原文作者:Lisa&Kong
近期,我們發現多起關于eth_sign簽名的釣魚事件。
釣魚網站1:https://moonbirds-exclusive.com/
當我們連接錢包后并點擊Claim后,彈出一個簽名申請框,同時MetaMask顯示了一個紅色提醒警告,而光從這個彈窗上無法辨別要求簽名的到底是什么內容。
其實這是一種非常危險的簽名類型,基本上就是以太坊的「空白支票」。通過這個釣魚,騙子可以使用您的私鑰簽署任何交易。
除此之外,還有一種釣魚:在你拒絕上述的sign后,它會在你的MetaMask自動顯示另一個簽名框,趁你沒注意就騙到你的簽名。而看看簽名內容,使用了SetApprovalForAll方法,同時Approvedasset?的目標顯示為AllofyourNFT,也就是說,一旦你簽名,騙子就可以毫無節制地盜走你的所有NFT。如下:
慢霧:Uwerx遭受攻擊因為接收地址會多銷毀掉from地址轉賬金額1%的代幣:金色財經報道,Uwerx遭到攻擊,損失約174.78枚ETH,據慢霧分析,根本原因是當接收地址為 uniswapPoolAddress(0x01)時,將會多burn掉from地址的轉賬金額1%的代幣,因此攻擊者利用uniswapv2池的skim功能消耗大量WERX代幣,然后調用sync函數惡意抬高代幣價格,最后反向兌換手中剩余的WERX為ETH以獲得利潤。據MistTrack分析,黑客初始資金來自Tornadocash轉入的10 BNB,接著將10 BNB換成1.3 ETH,并通過Socket跨鏈到以太坊。目前,被盜資金仍停留在黑客地址0x605...Ce4。[2023/8/2 16:14:10]
釣魚網站2:https://dooooodles.org/
慢霧:LendHub疑似被攻擊損失近600萬美金,1100枚ETH已轉移到Tornado Cash:金色財經報道,據慢霧區情報,HECO生態跨鏈借貸平臺LendHub疑似被攻擊,主要黑客獲利地址為0x9d01..ab03。黑客于1月12日從Tornado.Cash接收100ETH后,將部分資金跨鏈到Heco鏈展開攻擊后獲利,后使用多個平臺(如TransitSwap、Multichain、Uniswap、Curve和OptimismBridge)跨鏈或兌換被盜資金。截至目前,黑客已分11筆共轉1,100ETH到Tornado.Cash。被攻擊的具體原因尚待分析,慢霧安全團隊將持續跟進此事件。[2023/1/13 11:10:43]
我們使用MistTrack來分析下騙子地址:
0xa594f48e80ffc8240f2f28d375fe4ca5379babc7
慢霧:Transit Swap黑客攻擊交易被搶跑,套利機器人獲利超100萬美元:10月1日消息,據慢霧安全團隊情報,Transit Swap 黑客轉移用戶 BSC 鏈 BUSD 資產時被套利機器人搶跑,區塊高度為21816885,獲利107萬BUSD。套利機器人相關地址列表如下:0xa957...70d2、0x90b5...8ff4、0xcfb0...7ac7、
截止到目前,在各方的共同努力下,黑客已將 70% 左右的被盜資產退還到Transit Swap開發者地址,建議套利機器人所屬人同樣通過service@transit.finance或鏈上地址與Transit Swap取得聯系,共同將此次被盜事件的受害用戶損失降低到最小。[2022/10/2 18:37:44]
通過分析,騙子多次調用SetApprovalForAll盜取用戶資產,騙子地址目前已收到33個NFT,售出部分后獲得超4ETH。
慢霧:警惕QANX代幣的雙花攻擊風險:據慢霧區消息,近期存在惡意用戶利用QANX代幣的轉賬鎖定、解鎖功能(transferLocked/unlock)觸發的事件記錄與正常使用transfer功能轉賬觸發的Transfer事件記錄相同而進行雙花攻擊。
慢霧安全團隊建議已上架此幣種的平臺及時自查,未上架的平臺在對接此類幣種時應注意以上風險。
QANX: 0xaaa7a10a8ee237ea61e8ac46c50a8db8bcc1baaa[2022/3/26 14:18:46]
回到正題,我們來研究下這種釣魚方法。首先,我們看看MetaMask官方是如何說明的:
也就是說,MetaMask目前有六種簽名方法,只有一種方式會出現MetaMask警告,發生在?eth_sign?的簽名情況下,原因是eth_sign方法是一種開放式簽名方法,它允許對任意Hash進行簽名,這意味著它可用于對交易或任何其他數據進行簽名,從而構成危險的網絡釣魚風險。
根據MetaMask官方文檔說明,eth_sign方法是可以對任意哈希進行簽名的,而我們在簽署一筆交易時本質上也是對一串哈希進行簽名,只不過這中間的編碼過程都由MetaMask替我們處理了。我們可以再簡單回顧下從編碼到交易廣播的過程:
在進行交易廣播前,MetaMask會獲取我們轉賬的對象、轉賬的金額、附帶的數據,以及MetaMask自動幫我們獲取并計算的nonce、gasPrice、gasLimit參數進行RLP編碼得到原始交易內容。如果是合約調用,那么to即為合約地址,data即為調用數據。
rlp=require('rlp');
//Usenon-EIP115standard
consttransaction={
nonce:'',
gasPrice:'',
gasLimit:'',
to:'0x',
value:'',
data:'0x'
};
//RLPencode
constrawTransaction=rlp.encode();
隨后再對此內容進行keccak256哈希后得到一串bytes32的數據就是所需要我們簽名的數據了。
//keccak256encode
constmsgHex=rawTransaction.toString('hex');
constmsgHash=Web3.utils.keccak256('0x'msgHex);
我們使用MetaMask對這串數據簽名后就會得到r,s,v值,用這三個值再與nonce/gasPrice/gasLimit/to/value/data進行一次RLP編碼即可得到簽名后的原始交易內容了,這時候就可以廣播發出交易了。
rlp=require('rlp');
consttransaction={
nonce:'',
gasPrice:'',
gasLimit:'',
to:'',
value:'',
data:'',
v:'',
r:'',
s:''
};
//RLPencode
constsignedRawTransaction=rlp.encode();
而如上所述,eth_sign方法可以對任意哈希進行簽名,那么自然可以對我們簽名后的bytes32數據進行簽名。因此攻擊者只需要在我們連接DApp后獲取我們的地址對我們賬戶進行分析查詢,即可構造出任意數據讓我們通過eth_sign進行簽名。
這種釣魚方式對用戶會有很強的迷惑性,以往我們碰到的授權類釣魚在MetaMask會給我直觀的展示出攻擊者所要我們簽名的數據。如下所示,MetaMask展示出了此釣魚網站誘導用戶將NFT授權給惡意地址。
而當攻擊者使用eth_sign方法讓用戶簽名時,如下所示,MetaMask展示的只是一串bytes32的哈希。
總結
本文主要介紹eth_sign簽名方式的釣魚手法。雖然在簽名時MetaMask會有風險提示,但若結合釣魚話術干擾,沒有技術背景的普通用戶很難防范此類釣魚。建議用戶在遇到此類釣魚時提高警惕,?認準域名,仔細檢查簽名數據,必要時可以安裝安全插件,如:RevokeCash、ScamSniffer等,同時注意插件提醒。
原文鏈接
Tags:TRAETAETHMETAMTheopetraMetafluenceethics翻譯metamask官網最新版
DearValuedUsers,HuobiGlobalwillbeopeningMBL(MovieBloc)?spottrading(MBL/USDT)andspotGridtrading(MB.
1900/1/1 0:00:00尊敬的用戶:?????????BKEX即將上線TMT,詳情如下:上線交易對:TMT/USDT??幣種類型:BEP20充值功能開放時間:已開放交易功能開放時間:2022年10月11日17:00提現.
1900/1/1 0:00:00隨著熊市的延續,合約交易憑借多空雙向,無懼牛熊的獨特優勢,將投資者的熱情點燃。近日,全球知名生態數字資產交易平臺8V.com宣布上線模擬盤交易活動.
1900/1/1 0:00:00尊敬的用戶:Hotcoin將於2022年10月12日18:00開放PROM/USDT交易業務,2022年10月13日18:00開放PROM提幣業務,充值業務開放時間將以公告另行通知.
1900/1/1 0:00:00自大多數硬幣下跌以來,整個加密貨幣市場仍在經歷停機。盡管市場上大多數加密貨幣都出現虧損和下跌趨勢,但一些山寨幣已被證明是未來幾個月和幾年的潛在投資.
1900/1/1 0:00:00從DAI到USDT以及介于兩者之間的一切,了解所有主要的穩定幣以及它們的獨特之處。 關鍵要點 穩定幣是旨在持有特定價值的區塊鏈代幣。他們通常跟蹤美元等法定貨幣的價格.
1900/1/1 0:00:00