慢雾：空白支票eth_sign钓鱼分析

原文作者：Lisa&Kong

近期，我们发现多起关于eth_sign签名的钓鱼事件。

钓鱼网站1：https://moonbirds-exclusive.com/

当我们连接钱包后并点击Claim后，弹出一个签名申请框，同时MetaMask显示了一个红色提醒警告，而光从这个弹窗上无法辨别要求签名的到底是什么内容。

其实这是一种非常危险的签名类型，基本上就是以太坊的「空白支票」。通过这个钓鱼，子可以使用您的私钥签署任何交易。

除此之外，还有一种钓鱼：在你拒绝上述的sign后，它会在你的MetaMask自动显示另一个签名框，趁你没注意就到你的签名。而看看签名内容，使用了SetApprovalForAll方法，同时Approvedasset?的目标显示为AllofyourNFT，也就是说，一旦你签名，子就可以毫无节制地盗走你的所有NFT。如下：

慢雾：苹果发布可导致任意代码执行的严重漏洞提醒，请及时更新:7月11日消息，慢雾首席信息安全官23pds发推称，近日苹果发布严重漏洞提醒，官方称漏洞CVE-2023-37450可以在用户访问恶意网页时导致在你的设备上任意代码执行，据信这个已经存在被利用的情况，任意代码危害严重，请及时更新。[2023/7/11 10:47:05]

钓鱼网站2：https://dooooodles.org/

我们使用MistTrack来分析下子地址：

0xa594f48e80ffc8240f2f28d375fe4ca5379babc7

通过分析，子多次调用SetApprovalForAll盗取用户资产，子地址目前已收到33个NFT，售出部分后获得超4ETH。

慢雾：7月3日至7月7日期间?Web3生态因安全问题损失近1.3亿美元:7月10日消息，慢雾发推称，自7月3日至7月7日，Web3生态因安全问题遭遇攻击损失128,419,000美元，包括Encryption AI、AzukiDao、NFT Trader、MIKE&SID、Bryan Pellegrino、Aptos Foundation、Multichain、CivFund。其中，Multichain被攻击损失1.26亿美元。[2023/7/10 10:12:36]

回到正题，我们来研究下这种钓鱼方法。首先，我们看看MetaMask官方是如何说明的：

也就是说，MetaMask目前有六种签名方法，只有一种方式会出现MetaMask警告，发生在?eth_sign?的签名情况下，原因是eth_sign方法是一种开放式签名方法，它允许对任意Hash进行签名，这意味着它可用于对交易或任何其他数据进行签名，从而构成危险的网络钓鱼风险。

慢雾：警惕 Honeyswap 前端被篡改导致 approvals 到恶意地址风险:据慢雾区消息，Honeyswap官方推特发文，Honeyswap 前端错误导致交易到恶意地址 “0xD3888a7E6D6A05c6b031F05DdAF3D3dCaB92FC5B” ，目前官网仍未删除该恶意地址，请立即停止使用Honeyswap进行交易，到revoke.cash排查是否有approvals 交易到恶意地址，避免不必要的损失。[2022/5/10 3:03:22]

根据MetaMask官方文档说明，eth_sign方法是可以对任意哈希进行签名的，而我们在签署一笔交易时本质上也是对一串哈希进行签名，只不过这中间的编码过程都由MetaMask替我们处理了。我们可以再简单回顾下从编码到交易广播的过程：

在进行交易广播前，MetaMask会获取我们转账的对象、转账的金额、附带的数据，以及MetaMask自动帮我们获取并计算的nonce、gasPrice、gasLimit参数进行RLP编码得到原始交易内容。如果是合约调用，那么to即为合约地址，data即为调用数据。

慢雾：AToken钱包疑似遭受攻击 用户反馈钱包中资产被盗:据慢雾区情报，近期 AToken 钱包(atoken.com)疑似遭受到攻击，用户在使用 AToken 钱包后，币被偷偷转移走。目前已经有较多的用户反馈钱包中的资产被盗。AToken 钱包官方推特在2021年12月20日发布了停止运营的声明。官方 TG 频道中也有多位用户反馈使用 AToken 钱包资产被盗了，但是并没有得到 AToken 团队的回复和处理。

如果有使用 AToken 钱包的用户请及时转移资产到安全的钱包中。具体可以参考如下操作：

1. 立即将 AToken 钱包中的相关的资产转移到新的钱包中。

2. 废弃导入 AToken 或者使用 AToken 生成的助记词或私钥的钱包。

3. 参考慢雾安全团队梳理的数字资产安全解决方案，对数字资产进行妥善的管理。

4. 留存相应有问题的 AToken 钱包 APP 的安装包，用于后续可能需要的取证等操作。

5. 如果资产已经被盗，可以先梳理被盗事件的时间线，以及黑客的相关地址 MistTrack 可以协助挽回可能的一线希望。[2022/2/9 9:39:46]

rlp=require('rlp');

//Usenon-EIP115standard

consttransaction={

nonce:'',

gasPrice:'',

gasLimit:'',

to:'0x',

value:'',

data:'0x'

};

//RLPencode

constrawTransaction=rlp.encode();

随后再对此内容进行keccak256哈希后得到一串bytes32的数据就是所需要我们签名的数据了。

//keccak256encode

constmsgHex=rawTransaction.toString('hex');

constmsgHash=Web3.utils.keccak256('0x'msgHex);

我们使用MetaMask对这串数据签名后就会得到r,s,v值，用这三个值再与nonce/gasPrice/gasLimit/to/value/data进行一次RLP编码即可得到签名后的原始交易内容了，这时候就可以广播发出交易了。

rlp=require('rlp');

consttransaction={

nonce:'',

gasPrice:'',

gasLimit:'',

to:'',

value:'',

data:'',

v:'',

r:'',

s:''

};

//RLPencode

constsignedRawTransaction=rlp.encode();

而如上所述，eth_sign方法可以对任意哈希进行签名，那么自然可以对我们签名后的bytes32数据进行签名。因此攻击者只需要在我们连接DApp后获取我们的地址对我们账户进行分析查询，即可构造出任意数据让我们通过eth_sign进行签名。

这种钓鱼方式对用户会有很强的迷惑性，以往我们碰到的授权类钓鱼在MetaMask会给我直观的展示出攻击者所要我们签名的数据。如下所示，MetaMask展示出了此钓鱼网站诱导用户将NFT授权给恶意地址。

而当攻击者使用eth_sign方法让用户签名时，如下所示，MetaMask展示的只是一串bytes32的哈希。

总结

本文主要介绍eth_sign签名方式的钓鱼手法。虽然在签名时MetaMask会有风险提示，但若结合钓鱼话术干扰，没有技术背景的普通用户很难防范此类钓鱼。建议用户在遇到此类钓鱼时提高警惕，?认准域名，仔细检查签名数据，必要时可以安装安全插件，如：RevokeCash、ScamSniffer等，同时注意插件提醒。

原文链接

标签：ETAMASKASKTAMAMeta Shiba BSCICK Maskmask币香港概念消息MetaMask官方下载

火币APP热门资讯