木星链 木星链
Ctrl+D收藏木星链
首页 > BNB > 正文

NFT:当硬核黑客开始研究“钓鱼” 你的NFT还安全吗?

作者:

时间:1900/1/1 0:00:00

前有周杰伦无聊猿NFT被钓鱼攻击,损失超300万人民币。

后有全球最大的NFT交易平台之一OpenSea大批用户遭遇钓鱼攻击,多人资产受损。

可见Web3世界黑客依然猖狂作祟,为了打击黑客嚣张的气焰,我们将为大家持续输出干货系列文章,教导大家NFT防技巧。

本文研究了两类典型的NFT的钓鱼攻击,一类是盗取用户签名的钓鱼攻击,如:Opensea钓鱼邮件事件;一类是高仿域名和内容的NFT钓鱼网站。跟我们一起看看

「盗取用户签名的钓鱼」

2022年2月21日,全球最大的加密数字藏品市场Opensea遭遇黑客攻击。根据Opensea官方回复,有部分用户由于签署了给黑客的授权而导致用户NFT被盗。

我们将本次事件再次复现一下,在本次事件攻击事件中,攻击者信息如下:

攻击者地址(Fake_Phishing5169):

0x3e0defb880cd8e163bad68abe66437f99a7a8a74

攻击者合约(Fake_Phishing5176):

三菱日联信托银行正进行日元稳定币互操作性试点研究:金色财经报道,日本最大的信托银行三菱日联信托银行宣布,其正与Datachain和Soramitsu建立合作,以顺利实现预定在日本发行的各种稳定币之间的相互转移和兑换,并提高银行、公司和个人之间汇款的效率和降低费用。该计划将进行“PVP支付”的示范实验,即在异构区块链平台上的不同数字货币之间同时进行支付。此次合作将涉及三菱日联金融集团旗下稳定币平台Progmat Coin以及Soramitsu为使用Hyperledger Iroha发行的区域数字货币。

此前去年2月份消息,三菱日联金融集团推出稳定币平台Progmat Coin。[2023/3/29 13:32:47]

0xa2c0946ad444dccf990394c5cbe019a858a945bd

攻击者获得相关NFT的交易具体如下图所示:

针对其中一笔交易进行分析,

0xee038a31ab6e3f06bd747ab9dd0c3abafa48a51e969bcb666ecd3f22ff989589,具体内容如下:

NEAR宣布与WEMADE达成合作:金色财经报道,NEAR宣布与韩国最大的上市游戏公司之一WEMADE达成合作。WEMADE将支持区块链应用在韩国和其他市场的发展。NEAR和WEMADE将共同致力于在Web3社区活动和商业机会上进行合作,以提升彼此的品牌影响力。[2023/3/24 13:22:44]

由上图可知,攻击者是获得了用户的授权,之后直接调用transferfrom方法将用户的NFT盗走。

根据Opensea的CEO Devin Finzer发布的twitter,攻击者是通过钓鱼的方式获取到用户在Opensea上的挂单授权。

通过分析攻击交易,黑客攻击主要分为以下三个步骤。

1.构造正确的待签名交易;

2.诱用户点击授权;

3.获取用户签名后构造攻击合约盗取用户NFT。

步骤一 

首先对攻击者构建的交易签名内容进行分析,跟踪函数调用栈发现具体的签名信息如下:

由上图可知,签名的计算方式为:keccak256("\x19 Ethereum Signed Message:\n32", hashOrder(order));这种签名方式会在order前再加一个消息前缀:’\x19 Ethereum Signed Message:\n32’,以确保改签名不能在以太坊之外使用。之后将加上消息前缀的完整数据再计算keccak256值,最后用私钥进行签名。

纽约金融服务部:尚未授权与币安挂钩的(Binance-Peg) BUSD:2月14日消息,纽约州金融服务部(NYDFS)在官方上解释称:“该部门已命令Paxos停止铸造Paxos发行的BUSD,因为Paxos在其发行的BUSD方面对其与币安关系的监督存在几个尚未解决的问题。作为回应,2023年2月13日,Paxos通知客户其意图结束与币安的BUSD关系。”

NYDFS指出:“需要注意的是,该部门授权Paxos在以太坊区块链上发行BUSD,但尚未在任何区块链上授权与币安挂钩的(Binance-Peg) BUSD,并且Binance-Peg BUSD不是由Paxos发行的。目前,NYDFS许可实体对现有Paxos发行的BUSD在纽约上市或交易没有限制。”

金色财经此前报道,Circle去年向NYDFS举报币安没有足够的储备来支持BUSD。NYDFS发言人周一表示,Paxos没有以“安全可靠”的方式管理BUSD,因此“违反了对BUSD客户定期进行个性化风险评估和尽职调查的义务”。[2023/2/14 12:05:17]

但是该方式仅能声明所有权,无法防止重放攻击。如:用户A签署了消息发送给合约M,另一用户B可以将这个签名重放给合约N。下图为订单签名中具体涉及到的信息。

其中涉及到的签名主要参数为:

Side:买入或卖出

F1新加坡站因当地禁令将不允许在赛道上出现Crypto.com等加密广告:9月10日消息,据外媒报道,一级方程式赛车(F1)2022本赛季的第十七站比赛会在9月30日—10月02日在新加坡举办,但由于新加坡加密广告禁令,赛道上将不允许出现Crypto.com广告,但该禁令并不适用于F1赛车车身和车手服装上的加密广告,而Crypto.com公司总部就设在新加坡。

此前法国F1大赛也对加密广告实施了限制措施,包括Crypto.com和Binance等加密公司的LOGO均被撤下或被其他品牌替代。(华尔街日报)[2022/9/10 13:21:40]

paymentToken:用于支付订单的代币类型

basePrice:订单中NFT的价格

maker:订单发出地址

taker:接收订单的目标地址

上述签名信息中包含订单金额、目标地址等敏感信息,但是经过keccak256计算Hash后的值只是一串二进制字符串,用户无法识别。

攻击者根据上述Order信息构造签名,可以随意将上述签名中涉及到的basePrice参数金额设置为0,接收地址设置为自己等。

步骤二 

攻击者构造好待签名数据后就可以诱用户点击授权。由于签名的元数据是经过Keccak256计算后得到的包含0x的66个十六进制字符,用户无法得知其代表的具体含义,因此可能直接点击签名,使得攻击者获得了用户的挂单授权。

以太坊网络Gas费已降至4gwei:7月24日消息,据Etherscan数据显示,当前以太坊网络Gas费已降至4gwei。[2022/7/24 2:34:20]

上图中的签名对于用户来说类似盲签,即所签的消息内容对签名人来说是盲的,签名人不能看见消息的具体内容。

步骤三 

在步骤二中攻击者获取到ECDSA签名消息中的R、S、V值,即可利用其构造攻击合约盗取用户NFT。下图为OpenSea: Wyvern Exchange v1合约中验证order的函数validateOrder(),具体源码如下:

由源码可知,订单验证首先会校验order的有效性和是否包含有效参数,接着校验订单是否曾经通过链上校验。其中approvedOrders是一个mapping变量,该变量保存了所有已经通过链上批准验证的订单。如果订单曾经校验过则直接返回true,无需再使用ecrecover()校验 ECDSA 签名,以便智能合约可以直接下订单。

以下是其中一笔NFT盗取交易,可以发现攻击者利用用户签名通过调用攻击者合约(Fake_Phishing5176):

0xa2c0946ad444dccf990394c5cbe019a858a945bd,以0 ether的价格盗取了用户的NFT。

综上,该类事件主要是因为用户在签署交易签名时,由于签署的交易内容是加密后的字符串,导致用户无法直观的看到签署交易的具体内容,习惯性的点击确认,从而造成攻击者获取到用户的卖单权授权,盗走用户的NFT。

「高仿域名的NFT钓鱼」

这一类的钓鱼网站主要是对NFT项目官网的域名和内容等进行几乎一致的模仿,一般会先连接用户钱包查询用户余额之后,再进行其他诱操作。这种钓鱼网站是最常见的,主要分为以下几种类型:

1 仅更换原官网的顶级域名

案例一

官网:https://invisiblefriends.io/

钓鱼网站:https://invisiblefriends.ch/

查看钓鱼网站的网页源码,可以发现如下攻击地址:

0xEcAcDb9FA4Ed4ACD8977821737da7bCe688be1e0的相关交易:

可以发现上述两笔交易是攻击者获取到的收益。

案例二

官网:https://cyberbrokers.io/

钓鱼网站:https://cyberbrokers.live/

查看钓鱼网站源码,发现如下攻击地址:

2 主域名添加单词或符号进行混淆

有的钓鱼网站会在主域名添加单词或符号进行混淆,比如othersidemeta-airdrop、otherside-refunds.xyz等。

官网:https://otherside.xyz/

钓鱼网站:http://othersidemeta-airdrop.com/

查看钓鱼网站源码,发现页面存在setApprovalForAll()函数,该函数会授权_operator具有所有代币的控制权。如果用户授权了攻击者,则用户账号中所有的NFT将会被盗走。

3 添加二级域名进行混淆

有的钓鱼网站会添加二级域名进行混淆,进行钓鱼。

?

官网:https://www.okaybears.com/

钓鱼网站:https://okaybears.co.uk/?

查看网页源码,根据solana web3的官方文档API,确认如下地址为攻击地址:

在如今钓鱼事件频发的情况下,用户需提高安全意识,保护自己。以下是我们的安全建议:

1 签名时应当明确签署的交易内容,包括交易价格、交易地址等信息,如下图红框处内容所示:

如果存在签署内容仅为二进制字符串内容等无法明确的内容,请勿签署。

2 切勿点击任何邮件中的链接、附件,或输入任何个人信息。

3访问NFT官网时,一般在官网右上角等处会显示官方twitter、discord等社交帐号,需在官方账号上确认官网地址。

4安装钓鱼插件,可辅助识别部分钓鱼网站。比如下面这一款(复制链接谷歌浏览器直接安装)

https://chrome.google.com/webstore/detail/beosin-alert/lgbhcpagiobjacpmcgckfgodjeogceji?hl=zh-CN

标签:NFTUSDBUSDORDnfts币现在多少钱一个iusd币价格BUSD币JORDAN

BNB热门资讯
HER:a16z 为何选择将自己变成媒体?

从亲近媒体到选择直接发声,Andreessen Horowitz(a16z)的转变只是科技产业与媒体产业关系恶化的一个缩影.

1900/1/1 0:00:00
NFT:TULE NFT:在此开启你的NFT之旅

生活在元宇宙中的一群小熊原本过着平静的生活,但是一次又一次,爆发的大规模击事件打破了原有的平静,这些爱好和平的小熊面对如此境况感到心碎.

1900/1/1 0:00:00
数字人:凛冬中Gitcoin艰难的财库多元化

OTC操作对接了专业服务商,由于GTC市场流动性很好,300万的抛压对市场的影响倒也还好,评估是总滑点不超过10bps.

1900/1/1 0:00:00
WEB:如何打造出爆款 Web3 产品 这里有一份标准指南

Web3 世界见证了新一轮的 DeFi 创新和基础架构创新,正在飞速向前发展。关注度和资金都是稀缺资源,而那些无法满足市场需求的项目正面临着被淘汰的风险.

1900/1/1 0:00:00
元宇宙:元宇宙已经配不上苹果的野心了

尽管传闻不断,但苹果的首款MR(混合现实)头戴显示器仍未让外界窥及真容。北京时间6月7日凌晨,苹果WWDC2022如约而至.

1900/1/1 0:00:00
元宇宙:在任天堂看来 元宇宙都是自己玩剩下的

近日,任天堂公开了新游戏《宝可梦:朱/紫》的预告片,这是一款与元宇宙概念接近的开放世界游戏。但任天堂并没有在相关宣传中使用任何与元宇宙相关的字眼————这与目前各大企业纷纷绑定元宇宙概念的行为格.

1900/1/1 0:00:00