近期,我們發現多起關于eth_sign簽名的釣魚事件。釣魚網站1:https://moonbirds-exclusive
;//RLPencodeconstrawTransaction=rlp
;//RLPencodeconstsignedRawTransaction=rlp.encode();而如上所述,eth_sign方法可以對任意哈希進行簽名,那么自然可以對我們簽名后的bytes32數據進行簽名。因此攻擊者只需要在我們連接DApp后獲取我們的地址對我們賬戶進行分析查詢,即可構造出任意數據讓我們通過eth_sign進行簽名。這種釣魚方式對用戶會有很強的迷惑性,以往我們碰到的授權類釣魚在MetaMask會給我直觀的展示出攻擊者所要我們簽名的數據。如下所示,MetaMask展示出了此釣魚網站誘導用戶將NFT授權給惡意地址。
慢霧:NimbusPlatform遭遇閃電貸攻擊,損失278枚BNB:據慢霧安全團隊情報,2022 年 12 月 14 日, BSC 鏈上的NimbusPlatform項目遭到攻擊,攻擊者獲利約278枚BNB。慢霧安全團隊以簡訊的形式分享如下:
1. 攻擊者首先在 8 天前執行了一筆交易(0x7d2d8d),把 20 枚 BNB 換成 NBU_WBNB 再換成 GNIMB 代幣,然后把 GNIMB 代幣轉入 Staking 合約作質押,為攻擊作準備;
2. 在 8 天后正式發起攻擊交易(0x42f56d3),首先通過閃電貸借出 75477 枚 BNB 并換成 NBU_WBNB,然后再用這些 NBU_WBNB 代幣將池子里的絕大部分 NIMB 代幣兌換出;
3. 接著調用 Staking 合約的 getReward 函數進行獎勵的提取,獎勵的計算是和 rate 的值正相關的,而 rate 的值則取決于池子中 NIMB 代幣和 GNIMB 代幣的價格,由于 NIMB 代幣的價格是根據上一步閃電貸中被操控的池子中的代幣數量來計算的,導致其由于閃電貸兌換出大量的代幣而變高,最后計算的獎勵也會更多;
4. 攻擊者最后將最后獲得的 GNIMB 代幣和擁有的 NIMB 代幣換成 NBU_WBNB 代幣后再換成 BNB,歸還閃電貸獲利;
此次攻擊的主要原因在于計算獎勵的時候僅取決于池子中的代幣數量導致被閃電貸操控,從而獲取比預期更多的獎勵。慢霧安全團隊建議在進行代幣獎計算時應確保價格來源的安全性。[2022/12/14 21:44:29]
慢霧:Transit Swap事件中轉移到Tornado Cash的資金超過600萬美元:金色財經報道,慢霧 MistTrack 對 Transit Swap 事件資金轉移進行跟進分析,以下將分析結論同步社區:
Hacker#1 攻擊黑客(盜取最大資金黑客),獲利金額:約 2410 萬美元
1: 0x75F2...FFD46
2: 0xfa71...90fb
已歸還超 1890 萬美元的被盜資金;12,500 BNB 存款到 Tornado Cash;約 1400 萬 MOONEY 代幣和 67,709 DAI 代幣轉入 ShibaSwap: BONE Token 合約地址。
Hacker#2 套利機器人-1,獲利金額:1,166,882.07 BUSD
0xcfb0...7ac7(BSC)
保留在獲利地址中,未進一步轉移。
Hacker#3 攻擊模仿者-1,獲利金額:356,690.71 USDT
0x87be...3c4c(BSC)
Hacker#4 套利機器人-2,獲利金額:246,757.31 USDT
0x0000...4922(BSC)
已全部追回。
Hacker#5 套利機器人-3,獲利金額:584,801.17 USDC
0xcc3d...ae7d(BSC)
USDC 全部轉移至新地址 0x8960...8525,后無進一步轉移。
Hacker#6 攻擊模仿者-2,獲利金額:2,348,967.9 USDT
0x6e60...c5ea(BSC)
Hacker#7 套利機器人-4,獲利金額:5,974.52 UNI、1,667.36 MANA
0x6C6B...364e(ETH)
通過 Uniswap 兌換為 30.17 ETH,其中 0.71 支付給 Flashbots,剩余 ETH 未進一步轉移。[2022/10/6 18:41:10]
而當攻擊者使用eth_sign方法讓用戶簽名時,如下所示,MetaMask展示的只是一串bytes32的哈希。
慢霧:2021年上半年共發生78起區塊鏈安全事件,總損失金額超17億美元:據慢霧區塊鏈被黑事件檔案庫統計,2021年上半年,整個區塊鏈生態共發生78起較為著名的安全事件,涉及DeFi安全50起、錢包安全2起,公鏈安全3起,交易所安全6起,其他安全相關17起,其中以太坊上27起,幣安智能鏈(BSC)上22起,Polygon上2起,火幣生態鏈(HECO)、波卡生態、EOS上各1起,總損失金額超17億美元(按事件發生時幣價計算)。
經慢霧AML對涉事資金追蹤分析發現,約60%的資金被攻擊者轉入混幣平臺,約30%的資金被轉入交易所。慢霧安全團隊在此建議,用戶應增強安全意識,提高警惕,選擇經過安全審計的可靠項目參與;項目方應不斷提升自身的安全系數,通過專業安全審計機構的審計后才上線,避免損失;各交易所應加大反洗錢監管力度,進一步打擊利用加密資產交易的洗錢等違規行為。[2021/7/1 0:20:42]
總結
本文主要介紹eth_sign簽名方式的釣魚手法。雖然在簽名時MetaMask會有風險提示,但若結合釣魚話術干擾,沒有技術背景的普通用戶很難防范此類釣魚。建議用戶在遇到此類釣魚時提高警惕,認準域名,仔細檢查簽名數據,必要時可以安裝安全插件,如:RevokeCash、ScamSniffer等,同時注意插件提醒。原地址
10月7日,據官方推特,Gitcoin將推出新產品GrantsProtocol,它是一個融資基礎設施,允許任何社區啟動自己的、包含社區決策的贈款計劃,目前正處于封閉測試階段.
1900/1/1 0:00:00我和來自Socket的VaibhavChellani想要提議一個用來評估不同橋接架構安全概況的風險架構.
1900/1/1 0:00:00ETHGlobal是全球最大的以太坊社區之一,在世界各地舉辦黑客馬拉松比賽,通過以太坊基金會以及其他贊助商的支持讓具有創新性、顛覆性的項目能夠快速創建.
1900/1/1 0:00:00熊市漫漫,熱點分散。在缺乏明確投資機會的當下,本著“寧可錯付gas,不能放過大毛”的原則,我將視線與精力投向了優質項目交互,說不定還能提前發現下一價值標的,是吧.
1900/1/1 0:00:00「每周編輯精選」是Odaily星球日報的一檔“功能性”欄目。星球日報在每周覆蓋大量即時資訊的基礎上,也會發布許多優質的深度分析內容,但它們也許會藏在信息流和熱點新聞中,與你擦肩而過.
1900/1/1 0:00:00一、背景 CryptoPunks毫無疑問是市場上最知名的NFT項目之一,作為最早一批推出的NFT項目,一直受加密圈大佬們的關注.
1900/1/1 0:00:00