比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > 中幣 > Info

慢霧:警惕 Web3 錢包 WalletConnect 釣魚風險_LET

Author:

Time:1900/1/1 0:00:00

WalletConnect釣魚風險介紹

2023年1月30日,慢霧安全團隊發現Web3錢包上關于WalletConnect使用不當可能存在被釣魚的安全風險問題。這個問題存在于使用移動端錢包App內置的DAppBrowser+?WalletConnect的場景下。

我們發現,部分Web3錢包在提供WalletConnect支持的時候,沒有對WalletConnect的交易彈窗要在哪個區域彈出進行限制,因此會在錢包的任意界面彈出簽名請求。

當用戶離開DAppBrowser界面切換到錢包其他界面如示例中的Wallet、Discover等界面,由于錢包為了不影響用戶體驗和避免重復授權,此時WalletConnect的連接是沒有斷開的,但是此時用戶卻可能因為惡意DApp突然發起的簽名請求彈窗而誤操作導致被釣魚轉移走資產。

慢霧:Transit Swap事件中轉移到Tornado Cash的資金超過600萬美元:金色財經報道,慢霧 MistTrack 對 Transit Swap 事件資金轉移進行跟進分析,以下將分析結論同步社區:

Hacker#1 攻擊黑客(盜取最大資金黑客),獲利金額:約 2410 萬美元

1: 0x75F2...FFD46

2: 0xfa71...90fb

已歸還超 1890 萬美元的被盜資金;12,500 BNB 存款到 Tornado Cash;約 1400 萬 MOONEY 代幣和 67,709 DAI 代幣轉入 ShibaSwap: BONE Token 合約地址。

Hacker#2 套利機器人-1,獲利金額:1,166,882.07 BUSD

0xcfb0...7ac7(BSC)

保留在獲利地址中,未進一步轉移。

Hacker#3 攻擊模仿者-1,獲利金額:356,690.71 USDT

0x87be...3c4c(BSC)

Hacker#4 套利機器人-2,獲利金額:246,757.31 USDT

0x0000...4922(BSC)

已全部追回。

Hacker#5 套利機器人-3,獲利金額:584,801.17 USDC

0xcc3d...ae7d(BSC)

USDC 全部轉移至新地址 0x8960...8525,后無進一步轉移。

Hacker#6 攻擊模仿者-2,獲利金額:2,348,967.9 USDT

0x6e60...c5ea(BSC)

Hacker#7 套利機器人-4,獲利金額:5,974.52 UNI、1,667.36 MANA

0x6C6B...364e(ETH)

通過 Uniswap 兌換為 30.17 ETH,其中 0.71 支付給 Flashbots,剩余 ETH 未進一步轉移。[2022/10/6 18:41:10]

慢霧:Ribbon Finance遭遇DNS攻擊,某用戶損失16.5 WBTC:6月24日消息,Ribbon Finance 發推表示遭遇 DNS 攻擊,慢霧MistTrack通過鏈上分析發現攻擊者與今天早前的Convex Finance 攻擊者是同一個,地址 0xb73261481064f717a63e6f295d917c28385af9aa 是攻擊者共用的用來調用惡意合約的錢包地址。同時分析發現,Ribbon Finance某用戶在攻擊中損失了 16.5 WBTC,具體交易為:https://etherscan.io/tx/0xd09057f1fdb3fa97d0ed7e8ebd8fd31dd9a0b5b61a29a22b46985d6217510850。[2022/6/24 1:29:35]

動態演示GIF如下圖:

慢霧:BSC鏈上項目BXH遭受攻擊分析:10月30日消息,據慢霧區情報,2021年10月30日,幣安智能鏈上(BSC)去中心化交易協議BXH項目遭受攻擊,被盜約1.3億美金。經慢霧安全團隊分析,黑客于27日13時(UTC)部署了攻擊合約0x8877,接著在29日08時(UTC)BXH項目管理錢包地址0x5614通過grantRole賦予攻擊合約0x8877管理權限。30日03時(UTC)攻擊者通過攻擊合約0x8877的權限從BXH策略池資金庫中將其管理的資產轉出。30日04時(UTC)0x5614暫停了資金庫。因此BXH本次被盜是由于其管理權限被惡意的修改,導致攻擊者利用此權限轉移了項目資產。[2021/10/30 6:22:02]

攻擊者利用惡意DApp釣魚網站引導用戶使用WalletConnect與釣魚頁面連接后,然后定時不間斷發送惡意的簽名請求。用戶識別到eth_sign可能不安全拒絕簽名后,由于WalletConnect采用wss的方式進行連接,如果用戶沒有及時關閉連接,釣魚頁面會不斷的發起構造惡意的eth_sign簽名彈窗請求,用戶在使用錢包的時候有很大的可能會錯誤的點擊簽署按鈕,導致用戶的資產被盜。

動態 | 慢霧:巨鯨被盜2.6億元資產,或因Blockchain.info安全體系存在缺陷:針對加密巨鯨賬戶(zhoujianfu)被盜價值2.6億元的BTC和BCH,慢霧安全團隊目前得到的推測如下:該大戶私鑰自己可以控制,他在Reddit上發了BTC簽名,已驗證是對的,且猜測是使用了一款很知名的去中心化錢包服務,而且這種去中心化錢包居然還需要SIM卡認證,也就是說有用戶系統,可以開啟基于SIM卡的短信雙因素認證,猜測可能是Blockchain.info,因為它吻合這些特征,且歷史上慢霧安全團隊就收到幾起Blockchain.info用戶被盜幣的威脅情報,Blockchain.info的安全體系做得并不足夠好。目前慢霧正在積極跟進更多細節,包括與該大戶直接聯系以及盡力提供可能需求的幫助。[2020/2/22]

這個安全問題的核心是用戶切換DAppBrowser界面到其他界面后,是否應繼續自動彈窗響應來自DAppBrowser界面的請求,尤其是敏感操作請求。因為跨界面后盲目彈窗響應很容易導致用戶的誤操作。

聲音 | 慢霧:99%以上的勒索病使用BTC進行交易:據慢霧消息,勒索病已經成為全球最大的安全威脅之一,99%以上的勒索病使用BTC進行交易,到目前為止BTC的價格已經漲到了一萬多美元,最近一兩年針對企業的勒索病攻擊也越來越多,根據Malwarebytes統計的數據,全球TO B的勒索病攻擊,從2018年6月以來已經增加了363%,同時BTC的價格也直線上漲,黑客現在看準了數字貨幣市場,主要通過以下幾個方式對數字貨幣進行攻擊:

1.通過勒索病進行攻擊,直接勒索BTC。

2.通過惡意程序,盜取受害者數字貨幣錢包。

3.通過數字貨幣網站漏洞進行攻擊,盜取數字貨幣。[2019/8/25]

這里面涉及到一個安全原則:WalletConnect連接后,錢包在檢測到用戶切換DAppBrowser界面到其他界面后,應該對來自DAppBrowser的彈窗請求不進行處理。

另外需要注意的是,雖然移動端錢包App+PC瀏覽器的WalletConnect連接場景也存在同樣的問題,但是用戶在這種場景下或許不那么容易誤操作。

WalletConnect連接后界面切換的處理情況

慢霧安全團隊抽取市面熱門搜索和下載量比較大的20個CryptoWalletApp進行測試:

根據上表測試結果,我們發現:

1.部分熱門錢包App如MetaMask、EnjinWallet、TrustWallet、SafePalWallet及iTokenWallet等,在WalletConnect連接后切換到其他界面時,會自動響應DApp的請求,并彈出簽名窗口。

2.大部分測試的錢包App在切換界面后,對DApp的請求不會做出響應,也不會彈出提示窗口。

3.少數錢包App在測試環境下無法使用WalletConnect與DApp連接,如CoinbaseWallet和MEWCryptoWallet等。錢包的DApp中不是很適配?WalletConnect接口。

4.部分錢包App如ExodusWallet和EdgeWallet在連接測試環境下未找到相關的DApp進行測試,無法判斷其切換界面后的響應情況。

WalletConnect釣魚風險的發現和后續

慢霧安全團隊最初在TrustWallet上發現這個問題,并通過Bugcrowd漏洞提交平臺向他們提交了這個問題,我們獲得了TrustWallet的感謝,他們表示將在下一個版本修復這個安全風險。

特別的是,如果錢包對eth_sign這種低級簽名函數沒有任何風險提醒,eth_sign這是一種非常危險的低級簽名,大大加劇了WalletConnect這個問題釣魚的風險。

不過如果只是禁用了eth_sign也不是完全沒有風險,我們還是呼吁更多的錢包開始禁用它。以用戶數量最多的MetaMask錢包為例,其插件端已經在2023年2月10號發布的V10.25.0版本默認禁用eth_sign,而移動端也在2023年3月1號發布的版本號為6.11開始默認不支持eth_sign,用戶需要到設置里手動打開才能使用它。

不過值得一提的是,MetaMask6.11版本之后添加了對DApp進行URI請求的校驗,但是這個校驗在DApp使用WalletConnect進行交互的時候,同樣會進行彈窗警告,不過這個警告存在被無限制彈窗導致DoS的風險。

總結與建議

對個人用戶來說,風險主要在“域名、簽名”兩個核心點,WalletConnect這種釣魚方式早已被很多惡意網站用于釣魚攻擊,使用時務必保持高度警惕。

對錢包項目方來說,首先是需要進行全面的安全審計,重點提升用戶交互安全部分,加強所見即所簽機制,減少用戶被釣魚風險,如:

釣魚網站提醒:通過生態或者社區的力量匯聚各類釣魚網站,并在用戶與這些釣魚網站交互的時候對風險進行醒目地提醒和告警。

簽名的識別和提醒:識別并提醒eth_sign、personal_sign、signTypedData這類簽名的請求,并重點提醒eth_sign盲簽的風險。

所見即所簽:錢包中可以對合約調用進行詳盡解析機制,避免Approve釣魚,讓用戶知道DApp交易構造時的詳細內容。

預執行機制:通過交易預執行機制可以幫助用戶了解到交易廣播執行后的效果,有助于用戶對交易執行進行預判。

尾號相同的詐騙提醒:在展示地址的時候醒目的提醒用戶檢查完整的目標地址,避免尾號相同的詐騙問題。設置白名單地址機制,用戶可以將常用的地址加入到白名單中,避免類似尾號相同的攻擊。

在交易顯示上,可以增加對小額或者無價值代幣交易的隱藏功能,避免尾號釣魚。

AML合規提醒:在轉賬的時候通過AML機制提醒用戶轉賬的目標地址是否會觸發AML的規則。

請持續關注慢霧安全團隊,更多的釣魚安全風險分析與告警正在路上。

慢霧科技作為一家行業領先的區塊鏈安全公司,在安全審計方面深耕多年,安全審計不僅讓用戶安心,更是降低攻擊發生的手段之一。其次,各家機構由于數據孤島,難以關聯識別出跨機構的洗錢團伙,給反洗錢工作帶來巨大挑戰。而作為項目方,及時拉黑阻斷惡意地址的資金轉移也是重中之重。MistTrack反洗錢追蹤系統積累了2億多個地址標簽,能夠識別全球主流交易平臺的各類錢包地址,包含1千多個地址實體、超10萬個威脅情報數據和超9千萬個風險地址,如有需要可聯系我們接入API。最后希望各方共同努力,一起讓區塊鏈生態更美好。

Tags:WALLLEALLLETtrustwallet下載coinbasewallet錢包下載trustwalletcryptoBULLETH

中幣
跨鏈新趨勢 LayerZero如何成為全鏈時代“第0層”?_LAYER

原文:《從跨鏈到全鏈,LayerZero正在成為未來全鏈生態系統的基礎網絡結構》 作者:DanielLi 多鏈協同發展已經成為區塊鏈未來的必然趨勢.

1900/1/1 0:00:00
Bankless:加密貨幣市場的5個看漲信號_ANK

原文:Bankless 編譯:DeFi之道 市場正在繁榮,空頭熊市一片狼藉。比特幣和以太坊都已突破熊市交易區間,山寨幣看起來也已準備好搖滾起舞!盡管從各個方向傳來恐慌傳聞,比如說末日預言家預言大.

1900/1/1 0:00:00
LayerZero靠什么估值30億美元?一文淺析其獨特技術原理_ZER

撰寫:Salazar 本文將介紹LayerZero的技術和特點,以及它是如何實現區塊鏈之間的通信和跨鏈交易的.

1900/1/1 0:00:00
BNB信標鏈擬于4月21日進行Barral硬分叉升級,為跨鏈引入幾個安全增強功能_Qredo

4月17日報,據官方博客,BNB信標鏈預計將在區塊高度310,182,000處進行預定的Barral硬分叉升級。根據當前的區塊生成速度,預計硬分叉將于北京時間4月21日15:00發生.

1900/1/1 0:00:00
全覽MEV市場版圖:基礎設施、解決方案、應用_THE

原文作者:Ali 隨著區塊鏈技術的不斷發展,MEV已成為一個備受關注的話題。MEV市場是一個復雜且不斷發展的領域,因此,本文介紹的分類可能會隨著時間的推移而演變.

1900/1/1 0:00:00
ZK硬件加速:過去、現在和未來_ARK

原文標題:ZKHardwareAcceleration:ThePast,thePresentandtheFuture原文作者:LukePearsonandtheCysicteam原文來源:hac.

1900/1/1 0:00:00
ads