Abstract:
近一周,0U 轉賬的鏈上地址投攻擊愈演愈烈,截至12月2日,已經有超過37W地址被投,總計92個受害地址,被盜取金額超過164W USD。
本篇文章,X-explore 對攻擊態勢進行了全面分析,對攻擊者進行了鏈上溯源,同時也深入分析了攻擊的實現方式。
我們呼吁錢包APP加強風險提示,普通用戶在轉賬時謹防此類攻擊。因為我們注意到UTC時間11月2日10點38分,有一位鏈上用戶損失慘重,近100萬美金因投而被轉到黑客地址。
本文由 X-explore 與吳說區塊鏈聯合發布。
近期,我們的鏈上風險監控發現ETH、BSC鏈上頻繁出現 0u 轉賬現象,以下圖bsc鏈的交易數據為例,受害者A發出一筆正常交易將452 BSC-USD發給B后,會收到C轉來的0 BSC-USD,同時,在同一筆交易hash內用戶A自己也會不受控制的給C轉0 BSC-USD(實現了“一來一回”的0 BSC-USD轉賬操作)
在社區中,很多用戶不知所以然,擔心自己的錢包私鑰已經泄漏,攻擊者正在竊取資產。
其實遇到這種情況的用戶不用緊張,大家的資產是安全的,私鑰并沒有泄漏,只需要仔細確認地址小心別轉錯賬就沒事,黑客的手法很簡單:
Arkham與波場達成合作,預計將很快支持TRON鏈上數據:5月11日消息,區塊鏈數據監控平臺Arkham發推稱,平臺目前暫不支持TRON網絡,但已與波場建立合作關系,預計將很快對其進行支持。此外,用戶可以在Arkham上追蹤孫宇晨的錢包地址,其地址持有stETH、USDD以及大量低市值項目代幣。[2023/5/11 14:57:23]
在鏈上監控幾個穩定幣的轉賬信息,捕獲受害者地址A正常發送給用戶B的轉賬信息。
精心構造與用戶地址B首尾一致的黑客地址C,使受害者A與黑客地址C互相轉帳0U。(這里攻擊者可以使用靚號生成工具 Profanity,在幾秒內生成與用戶地址前后7位相同的地址)
受害者A下次轉賬時粗心大意直接復制歷史交易的地址時,很容易錯誤復制到黑客準備的地址C,從而將資金轉錯賬
我們認為這種攻擊是鏈上地址投攻擊:
首先,黑客讓自己的地址出現在用戶交易歷史中,誘導用戶誤認為是可信的交互地址。
此外,黑客構造出的地址與用戶可信地址首尾相同,被用戶當作下次交易的對象。 鏈上投很容易使用戶產生資損,鏈上用戶需共同警惕!
截止12月2日,在BSC與ETH鏈上的攻擊次數分別超過32萬次和5萬次,受攻擊影響的獨立地址數分別超過16萬個以及4萬個。
7月Polygon鏈上NFT銷售額不足300萬美元,創16個月內新低:金色財經報道,據最新NFT交易數據顯示,7月Polygon鏈上NFT銷售額僅為2,999,003.93美元,創16個月內新低。截至目前,Polygon鏈上銷售總額略高于4.5億美元,交易量1,214,327筆,其中鏈上銷售額最高記錄發生在2022年2月,當月銷售額為54,262,760.35美元。[2022/8/1 2:50:54]
從趨勢上看,BSC鏈自從11月22日開始爆發,ETH鏈則從11月27日開始爆發,兩條鏈的攻擊規模均愈演愈烈。
此外,可以看到攻擊發生時間有顯著規律性,在每天UTC時間17點到0點攻擊量級顯著減少。疑似攻擊者處于亞洲時區。
截止12月2日,總共有 92 個獨立地址受騙,累計被騙金額達到 164萬USD。伴隨著攻擊者攻擊目標的增加,可以預見,近期還會不斷有大量用戶被騙。
此外,我們對攻擊者的攻擊成本進行了分析,目前總成本接近2.9W USD(50 BNB + 11 ETH),攻擊者對BSC-USD和USDT非常偏愛,與穩定幣的幣種流通量和用戶持有量有關
P2E交易卡牌游戲Legends of Uzarn將在BSV鏈上發布:5月23日消息,Play-to-earn交易卡牌游戲Legends of Uzarn將在BSV區塊鏈上發布 ,目前提供Beta測試版本。(CoinGeek)[2022/5/23 3:35:27]
我們對其中一個攻擊者進行了鏈上溯源追蹤,與兩個主流中心化交易所關聯,其完整過程如下圖所示:
其攻擊資金的來源地址與OKX.com存在關聯,攻擊者通過使用Transit.Finance跨鏈橋將原始攻擊資金從TRON鏈轉移到BSC鏈上。
其盜取資金最終歸集到Huobi.com,攻擊者依然使用Transit.Finance跨鏈橋將盜取資金轉移到TRON鏈上。
讓我們進一步展開,針對盜取資金的流向進行溯源。
首先,受害者地址0xe17c2b2b40574d229a251fe3776e6da2cc46aa5e向攻擊者地址0x720c1cfe1bfc38b3b21c20961262ad1e095a6867分兩次,共轉賬1300U。
接著,攻擊者地址將資金歸集到地址0x89e692c1b31e7f03b7b9cbb1c7ab7872ddeadd49
攻擊者在0x89e692c1b31e7f03b7b9cbb1c7ab7872ddeadd49地址上進行了資金的跨鏈轉移,在txhash為0x72905bd839f682f795946d285500143ee7606e9690df2ad32968e878ad290d9f的交易中,如下圖所示,將10561 USDT通過Transit.Finance的合約(0xb45a2dda996c32e93b8c47098e90ed0e7ab18e39)進行了Cross操作。在這筆交易的Event Logs中,可以看到資金去向了TRON鏈的USDT,對應地址是TLUKBw37BVWDZdhbGco2ZEfdMd5Cit8TMD,對應TRON鏈上的交易hash是:716507136ad28717ffd5f2f437af753ff96d344d2bcbe83f24d801db49f5a884
Avalanche鏈上DeFi協議總鎖倉量為86.3億美元:金色財經報道,據DefiLlama數據顯示,目前Avalanche鏈上DeFi協議總鎖倉量為86.3億美元,24小時減少9.72%。鎖倉資產排名前五分別為AAVE(23.5億美元)、TraderJoe(12.2億美元)、Benqi(10.2億美元)、Curve(9.76億美元)、multichan(8.12億美元)。[2022/1/30 9:22:32]
最終,攻擊者將 TLUKBw37BVWDZdhbGco2ZEfdMd5Cit8TMD 地址上的充值進了Huobi交易所。充值的入金地址分別是:TPtzsrCAG61QMwig3jZV8Px7Rd1WZVnRXG, TDp7r3S1hJeiNfH1CvCVXeY8notY47nagJ
攻擊者案例1:
EOA: 0xBAA1451bE8C33998CD43F375c2e67E79c1a104AD
數據顯示:比特幣鏈上活躍度趨穩,交易所充提指標回落:據Tokenview鏈上數據監測,近24小時比特幣鏈上轉賬總額為83.18萬BTC,鏈上轉賬筆數為35.68萬筆,較前日分別上升0.14%和4.06%。其中充值到交易所的金額為7951 BTC,從交易所提現的金額為5195 BTC,均位于七日均線以下。鏈上活躍度趨穩,交易所充提活躍度降低,短線市場或將延續盤整蓄力。
在挖礦數據方面,比特幣近七日算力均值為117.16 EH/s,近24小時算力均值為120.93 EH/s。昨日全網出塊總數為153個,較前日增加4個;鏈上轉賬手續費為24.7 BTC。[2020/3/4]
CA: 0x7ceBeb6035B231A73CB5Fb4119c2FbBC04Ec6fD1
攻擊者案例2:
EOA: 0x616384a80f32aDb65243522971aE2ba7664B62E3
CA: 0x6f00Ed594A6AceEf0E1A6FE023Ecd5Eb96c8665a
針對bsc鏈上的token攻擊主要包含BSC-USD、BUSD、USDC、ETH等,大部分是通過攻擊合約批量調用transferFrom()函數,也有手動調用transfer()函數的情況和針對主幣的情況,原理基本一致。以下用 BSC-USD 的一個攻擊合約舉例
transferFrom()
在攻擊者調用攻擊合約的一筆交易中,攻擊合約只調用了 BSC-USD 的 transferFrom() 函數,通過對參數填充sender、recipient、amount可以實現操控任意地址間的0 USD轉帳,同時產生授權Approval()與轉賬Transfer()的事件
Blocksec phalcon交易信息
BSC-USD 的合約源碼顯示transferFrom()函數順序調用了轉賬_transfer()與授權_approve()函數
_transfer()函數的作用很簡單,首先排除交易中的全零地址,然后給發送方減錢,接受者加錢,最后記錄轉賬事件。這里用到的加減函數add()/sub()是OpenZeppelin的safemath庫,溢出會報錯回退
_approve()函數同樣排除全零地址,修改授權值,這個函數的重點在transferFrom中調用approve的參數計算里,用到了_allowances[sender][_msgSender()].sub(amount, "BEP20: transfer amount exceeds allowance") ,將已有的授權token數量減去轉賬數量,剩余的授權數量放入approve重新授權。這里用到的減函數sub是OpenZeppelin的safemath庫,溢出會報錯回退;但是如果整個流程的amount參數為零,沒有任何檢測機制能拒絕這筆交易,也就導致了鏈上大量的 0U 轉賬能正常發送,而黑客只需要付出手續費即可收獲不菲的回報。
transfer()
調用transfer()函數的攻擊方式原理一致,整個流程只有加減的溢出檢測,沒有對零轉賬的過濾。
BNB
在token的攻擊追溯過程中,我們還發現了通過0 BNB轉賬的首尾相同釣魚攻擊,原理與token釣魚類似,構造首尾相同的地址進行釣魚
攻擊交易:https://bscscan.com/tx/0x5ae6a7b8e3ee1f342153c1992ef9170788e024c4142941590857d773c63ceeb3
構造地址后迷惑性非常高,一不小心就轉錯到黑客地址上
正常用戶地址:0x69cb60065ddd0197e0837fac61f8de8e186c2a73
黑客構造地址:0x69c22da7a26a322ace4098cba637b39fa0a42a73
目前X-explore可針對此類攻擊行為進行實時的鏈上監測,為了避免危害進一步加劇,我們建議:
錢包App通過顏色或其他提示幫助用戶區分地址,并做好用戶提醒;
用戶在轉賬前仔細區分歷史交易地址,逐字確認,最好自己存一份地址簿。
與此同時,我們在 Dune 中開源了此次攻擊事件的態勢感知大圖。
https://dune.com/opang/first-and-last-address-construction
敬請關注我們。
Mirror: https://mirror.xyz/x-explore.eth
Twitter: https://twitter.com/x_explore_eth
來源:bress
Bress
個人專欄
閱讀更多
金色早8點
金色財經
去中心化金融社區
CertiK中文社區
虎嗅科技
區塊律動BlockBeats
念青
深潮TechFlow
Odaily星球日報
騰訊研究院
2022年11月,CertiK總共記錄了36起重大事件,雖與上月相比略有下降,但每次攻擊的損失明顯增加,11月重大事件的平均損失約為1655.1萬美元,而10月份的平均損失約為726.7萬美元.
1900/1/1 0:00:002022年11月21日,卡塔爾世界杯將如期舉行。四年一度的足球盛宴,自然會引發全球狂歡。但值得注意的是,加密資產、Web3、元宇宙和NFT等概念在本屆世界杯上有著極大的存在感.
1900/1/1 0:00:00作者:伊柒 “一方面是百度的影響力,一方面是動物加密貨幣的剩余熱度。”聊到百度11月中旬發售的NFT時,除了這家Web2.0時代頂流大廠自身,幣圈玩家、NFT原畫畫師MAX還提及了馬斯克和狗狗幣.
1900/1/1 0:00:00加密貨幣行業這一年黑暗熊市的開章——Luna崩盤事件的重要調查進展Terra Research Forum成員@FatManTerra發布調查成果:最直接導致UST脫鉤LUNA崩盤的罪魁禍首其實.
1900/1/1 0:00:002022年,加密行業充滿動蕩,繼Terra、三箭資本崩盤后,FTX暴雷及其次生危機使得加密寒冬愈發嚴酷,低迷的市場、腰斬的幣價與強硬的監管態勢并行,加密行業似乎正在迎來史上最黑暗的一段時期.
1900/1/1 0:00:00按:2022年雖然是加密市場進入熊市,而且LUNA、三箭、FTX、BlockFi等中心化機構陸續發生暴雷。但其實,各領域的頭部機構和公司在急劇進入加密貨幣領域.
1900/1/1 0:00:00