前有周杰倫無聊猿NFT被釣魚攻擊,損失超300萬人民幣。
后有全球最大的NFT交易平臺之一OpenSea大批用戶遭遇釣魚攻擊,多人資產受損。
可見Web3世界黑客依然猖狂作祟,為了打擊黑客囂張的氣焰,我們將為大家持續輸出干貨系列文章,教導大家NFT防騙技巧。
本文研究了兩類典型的NFT的釣魚攻擊,一類是盜取用戶簽名的釣魚攻擊,如:Opensea釣魚郵件事件;一類是高仿域名和內容的NFT釣魚網站。跟我們一起看看
「盜取用戶簽名的釣魚」
2022年2月21日,全球最大的加密數字藏品市場Opensea遭遇黑客攻擊。根據Opensea官方回復,有部分用戶由于簽署了給黑客的授權而導致用戶NFT被盜。
我們將本次事件再次復現一下,在本次事件攻擊事件中,攻擊者信息如下:
攻擊者地址:
0x3e0defb880cd8e163bad68abe66437f99a7a8a74
攻擊者合約:
0xa2c0946ad444dccf990394c5cbe019a858a945bd
Reddit聯合創始人在2014年以1.5萬美元購買5萬枚ETH:金色財經報道,社交媒體網站Reddit的聯合創始人Alexis Ohanian在2014年以太坊預售期間,他只花了15,000美元購買了50,000個以太坊,每個幣的成本只有30美分,以當前價格計算,這筆投資價值高達8250萬美元,增長了549,589%。
Ohanian于2020年利用他早期投資ETH和Coinbase的收益創立了風投公司776,該公司已投資了29家與加密貨幣相關的初創公司,并在2022年2月籌 5億美元用于資助類似的投資。
Ohanian認為熊市為投資者提供了以折扣價購買資產的機會,該公司認為最近的市場低迷是對加密行業進行長期押注的最佳時機。
該公司目前擁有超過7.5億美元的管理資產。(Cointelegraph)[2023/2/22 12:21:49]
攻擊者獲得相關NFT的交易具體如下圖所示:
針對其中一筆交易進行分析,
0xee038a31ab6e3f06bd747ab9dd0c3abafa48a51e969bcb666ecd3f22ff989589,具體內容如下:
周鴻祎談 ChatGPT:搭不上這班車的企業很可能會被淘汰:2月9日消息,360 創始人周鴻祎在與搜狐創始人張朝陽對話時,首次談到 ChatGPT。他直言,如果企業搭不上 ChatGPT 這班車,很可能會被淘汰。在談及 360 布局 ChatGPT 進展,周鴻祎稱,不能多說,只能說 360 不會放棄對該技術的跟蹤。[2023/2/9 11:57:20]
由上圖可知,攻擊者是獲得了用戶的授權,之后直接調用transferfrom方法將用戶的NFT盜走。
根據Opensea的CEODevinFinzer發布的twitter,攻擊者是通過釣魚的方式獲取到用戶在Opensea上的掛單授權。
通過分析攻擊交易,黑客攻擊主要分為以下三個步驟。
1.構造正確的待簽名交易;
2.誘騙用戶點擊授權;
3.獲取用戶簽名后構造攻擊合約盜取用戶NFT。
步驟一?
首先對攻擊者構建的交易簽名內容進行分析,跟蹤函數調用棧發現具體的簽名信息如下:
游戲內容創作者平臺Nexus完成1000萬美元融資:金色財經報道,游戲內容創作者平臺Nexus宣布完成1000萬美元新一輪融資,Web3風險投資公司Griffin Gaming Partners領投,Sony Innovation Fund、Valhalla Ventures以及包括Pace Capital和S3 Ventures 在內的現有投資者參投。Nexus 游戲內置軟件使開發人員能夠通過 API 驅構建完全原生的內容創作者支持程序,本輪融資領投方Griffin Gaming Partners專注于全球游戲和Web3市場,目前旗下資管管理規模超過10億美元。[2023/2/1 11:40:18]
由上圖可知,簽名的計算方式為:keccak256("\x19EthereumSignedMessage:\n32",hashOrder(order));這種簽名方式會在order前再加一個消息前綴:’\x19EthereumSignedMessage:\n32’,以確保改簽名不能在以太坊之外使用。之后將加上消息前綴的完整數據再計算keccak256值,最后用私鑰進行簽名。
但是該方式僅能聲明所有權,無法防止重放攻擊。如:用戶A簽署了消息發送給合約M,另一用戶B可以將這個簽名重放給合約N。下圖為訂單簽名中具體涉及到的信息。
迪士尼在其音樂商城推出Web3體驗:金色財經報道,迪士尼宣布與虛擬電子商務平臺Obsess合作,在其音樂商城推出 Web3 體驗。用戶可在商城中進行全景虛擬體驗,并通過點擊虛擬空間中的各種黑膠唱片和 CD 來探索流行的迪士尼電影和電視節目中的配樂和歌曲。
此前消息,7月14日,迪士尼今年推出專注于 AR、NFT 和 AI 領域的加速器計劃,旨在加速全球創新公司的發展。入選2022年迪士尼加速器計劃的公司包括:Polygon、Web3社交應用 Flickplay、Web3 創作者平臺 Lockerverse、體驗式電商平臺 Obsess、 AR 公司 Red 6、人工智能驅動的虛擬交互式應用 Inworld。[2022/10/21 16:34:49]
其中涉及到的簽名主要參數為:
Side:買入或賣出
paymentToken:用于支付訂單的代幣類型
basePrice:訂單中NFT的價格
maker:訂單發出地址
taker:接收訂單的目標地址
上述簽名信息中包含訂單金額、目標地址等敏感信息,但是經過keccak256計算Hash后的值只是一串二進制字符串,用戶無法識別。
攻擊者根據上述Order信息構造簽名,可以隨意將上述簽名中涉及到的basePrice參數金額設置為0,接收地址設置為自己等。
步驟二?
攻擊者構造好待簽名數據后就可以誘騙用戶點擊授權。由于簽名的元數據是經過Keccak256計算后得到的包含0x的66個十六進制字符,用戶無法得知其代表的具體含義,因此可能直接點擊簽名,使得攻擊者獲得了用戶的掛單授權。
中國海油“元宇宙能源創新工作室” 正式揭牌:金色財經報道,中國第三大石油公司中海油“元宇宙能源創新工作室”已在中海油研究總院有限責任公司正式揭牌。中海油表示:“元宇宙能源創新工作室”將實現元宇宙核心關鍵技術與海洋油氣能源應用場景結合,解決業務中對可視化、沉浸式、互動性的需求,助力公司數字化轉型和智能化發展。[2022/8/5 12:03:32]
上圖中的簽名對于用戶來說類似盲簽,即所簽的消息內容對簽名人來說是盲的,簽名人不能看見消息的具體內容。
步驟三?
在步驟二中攻擊者獲取到ECDSA簽名消息中的R、S、V值,即可利用其構造攻擊合約盜取用戶NFT。下圖為OpenSea:WyvernExchangev1合約中驗證order的函數validateOrder(),具體源碼如下:
由源碼可知,訂單驗證首先會校驗order的有效性和是否包含有效參數,接著校驗訂單是否曾經通過鏈上校驗。其中approvedOrders是一個mapping變量,該變量保存了所有已經通過鏈上批準驗證的訂單。如果訂單曾經校驗過則直接返回true,無需再使用ecrecover()校驗ECDSA簽名,以便智能合約可以直接下訂單。
以下是其中一筆NFT盜取交易,可以發現攻擊者利用用戶簽名通過調用攻擊者合約:
0xa2c0946ad444dccf990394c5cbe019a858a945bd,以0ether的價格盜取了用戶的NFT。
「高仿域名的NFT釣魚」
這一類的釣魚網站主要是對NFT項目官網的域名和內容等進行幾乎一致的模仿,一般會先連接用戶錢包查詢用戶余額之后,再進行其他誘騙操作。這種釣魚網站是最常見的,主要分為以下幾種類型:
1僅更換原官網的頂級域名
案例一
官網:https://invisiblefriends.io/
釣魚網站:https://invisiblefriends.ch/
查看釣魚網站的網頁源碼,可以發現如下攻擊地址:
查看
0xEcAcDb9FA4Ed4ACD8977821737da7bCe688be1e0的相關交易:
可以發現上述兩筆交易是攻擊者獲取到的收益。
案例二
官網:https://cyberbrokers.io/
釣魚網站:https://cyberbrokers.live/
查看釣魚網站源碼,發現如下攻擊地址:
綜上,該類事件主要是因為用戶在簽署交易簽名時,由于簽署的交易內容是加密后的字符串,導致用戶無法直觀的看到簽署交易的具體內容,習慣性的點擊確認,從而造成攻擊者獲取到用戶的賣單權授權,盜走用戶的NFT。
2主域名添加單詞或符號進行混淆
有的釣魚網站會在主域名添加單詞或符號進行混淆,比如othersidemeta-airdrop、otherside-refunds.xyz等。
官網:https://otherside.xyz/
釣魚網站:http://othersidemeta-airdrop.com/
查看釣魚網站源碼,發現頁面存在setApprovalForAll()函數,該函數會授權_operator具有所有代幣的控制權。如果用戶授權了攻擊者,則用戶賬號中所有的NFT將會被盜走。
3添加二級域名進行混淆
有的釣魚網站會添加二級域名進行混淆,進行釣魚欺騙。
?
官網:https://www.okaybears.com/
釣魚網站:https://okaybears.co.uk/?
查看網頁源碼,根據solanaweb3的官方文檔API,確認如下地址為攻擊地址:
在如今釣魚事件頻發的情況下,用戶需提高安全意識,保護自己。以下是我們的安全建議:
1簽名時應當明確簽署的交易內容,包括交易價格、交易地址等信息,如下圖紅框處內容所示:
如果存在簽署內容僅為二進制字符串內容等無法明確的內容,請勿簽署。
2切勿點擊任何郵件中的鏈接、附件,或輸入任何個人信息。
3訪問NFT官網時,一般在官網右上角等處會顯示官方twitter、discord等社交帳號,需在官方賬號上確認官網地址。
4安裝釣魚插件,可輔助識別部分釣魚網站。比如下面這一款
https://chrome.google.com/webstore/detail/beosin-alert/lgbhcpagiobjacpmcgckfgodjeogceji?hl=zh-CN
在眾多二級市場平臺的圍剿中,幻核、鯨探等大廠的用戶正在流失。?5月19日,騰訊旗下數藏平臺幻核再次遇上藏品滯銷,免費贈送的藏品竟花了40多分鐘才被“搶”完.
1900/1/1 0:00:00這個話題其實有點大,但我確實想聊一下這件事情。很多人詬病ENS的問題就是沒有實質性的賦能,只做治理用,之前ENS的大幅上漲來自于人們對于協議產品的肯定以及對于ENS治理權利的爭奪.
1900/1/1 0:00:006月3日結束的ETHShanghai黑客松活動中涌現出了不少優質的Web3.0項目,在上百個參賽團隊中,有四個脫穎而出,分別摘得金銀銅獎.
1900/1/1 0:00:001.觀點:Web3不是一個必要的改進它是一種選擇Web3不會殺死Web2。在本文中,我將使用Web3來泛指支持通過區塊鏈技術來實現去中心化所有權的社區和項目,以及使用Web2來泛指互聯網「常態」.
1900/1/1 0:00:00來自參議院銀行委員會的CynthiaLummis(R-WY)和來自參議院農業委員會的KirstenGillibrand(D-NY)的兩黨比特幣立法終于在該法案宣布的幾個月后推出.
1900/1/1 0:00:00今年初,筆者提議在國際設計科學學會下面成立元宇宙研究會,得到了國內外不少專家學者的積極響應。今年3月28日,國際設計科學學會元宇宙研究會成立.
1900/1/1 0:00:00