงข้อมูลส่วนตัว' ลิขสิทธิ์ทั้งหมดเป็นของผู้เขียนต้นฉบับ [话李话外] หากมีการโต้แย้งในการเผยแพร่นี้ โปรดติดต่อ Gate Learnทีมงานจะดูแลและจัดการกับมันโดยเร็ว
คำประกาศความรับผิดชอบ: มุมมองและความคิดเห็นที่แสดงในบทความนี้เป็นเพียงผู้เขียนเท่านั้นและไม่เป็นที่ปรึกษาการลงทุนใด ๆ
การแปลบทความเป็นภาษาอื่น ๆ นั้น ทำโดยทีม Gate Learn นอกเหนือจากที่กล่าวถึงGate.ioห้ามคัดลอก แจกจ่าย หรือลอกเลียนแบบบทความที่แปลแล้ว
บทความที่เกี่ยวข้อง
การวิเคราะห์ปัจจัยพื้นฐานคืออะไร?
Magic Eden คืออะไร: ตลาด NFT ของ Solana
ศึกษาด้วยตัวคุณเอง (DYOR)?
กระเป๋าเงินของคุณปลอดภัยหรือไม่? ฮากเกอร์ทำอย่างไรในการใช้ Exploit Permit, Uniswap Permit2 และลายเซ็นเพื่อการฟิชชิ่ง
1.อนุญาตให้โจมตีการหลอกลวง
2. การโจมตีการล่อเสนอ Uniswap Permit2
3. การโจมตีด้วยการล่อเข้ามาเพื่อรับสิทธิ์
4. การหลอกโอนเงินด้วยที่อยู่ที่คล้ายคลึงกัน
5. การลวดลองลายเซ็นต์ที่ได้รับอนุญาต
ฉันจําได้ว่ามีคนในกลุ่มเคยแบ่งปันคําพูดที่ชาญฉลาด: "ถ้าคุณไม่รู้ว่าใครกําลังสร้างผลกําไรคุณก็เป็นคนสร้างมันขึ้นมา" สิ่งนี้สะท้อนกับฉันจริงๆ หลักการเดียวกันนี้ใช้กับความปลอดภัยของการใช้กระเป๋าเงินดิจิตอล หากคุณไม่แน่ใจว่าการกระทําที่เฉพาะเจาะจงเกี่ยวข้องกับอะไรการโต้ตอบหรือลายเซ็นแบบ on-chain ทุกครั้งที่คุณทําอาจเสี่ยงต่อการสูญเสียทรัพย์สินในกระเป๋าเงินของคุณ
เร็ว ๆ นี้ Scam Sniffer ปล่อยรายงานการล่องลอยระหว่างปี 2024 ล่าสุด: ในสามารถแรกของปีนี้เพียงแค่ครึ่งแรก มีผู้เสียหายถูกล่องลอยบน EVM chains (Ethereum-based chains) ถึง 260,000 คน ซึ่งทำให้เสียหายรวมถึง $314 ล้าน เพื่อให้เข้าใจง่าย ๆ กว่านี้ นั้นคือเสียหายรวมในการโจมตีด้วยวิธีล่องลอยในทั้งหมดของปี 2023 ที่เป็นเงินรวม $295 ล้าน และในเพียงหกเดือนก็ทำให้มูลค่านี้เกินไปแล้ว ตามที่แสดงในกราฟด้านล่าง
รายงานเน้นว่าการโจรกรรมโทเค็น ERC20 ส่วนใหญ่เกิดจากการเซ็นลายเซ็นฟิชชิ่ง เช่น ใบอนุญาต (ลายเซ็นการอนุญาตแบบออฟไลน์) ค่าเผื่อการเพิ่ม (การขยายขีดจํากัดการอนุญาต) และ Uniswap Permit2 เห็นได้ชัดว่าการโจมตีแบบฟิชชิงยังคงเป็นช่องโหว่ที่สําคัญในการรักษาความปลอดภัยแบบ on-chain
ไม่กี่วันก่อน เพื่อนของฉันเผชิญกับปัญหา สองเดือนก่อนในวันที่ 14 มิถุนายน พวกเขาทำการโอนเงิน 3 ครั้งจาก Coinbase Wallet ไปยัง Binance (โอนเชน Ethereum) การโอนเงินครั้งแรกผ่านไปสำเร็จ แต่สองครั้งหลังไม่เคยมาถึงและผ่านมาสองเดือนแล้ว อะไรที่อาจเกิดข้อผิดพลาดได้บ้าง?
ฉันตรวจสอบบันทึกรายการธุรกรรมบน Etherscan และพบว่ามีเพียงการโอนเงินอันเดียว โดยไม่มีร่องรอยของสองรายการอื่น ๆ ตามที่แสดงในภาพด้านล่าง
เมื่อมองอย่างใกล้ชิดกว่านี้ที่ธุรกรรม on-chain ทั้งหมดตั้งแต่วันที่ 14 มิถุนายน ฉันพบว่ามีพยายามโอนเงินสามครั้ง แต่สองครั้งสุดท้ายถูกทำเครื่องหมายว่าเป็นธุรกรรมที่ล้มเหลวตามที่แสดงในภาพด้านล่างนี้
ฉันจึงคลิกที่หนึ่งในธุรกรรมที่ล้มเหลว (ที่ถูกทำเครื่องหมายว่า “ล้มเหลว”) เพื่อดูว่าผิดพลาดที่ไหน ข้อความผิดพลาดบอกว่า “เกิดข้อผิดพลาดขณะทำสัญญา” ตามเอกสารประกอบการทางการของ Etherscan ประเภทของข้อผิดพลาดนี้ไม่ควรทำให้สูญเสียสินทรัพย์จากกระเป๋าเงิน โทเคนไม่เคลื่อนย้ายจากรถกระทั่งกระเป๋าเงินของผู้ส่งในกรณีเช่นนี้ แม้ค่าธรรมเนียมในการใช้แก๊สจะถูกหักออก ฉบับภาพดังกล่าว
เพื่อแก้ไขประเด็นประเภทนี้ ต้องยืนยันสิ่งต่อไปนี้:
-ตรวจสอบว่าเงินถูกโอนหรือสูญหายจริงๆจากกระเป๋าสตางค์ในวันนั้น (เช่น หากการทำธุรกรรมที่ล้มเหลวไม่ทำให้เงินกลับมาที่กระเป๋าสตางค์)
-ถ้าได้ยืนยันว่าทรัพย์สินถูกโอนหรือสูญหาย คุณอาจต้องติดต่อฝ่ายบริการลูกค้าของแพลตฟอร์มที่เกี่ยวข้อง ในกรณีเช่นนี้ ควรติดต่อแพลตฟอร์มที่รับผิดชอบในการส่งหรือเริ่มต้นการถอน โดยที่แพลตฟอร์มหรือที่อยู่ที่รับจะไม่สามารถแก้ไขปัญหา
ด้วยเหตุนี้ คำแนะนำทั่วไปของฉันคือ ควรเก็บบันทึกธุรกรรมอย่างละเอียด เช่น โดยใช้ Excel เพื่อติดตามธุรกรรมประจำวัน (ซื้อ/ขาย) และ cash flow (รายได้/รายจ่าย) โดยนี้หมายความว่า หากมีปัญหาเกิดขึ้น คุณสามารถเปรียบเทียบบันทึกกับบันทึกรายการธุรกรรม on-chain เพื่อการตรวจสอบทับซ้อน ฉันเองก็เก็บบันทึกแบบนี้เอง บันทึกทุกธุรกรรมอย่างละเอียด ฉันยังเพิ่มหมายเหตุเกี่ยวกับประสบการณ์หรือความคิดเห็นของฉันเกี่ยวกับธุรกรรมบางรายการ
ณจุดนี้ ปัญหาดูเหมือนจะเข้าใจได้มากที่สุด อย่างไรก็ตาม ขณะที่กำลังทบทวนประวัติการทำธุรกรรม on-chain ฉันพบปัญหาที่ร้ายแรงมากขึ้นกับกระเป๋าเงินของเพื่อน—มันถูกเป้าหมายโดยนักเจาะระบบ!
มีอะไรเกิดขึ้น? มาชมให้ดีกว่า (ตามที่แสดงในรูปภาพด้านล่าง):
เรามาดูกล่องสีแดงในภาพก่อน (ธุรกรรมที่ถูกต้อง)
เจ้าของกระเป๋าเงินได้ทำการสลับ $10,000 และโอน USDT ไปยังกระเป๋าเงินที่ขึ้นต้นด้วย 0x8F และลงท้ายด้วย f103 ล่าสุด
ตอนนี้ ตรวจสอบกล่องสีเขียว (ธุรกรรมการจับปลา phishing):
ทันทีหลังจากนั้น ฮากเกอร์ได้สร้างธุรกรรมปลอมหลายรายการ ที่น่าสนใจคือ ที่อยู่กระเป๋าเงินของฮากเกอร์เริ่มต้นด้วย 0x8F และลงท้ายด้วย f103
มาเปรียบเทียบที่อยู่กระเป๋าเงินอย่างใกล้ชิดมากขึ้น:
ที่อยู่จริงของเจ้าของกระเป๋าเงินคือ:
0x8F773C2E1bF81cbA8ee71CBb8d33249Be6e5f103
ที่อยู่กระเป๋าของแฮกเกอร์คือ:
0x8F7cCF79d497feDa14eD09F55d2c511001E5f103
0x8F776d5623F778Ea061efcA240912f9643fdf103
สังเกตปัญหาหรือไม่? ตัวอักษร 4 ตัวแรกและ 4 ตัวท้ายของที่อยู่เหล่านี้เหมือนกัน ซึ่งทำให้มองดูเหมือนเดียวกันเมื่อมองด้วยด่อนรวดเร็ว หากคุณคัดลอกและวางที่อยู่โดยตรงจากประวัติธุรกรรมโดยไม่ตรวจสอบสองครั้ง คุณอาจส่งเงินไปยังผู้แฮ็กเกอร์ได้อย่างง่ายดาย
ดังนั้น มีข้อมูลชัดเจนว่ากระเป๋าเงินนี้ต้องถูกเป้าหมายจากผู้โจมตีที่พยายามจะขโมยสินทรัพย์ นอกจากนี้ หน้าเพจการธุรกรรมแฮชยืนยันสิ่งนี้ - การกระทำการธุรกรรมถูกทำเครื่องหมายว่า เป็นการปลอมแปลง/ขโมยสิ่งของ ซึ่งไม่เหลือเกินที่นี่นั่นเป็นที่อยู่ของผู้โจมตี ดูภาพด้านล่างเพื่ออ้างอิง
คำแนะนำ: ทำไมคุณไม่สามารถเห็นธุรกรรมที่ไม่ถูกต้องหรือการโอนมูลค่าศูนย์บน Etherscan ได้? คุณจะสามารถสลับเบราว์เซอร์ Ethereum เป็นภาษาจีนตัวอักษรที่ประยุกต์ได้อย่างไร?
ตามค่าเริ่มต้น Etherscan ซ่อนธุรกรรมที่ไม่ถูกต้องและการโอนค่าศูนย์ หากคุณต้องการดูพวกเขา โปรดไปที่หน้าการตั้งค่าบน Etherscan และเปิดใช้งานตัวเลือกขั้นสูง ในทำเนียบเดียวกัน หากคุณต้องการใช้อินเตอร์เฟซเป็นภาษาจีนตัวย่อ คุณยังสามารถปรับเปลี่ยนได้ในการตั้งค่า ดูภาพด้านล่างเพื่ออ้างอิง หรือหากคุณต้องการ คุณสามารถใช้ตัวสำรวจหลายโซนของฝั่งที่สาม เช่น Oklink ซึ่งยังสนับสนุนภาษาจีนตัวย่อ
ความปลอดภัยของกระเป๋าเงินเป็นสิ่งที่ต้องให้ความสนใจอย่างเต็มที่ โดยเฉพาะสำหรับกระเป๋าเงินที่มีสินทรัพย์มาก (มากกว่า 1 ล้านดอลลาร์) ควรทำการกระจายเงินของคุณในกระเป๋าเงินที่แตกต่างกันตามจุดประสงค์เพื่อเพิ่มความปลอดภัย นี่คือวิธีที่ฉันจัดระเบียบกระเป๋าเงินของฉันเป็นชั้นๆ
เทียร์ 1: กระเป๋าเงินเย็นที่ตั้งค่าบนโทรศัพท์ Apple อย่างเคร่งครัดสําหรับการจัดเก็บระยะยาว มันถูกเก็บไว้แบบออฟไลน์และไม่เคยใช้สําหรับการทําธุรกรรมหรือการโอนใด ๆ ฉันวางแผนที่จะถือครองสินทรัพย์เหล่านี้เป็นเวลาอย่างน้อย 10 ปีโดยไม่ต้องสัมผัส หากคุณต้องการใช้กระเป๋าเงินเย็นสําหรับการทําธุรกรรมคุณสามารถดูการซื้อกระเป๋าเงินฮาร์ดแวร์ที่รู้จักกันดีผ่านช่องทางที่มีชื่อเสียง (เช่น Trezor, Ledger ฯลฯ )
ระดับ 2: กระเป๋าเงินร้อนสำหรับยอดเงินที่ใหญ่ขึ้น ฉันใช้ Trust Wallet และไม่ให้สิทธิ์ใด ๆ ให้กับ dApp บางอย่าง กระเป๋าเงินนี้ใช้เฉพาะสำหรับโอนเงินระหว่างกระเป๋าเงินของฉันเอง และถอนหรือโอนไปยัง Binance เท่านั้น
เทียร์ 3: กระเป๋าเงินขนาดเล็กหลายสิบใบบางใบเพื่อวัตถุประสงค์ในการทดสอบ (เช่นการโต้ตอบกับโครงการใหม่เพื่อลองใช้คุณสมบัติของพวกเขาหรือขัดขวาง airdrop เป็นครั้งคราว) ในขณะที่กระเป๋าเงินอื่น ๆ ถูกใช้สําหรับการซื้อ altcoins หรือโทเค็นมีม (แม้ว่าฉันจะทําสิ่งนี้น้อยลงในช่วงไม่กี่ปีที่ผ่านมา) กระเป๋าเงินแต่ละใบมีจํานวนเงินเพียงเล็กน้อยตั้งแต่ไม่กี่ร้อยถึงไม่กี่พันดอลลาร์ ฉันรู้สึกผ่อนคลายมากขึ้นเกี่ยวกับการอนุญาตและลายเซ็นด้วยกระเป๋าเงินเหล่านี้ และแม้ว่าจะถูกแฮ็ก แต่ก็ไม่ใช่เรื่องใหญ่ การจัดการกระเป๋าเงินทั้งหมดเหล่านี้อาจดูเหมือนเป็นเรื่องยุ่งยาก แต่ก็คุ้มค่าสําหรับการรักษาความปลอดภัยที่เพิ่มขึ้น
สรุปเป็นที่สังเกตทุกคนมีความชอบในการจัดการกระเป๋าเงินของตนเองตามสถานการณ์ของพวกเขา ผู้ใช้คริปโตที่เชี่ยวชาญมักมีความชื่นชอบในการเก็บสินทรัพย์ของพวกเขาบนเชื่อมโยง แต่สำหรับมากของผู้เริ่มต้นที่จะเป็นความปลอดภัยจริงๆที่จะเก็บสินทรัพย์ (ใต้ 100,000 ดอลลาร์) บนแพลตฟอร์มชั้นนำเช่น Binance หรือ OKX
ตอนนี้เรามาดูกันบางกลยุทธ์ของการจี้หลอกปลอมทั่วไป:
1.อนุญาตให้โจมตีการทำเครื่องหมาย
ในการเริ่มต้นเรามาอธิบายแนวคิดพื้นฐานบางประการ: เมื่อคุณโอนโทเค็นบน Ethereum คุณมักจะโต้ตอบกับสัญญาอัจฉริยะของโทเค็นโดยใช้ฟังก์ชันโอนหรือฟังก์ชันโอนจาก ฟังก์ชันการโอนจะใช้เมื่อเจ้าของอนุญาตการโอนโทเค็นไปยังที่อยู่อื่นโดยตรงในขณะที่โอนจากอนุญาตให้บุคคลที่สามย้ายโทเค็นจากที่อยู่หนึ่งไปยังอีกที่อยู่หนึ่ง
นี่คือวิธีการโจมตี Permit Phishing:
ตัวโจรจะล่อเหยื่อให้คลิกลิงก์ปลอมหรือเข้าเว็บไซต์ปลอมเพื่อสั่งซื้อธุรกรรมกระเป๋าเงิน (ออฟเชน)
จากนั้น ผู้โจมตีใช้ฟังก์ชันการอนุญาตเพื่อได้รับการอนุญาต
ในที่สุด, ผู้โจมตีเรียกใช้ฟังก์ชันการโอนจากการโอนเงินให้กับสินทรัพย์ของเหยื่อเพื่อทำให้การโจมตีดูเสร็จสิ้น
วิธีการจู่โจมที่เหล่านี้มีลักษณะสำคัญคือ: เมื่อผู้โจมตีได้รับสิทธิ์ในการลงนามของคุณ พวกเขาสามารถดำเนินการให้สิทธิ์และโอนจากการดำเนินการ สิ่งสำคัญที่ต้องระบุคือ สิทธิ์ในการลงนามจะไม่ปรากฏในประวัติธุรกรรม on-chain ของเหยื่อ แต่จะแสดงขึ้นในกิจกรรมที่อยู่ในที่อยู่ของผู้โจมตี
โดยทั่วไปแล้ว การโจมตีแบบฟิชชิงลายเซ็นประเภทนี้เป็นเหตุการณ์แบบครั้งเดียว ซึ่งหมายความว่าจะไม่ก่อให้เกิดภัยคุกคามฟิชชิงอย่างต่อเนื่อง พูดง่ายๆ ก็คือ การโจมตีแบบฟิชชิงลายเซ็นไม่สามารถขโมยวลีการจํา (หรือคีย์ส่วนตัว) ของกระเป๋าเงินของคุณได้ การพยายามฟิชชิงแต่ละครั้งจะอนุญาตให้แฮ็กเกอร์ใช้การอนุญาตเพียงครั้งเดียว และจะมีผลกับโทเค็นและบล็อกเชนที่คุณอนุญาตเท่านั้น (ตัวอย่างเช่น หากคุณอนุญาต USDT แฮ็กเกอร์จะรับ USDT ของคุณได้เท่านั้น) กล่าวอีกนัยหนึ่งลายเซ็นฟิชชิ่งเดียวให้โอกาสแฮ็กเกอร์เพียงครั้งเดียวเว้นแต่คุณจะทําผิดพลาดในการลงนามอีกครั้งในอนาคตทําให้พวกเขามีโอกาสใช้ประโยชน์จากกระเป๋าเงินของคุณอีกครั้ง
(ภาพเครดิต: bocaibocai@wzxznl)
2. การโจมตีการจลาจลใน Uniswap Permit2
วิธีการฟิชชิ่งนี้คล้ายกับการโจมตีใบอนุญาตที่กล่าวถึงก่อนหน้านี้ ซึ่งทั้งสองอย่างเกี่ยวข้องกับฟิชชิงลายเซ็นนอกเครือข่าย Uniswap Permit2 เป็นสัญญาอัจฉริยะที่ Uniswap เปิดตัวในปี 2022 จากข้อมูลของ Uniswap เป็นสัญญาการอนุมัติโทเค็นที่ออกแบบมาเพื่ออนุญาตให้แชร์และจัดการโทเค็นในแอปพลิเคชันต่างๆ มอบประสบการณ์การใช้งานที่ราบรื่น คุ้มค่า และปลอดภัยยิ่งขึ้น ขณะนี้หลายโครงการได้รวม Permit2 ไว้แล้ว
เร็ว ๆ นี้ ฉันอ่านบทความหลายบทโดย bocaibocai (X@wzxznl) เพื่อลงจมลงไปในกลไกของการโจมตี Permit2 phishing อย่างลึกซึ้งขึ้น นี่คือสรุปอย่างรวดเร็ว:
เมื่อคุณต้องการทำการสวิปบนเว็บไซต์การแลกเปลี่ยนที่ไม่มีส่วนหนึ่ง (DEX) กระบวนการทางดั้งเดิมต้องการให้คุณอนุญาต DEX เพื่อเข้าถึงโทเค็นของคุณแล้วจึงดำเนินการสวิป ซึ่งมักหมายความว่าคุณต้องจ่ายค่าแก๊สสองครั้ง ซึ่งอาจไม่สะดวกสำหรับผู้ใช้ ด้วย Permit2 ขั้นตอนนี้จะถูกละเลยไป ลดค่าใช้จ่ายในการตอบสนองและปรับปรุงประสบการณ์ของผู้ใช้ทั้งหมด
โดยพื้นฐานแล้ว Permit2 ทำหน้าที่เป็นตัวกลางระหว่างผู้ใช้และ dApps หนึ่งครั้งที่ผู้ใช้ให้สิทธิ์ให้ Permit2 แล้ว dApp ใดที่ได้รับการรวมระบบกับ Permit2 สามารถแบ่งปันขีดจำกัดในการให้สิทธิ์นั้น ๆ ซึ่งไม่เพียงทำให้ลดต้นทุนและทำให้กระบวนการสำหรับผู้ใช้ง่ายขึ้น แต่ยังช่วยให้ dApps ดึงดูดผู้ใช้และ Likuiditiy มากขึ้นด้วยประสบการณ์ที่ดีขึ้น
สิ่งที่ดูเหมือนสถานการณ์ win-win สามารถเปลี่ยนเป็นดาบสองคมได้ ตามเนื้อผ้าทั้งการอนุมัติและการโอนเงินเกี่ยวข้องกับการดําเนินการแบบ on-chain โดยผู้ใช้ แต่ด้วย Permit2 การโต้ตอบของผู้ใช้จะลดลงเป็นลายเซ็นนอกเครือข่ายในขณะที่ตัวกลางเช่นสัญญา Permit2 หรือโครงการที่รวมเข้ากับมันจัดการการดําเนินงานแบบ on-chain การเปลี่ยนแปลงนี้มีข้อดีโดยการลดแรงเสียดทานแบบ on-chain สําหรับผู้ใช้ แต่ก็มีความเสี่ยงเช่นกัน ลายเซ็นนอกเครือข่ายเป็นที่ที่ผู้ใช้มักจะลดการป้องกันลง ตัวอย่างเช่นเมื่อเชื่อมต่อกระเป๋าเงินกับ dApps บางรายการผู้ใช้จะได้รับแจ้งให้เซ็นชื่อบางอย่าง แต่ส่วนใหญ่ไม่ได้ตรวจสอบหรือทําความเข้าใจเนื้อหาลายเซ็นอย่างละเอียด (ซึ่งมักจะดูเหมือนรหัสที่สับสน) การขาดการตรวจสอบข้อเท็จจริงนี้อาจเป็นอันตรายได้
ข้อกังวลที่สําคัญอีกประการหนึ่งคือ Permit2 โดยค่าเริ่มต้นอนุญาตให้เข้าถึงยอดคงเหลือโทเค็นทั้งหมดของคุณไม่ว่าคุณจะวางแผนที่จะแลกเปลี่ยนมากแค่ไหนก็ตาม ในขณะที่กระเป๋าเงินเช่น MetaMask อนุญาตให้คุณกําหนดขีด จํากัด ที่กําหนดเองผู้ใช้ส่วนใหญ่มักจะคลิก "สูงสุด" หรือใช้การตั้งค่าเริ่มต้น ค่าเริ่มต้นสําหรับ Permit2 คือการอนุญาตแบบไม่ จํากัด ซึ่งมีความเสี่ยงเป็นพิเศษ ดูภาพด้านล่างสําหรับการอ้างอิง
นี่หมายถึงว่าหากคุณได้มีปฏิสัมพันธ์กับ Uniswap และให้สิทธิให้กับสัญญา Permit2 คุณจะเป็นเป้าหมายของการหลอกลวงนี้
เช่นเดียวกัน ขอให้สมมติว่าเสียงเจียวเลี่ยมได้ใช้ Uniswap และให้สิทธิ์ให้มีจำนวนไม่จำกัดของ USDT กับสัญญา Permit2 ภายหลังในขณะที่ทำธุรกรรมกระเป๋าเงินปกติ เสียงเจียวเลี่ยมได้ตกอยู่ในกับดักการโกงที่เกี่ยวข้องกับ Permit2 โดยไม่รู้ตัว หลังจากที่แฮ็กเกอร์ได้รับลายเซ็นของเสียงเจียวเลี่ยม พวกเขาสามารถนำมันไปทำสองปฏิบัติสำคัญบนสัญญา Permit2 คือ อนุญาตและโอนจาก เพื่อขโมยทรัพย์สินของเสียงเจียวเลี่ยม
นี่คือวิธีการโจมตีฟิชชิงที่ทำงาน
ก่อนการพยายามการลอกข้อมูลผู้ใช้ได้ใช้ Uniswap และให้สิทธิ์โทเค็นให้กับสัญญา Uniswap Permit2 แล้ว (ด้วยการอนุญาตไม่จำกัดโดยค่าเริ่มต้น)
จากนั้นผู้โจมตีจะสร้างลิงก์ฟิชชิ่งปลอมหรือเว็บไซต์หลอกให้ผู้ใช้ลงนามในธุรกรรม เมื่อจับลายเซ็นแล้วแฮ็กเกอร์จะได้รับข้อมูลทั้งหมดที่ต้องการ (ขั้นตอนนี้คล้ายกับอนุญาตฟิชชิง)
โดยใช้วิธีนี้ ผู้โจมตีเรียกใช้ฟังก์ชันการอนุญาตในสัญญา Permit2 เพื่อทำการอนุญาตเสร็จสิ้น
ในที่สุด, ผู้โจมตีเรียกใช้ฟังก์ชัน Transfer From ภายในสัญญา Permit2 เพื่อโอนทรัพย์สินของเหยื่อเพียงพอแล้ว การโจมตีผ่านอีเมลล์เสร็จสิ้น
โดยทั่วไปการโจมตีเหล่านี้เกี่ยวข้องกับที่อยู่รับหลายแห่ง บางส่วนใช้สําหรับการดําเนินการฟิชชิ่งเท่านั้น (และอาจสร้างขึ้นเพื่อให้ดูเหมือนที่อยู่ของเหยื่อที่มีอักขระคล้ายกันในตอนเริ่มต้นและตอนท้าย) ในขณะที่บางตัวเป็นของวงแหวนฟิชชิ่งที่จัดระเบียบ (เช่นผู้ให้บริการ DaaS) อุตสาหกรรมฟิชชิ่งที่กําหนดเป้าหมายกระเป๋าเงินคริปโตดูเหมือนจะพัฒนาเป็นตลาดใต้ดินเต็มรูปแบบ ดูภาพด้านล่าง
คุณสามารถป้องกันตัวเองจากการโจมตีการถลอกข้อมูลที่มีการอนุญาตและอนุญาต2 ได้อย่างไร
หนึ่งวิธีคือใช้ปลั๊กอินความปลอดภัยของเบราว์เซอร์เช่น Scamsniffer (ฉันใช้ของ Google Chrome) เพื่อบล็อกลิงก์การโจมตีช่องโหว่ นอกจากนี้ คุณยังสามารถตรวจสอบและเพิกถอนสิทธิ์หรือลายเซ็นต์ที่ไม่จำเป็นหรือน่าสงสัยโดยใช้เครื่องมือเช่น Revoke Cash ดูตัวอย่างในภาพด้านล่าง
คุณยังสามารถใช้เครื่องมือการจัดการการอนุญาตที่เชี่ยวชาญจาก Scamsniffer ที่ออกแบบมาเพื่อ Uniswap Permit2 เพื่อตรวจสอบอนุญาตของคุณเป็นประจำ หากมีอะไรที่ดูไม่ปกติ สำคัญที่จะเพิกถอนการอนุญาตทันที ดูภาพด้านล่าง
อย่างที่กล่าวไว้ ประเด็นที่สำคัญที่สุดคือการรักษาการตระหนักด้านความปลอดภัยอย่างมั่นคง หลีกเลี่ยงการเข้าชมเว็บไซต์หรือลิงก์ที่ไม่รู้จัก และเมื่อมีปฏิสัมพันธ์กับ dApps ตรวจสอบสิ่งที่คุณยินยอมอีกครั้ง
(Image credit: bocaibocai@wzxznl)
เคล็ดลับ: คุณจะรู้ได้อย่างไรว่าลายเซ็นต์ของกระเป๋าเงินเป็นสำหรับ Permit หรือ Permit2?
เมื่อลงนาม คุณจะเห็นรายละเอียดบางอย่างในหน้าต่างยืนยันการให้สิทธิ์ คุณสามารถระบุประเภทของลายเซ็นโดยการดูที่ฟิลด์หลักเช่นที่แสดงในภาพด้านล่าง:
เจ้าของ (ที่อยู่ที่ให้อนุญาต); ผู้ใช้ (ที่อยู่ที่ได้รับอนุญาต); มูลค่า (จำนวนที่ได้รับอนุญาต); Nonce (หมายเลขสุ่มที่ไม่ซ้ำกัน); วันหมดอายุ (วันที่หมดอายุ)
3.การโจมตีฉ้อโกงการเรียกร้อง
ประเภทนี้ของการทำแฟร์ชิงเป็นที่พบได้มาก ตัวอย่างเช่น หากคุณเรียกดู X (เดิมเป็น Twitter) บ่อยคุณจะมักพบข้อความที่มอบฟรีเอร์ดรอปบางครั้งคุณอาจพบ NFTs สุ่มที่ถูกโยงลงในกระเป๋าเงินของคุณโดยลึกลับ (ซึ่งอาจรวมถึงลิงก์เว็บไซต์)
หากคุณคลิกที่เว็บไซต์ขโมยข้อมูลและดำเนินการต่อเรียกร้องในกรณีนี้ สินทรัพย์ในกระเป๋าเงินของคุณอาจถูกโจมตีและถูกขโมยได้โดยทันทีโดยแฮกเกอร์
คุณสามารถป้องกันตัวเองได้อย่างไร?
1. อย่าตกใจกับข้อเสนอที่ดูดีเกินไป (หลีกเลี่ยงการคลิกลิงก์ที่น่าสงสัยหรือยอมรับ NFT ฟรีและ airdrops ที่ไม่รู้จัก) 2. เช็คเว็บไซต์ที่คุณใช้เสมอเพื่อให้แน่ใจว่าเป็นเว็บไซต์อย่างเป็นทางการก่อนที่จะดำเนินการเรียกร้องใด ๆ
4. การลวดลายโจมตีการโอนที่คล้ายกัน
เมื่อวันที่ 3 พฤษภาคมของปีนี้ วาฬคริปโตตกเป็นเหยื่อของการโจมตีแบบฟิชชิงโดยใช้ที่อยู่ที่คล้ายกัน โดยสูญเสีย 1,155 WBTC (มูลค่าประมาณ 70 ล้านดอลลาร์ในขณะนั้น)
SlowMist ได้วิเคราะห์เหตุการณ์นี้อย่างละเอียดแล้ว ดังนั้นฉันจะไม่ทำซ้ำรายละเอียดที่นี่ หากคุณอยากรู้สามารถเยี่ยมชมเคสได้ที่นี่:
https://mp.weixin.qq.com/s/mQch5pEg1fmJsMbiOClwOg
ประเภทของการลวงอย่างง่ายคือ
ต่อไป ฮากเกอร์จะสร้างจำนวนมากของที่อยู่การล่อลวงที่คล้ายกับที่อยู่เป้าหมายของเหยื่อโดยใกล้เคียง โดยทั่วไปจะตรงกับตัวอักษร 4 ตัวแรกและตัวอักษร 6 ตัวสุดท้าย
ต่อมาพวกเขาจะใช้โปรแกรมแบบแบ็ตเพื่อตรวจสอบกิจกรรมบนเชื่อมโยงของเหยื่อ แล้วทำการโจมตีด้วยการส่งที่อยู่ที่คล้ายกันก่อนที่ธุรกรรมที่ตั้งใจ
ในที่สุดเมื่อเหยื่อทําการโอนเงินแฮ็กเกอร์จะใช้ที่อยู่ที่ดูคล้ายกันเพื่อส่งธุรกรรมทันทีหลังจากนั้น ด้วยวิธีนี้ ที่อยู่ฟิชชิ่งจะปรากฏในประวัติการทําธุรกรรมของผู้ใช้ ดูภาพด้านล่าง
เนื่องจากผู้ใช้หลายคนมีนิสัยในการคัดลอกรายละเอียดธุรกรรมจากประวัติกระเป๋าเงินของพวกเขาพวกเขาอาจเห็นธุรกรรมฟิชชิ่งที่ติดตามตัวเองอย่างใกล้ชิดและไม่ทราบว่าพวกเขาคัดลอกที่อยู่ผิด หากไม่มีการตรวจสอบอย่างรอบคอบพวกเขาอาจส่ง 1,155 WBTC ไปยังที่อยู่ฟิชชิ่งโดยไม่ได้ตั้งใจ
คุณสามารถป้องกันได้อย่างไร?
1. บันทึกที่อยู่ที่ใช้บ่อยในสมุดที่อยู่ของกระเป๋าเงินของคุณ (หรือเพิ่มในรายชื่อที่ได้รับอนุญาต) เพื่อให้คราวหน้าคุณสามารถเลือกที่อยู่ที่ถูกต้องจากรายการได้ 2. ตรวจสอบที่อยู่ทั้งหมดก่อนที่จะโอนเงิน - อย่าพึ่งพิจารณาเพียงไม่กี่ตัวอักษรแรกหรือสุดท้าย 3. เมื่อโอนเงินจำนวนมาก ควรส่งธุรกรรมทดสอบขนาดเล็กก่อนเพื่อให้แน่ใจว่าทุกอย่างถูกต้อง
5. การล่อผู้ใช้ยินยอมเซ็นชื่อ
การอนุญาต, การอนุญาต Uniswap2 และวิธีการเรียกร้องที่กล่าวถึงก่อนหน้านี้ทั้งหมดอยู่ภายใต้หลักการของการล่องลอยขออนุญาต ในความเป็นจริงมีหลายวิธีที่ผู้แฮ็กเกอร์สามารถใช้ประโยชน์จากการอนุญาตกระเป๋าสตางค์ เช่น Approve (ให้สิทธิให้แพลตฟอร์มเช่น Uniswap ใช้ USDT ของคุณ) และ Increase Allowance (เพิ่มวงเงินสูงสุดที่สามารถใช้ได้)
กระบวนการฟิชชิ่งมักเกิดขึ้นจากผู้โจมตีที่กำหนดลิงก์หรือเว็บไซต์ปลอมหรือแม้แต่แฮกเว็บไซต์โปรเจกต์อย่างเป็นทางการแล้วฝังโค้ดอันตรายซึ่งจะหลอกผู้ใช้งานคลิกและอนุญาตการใช้งานกระเป๋าเงินโดยไม่รู้ตัว
วิธีการฟิชชิ่งห้าวิธีที่ถูกพูดถึงเป็นเพียงบางส่วนของวิธีที่พบบ่อยขึ้น ฮากเกอร์กำลังคิดค้นวิธีการโจมตีใหม่และสร้างสรรค์อยู่เสมอ ดังที่พูดไว้ว่า "ฮากเกอร์จะยังคงอยู่ข้างหน้าเสมอ" นี่หมายความว่าความปลอดภัยของกระเป๋าสตางค์เป็นความท้าทายที่ต้องระวังให้สอดคล้องตลอดเวลา
ข้อความประกาศล้มเหลว:
บทความนี้ถูกพิมพ์ใหม่จาก [Gate话李话外] พร้อมชื่อเรื่อง 'กระเป๋าเงินของคุณปลอดภัยหรือไม่? มัลแวร์ตกปลาด้วยการใช้ Permit, Uniswap Permit2 และลายเซ็นเพื่อการเข้าถึงข้อมูลส่วนตัว' ลิขสิทธิ์ทั้งหมดเป็นของผู้เขียนต้นฉบับ [话李话外] หากมีการโต้แย้งในการเผยแพร่นี้ โปรดติดต่อ Gate Learnทีมงานจะดูแลและจัดการกับมันโดยเร็ว
คำประกาศความรับผิดชอบ: มุมมองและความคิดเห็นที่แสดงในบทความนี้เป็นเพียงผู้เขียนเท่านั้นและไม่เป็นที่ปรึกษาการลงทุนใด ๆ
การแปลบทความเป็นภาษาอื่น ๆ นั้น ทำโดยทีม Gate Learn นอกเหนือจากที่กล่าวถึงGate.ioห้ามคัดลอก แจกจ่าย หรือลอกเลียนแบบบทความที่แปลแล้ว
บทความที่เกี่ยวข้อง
การวิเคราะห์ปัจจัยพื้นฐานคืออะไร?
Magic Eden คืออะไร: ตลาด NFT ของ Solana