区块见闻 区块见闻
Ctrl+D收藏区块见闻

LOC:链上地址投 让你防不胜防_LOCK

作者:

时间:

Abstract:

近一周,0U转账的链上地址投攻击愈演愈烈,截至12月2日,已经有超过37W地址被投,总计92个受害地址,被盗取金额超过164WUSD。

本篇文章,X-explore对攻击态势进行了全面分析,对攻击者进行了链上溯源,同时也深入分析了攻击的实现方式。

我们呼吁钱包APP加强风险提示,普通用户在转账时谨防此类攻击。因为我们注意到UTC时间11月2日10点38分,有一位链上用户损失惨重,近100万美金因投而被转到黑客地址。

本文由X-explore与吴说区块链联合发布。

1.背景

近期,我们的链上风险监控发现ETH、BSC链上频繁出现0u转账现象,以下图bsc链的交易数据为例,受害者A发出一笔正常交易将452BSC-USD发给B后,会收到C转来的0BSC-USD,同时,在同一笔交易hash内用户A自己也会不受控制的给C转0BSC-USD

在社区中,很多用户不知所以然,担心自己的钱包私钥已经泄漏,攻击者正在窃取资产。

2.攻击意图

其实遇到这种情况的用户不用紧张,大家的资产是安全的,私钥并没有泄漏,只需要仔细确认地址小心别转错账就没事,黑客的手法很简单:

数据主权同步应用xSync现已支持Twitter,推文可同步至Crossbell链上:11月5日消息,由Crossbell团队开发的数据主权同步应用xSync现已支持Twitter和Medium平台,可以将用户发布在Twitter和Medium上的内容自动并且免费的同步至Crossbell区块链上。xSync对于Twitter内容的集成,是针对团队此前发布的CrossSync升级版本,采用了全新的推文同步方式,提供更便利易用的工具,来保护用户数据主权。据悉,Crossbell是由RSS3母公司NaturalSelectionLabs 开发的社交Layer1 公链。[2022/11/5 12:20:39]

在链上监控几个稳定币的转账信息,捕获受害者地址A正常发送给用户B的转账信息。

精心构造与用户地址B首尾一致的黑客地址C,使受害者A与黑客地址C互相转帐0U。

受害者A下次转账时粗心大意直接复制历史交易的地址时,很容易错误复制到黑客准备的地址C,从而将资金转错账

我们认为这种攻击是链上地址投攻击:

首先,黑客让自己的地址出现在用户交易历史中,诱导用户误认为是可信的交互地址。

链上ChainUP市场合伙人江南:抓住交易所就是抓住区块链:金色财经现场报道,由开源矿池和火币主办,金色算力云、链上ChainUP、Filecoin Beijing联合主办的“分布式存储中国行首站暨开源矿池IPFS私享会”2020年11月13日在北京举行。链上ChainUP市场合伙人江南在会上表示,据不完全统计,2020年全球交易所手续费收入已经超过了30亿美金,因此抓住交易所就是抓住区块链。而开一家交易所需要具备哪些条件?江南表示,首先,需要一个系统,需要技术,这是最低的入门门槛;第二,需要运营做增长,怎么开、怎么才能开好。第三,需要服务,让客户有更好的运营工具,让C端用户有更好的使用体验,才能帮助客户创造更大的价值,留住用户。[2020/11/13 14:12:54]

此外,黑客构造出的地址与用户可信地址首尾相同,被用户当作下次交易的对象。链上投很容易使用户产生资损,链上用户需共同警惕!

3.攻击态势

截止12月2日,在BSC与ETH链上的攻击次数分别超过32万次和5万次,受攻击影响的独立地址数分别超过16万个以及4万个。

从趋势上看,BSC链自从11月22日开始爆发,ETH链则从11月27日开始爆发,两条链的攻击规模均愈演愈烈。

此外,可以看到攻击发生时间有显著规律性,在每天UTC时间17点到0点攻击量级显著减少。疑似攻击者处于亚洲时区。

截止12月2日,总共有92个独立地址受,累计被金额达到164万USD。伴随着攻击者攻击目标的增加,可以预见,近期还会不断有大量用户被。

金色财经链上活跃度播报丨BTC 24h链上活跃地址数上升22.87%:据欧科云链OKLink数据显示,BTC 24h链上活跃地址数总计951660,较前日上升22.87%;链上交易量总计565667.53BTC,较前日上升83.81%;链上交易笔数总计268951,较前日上升12.53%;BTC链上活跃度上升。

截至上午10时,全网算力约为100.95EH/s,较前日下降4.28EH/s,全网算力呈下降趋势。[2020/5/19]

此外,我们对攻击者的攻击成本进行了分析,目前总成本接近2.9WUSD,攻击者对BSC-USD和USDT非常偏爱,与稳定币的币种流通量和用户持有量有关

攻击者溯源

我们对其中一个攻击者进行了链上溯源追踪,与两个主流中心化交易所关联,其完整过程如下图所示:

其攻击资金的来源地址与OKX.com存在关联,攻击者通过使用Transit.Finance跨链桥将原始攻击资金从TRON链转移到BSC链上。

其盗取资金最终归集到Huobi.com,攻击者依然使用Transit.Finance跨链桥将盗取资金转移到TRON链上。

尹航:DID和隐私保护是不可拆分的,DID就是链上的身份证:在今日的《金色深核》线上直播中,针对“对于加密货币来说,两个重要的过程是交易隐私和密码管理,如何理解DID在隐私应用的重要性?”Phala Network联合创始人尹航表示DID和隐私保护是不可拆分的,DID就是链上的身份证,我相信不会有人愿意把自己的身份证公开给全世界看。因此,只要使用身份信息的地方,就一定需要隐私保护。隐私保护技术可以是多样的,例如零知识证明可以用来创建临时身份,而在Phala,我们即将上线的项目Web3 Analytics,则会利用TEE在各个DID关联的数据上进行联合分析,得出有价值的分析结果。[2020/3/11]

让我们进一步展开,针对盗取资金的流向进行溯源。

首先,受害者地址0xe17c2b2b40574d229a251fe3776e6da2cc46aa5e向攻击者地址0x720c1cfe1bfc38b3b21c20961262ad1e095a6867分两次,共转账1300U。

接着,攻击者地址将资金归集到地址0x89e692c1b31e7f03b7b9cbb1c7ab7872ddeadd49

攻击者在0x89e692c1b31e7f03b7b9cbb1c7ab7872ddeadd49地址上进行了资金的跨链转移,在txhash为0x72905bd839f682f795946d285500143ee7606e9690df2ad32968e878ad290d9f的交易中,如下图所示,将10561USDT通过Transit.Finance的合约进行了Cross操作。在这笔交易的EventLogs中,可以看到资金去向了TRON链的USDT,对应地址是TLUKBw37BVWDZdhbGco2ZEfdMd5Cit8TMD,对应TRON链上的交易hash是:716507136ad28717ffd5f2f437af753ff96d344d2bcbe83f24d801db49f5a884

动态 | 奥地利政府将在以太坊区块链上拍卖13.5亿美元政府债券:据btcmanager消息,奥地利政府于9月27日宣布,在以太坊区块链上拍卖价值11.5亿欧元(13.5亿美元)的政府债券。该交易于10月2日开始,由奥地利最大的银行之一Oesterreichische Kontrollbank(OeKB)监管。奥地利政府表示决定将其价值观纳入公共链条,这使得任何人都可以探索和验证拍卖结果,并提供传统方式无法实现的透明度。[2018/9/29]

最终,攻击者将TLUKBw37BVWDZdhbGco2ZEfdMd5Cit8TMD地址上的充值进了Huobi交易所。充值的入金地址分别是:TPtzsrCAG61QMwig3jZV8Px7Rd1WZVnRXG,TDp7r3S1hJeiNfH1CvCVXeY8notY47nagJ

攻击原理分析

攻击者案例1:

EOA:0xBAA1451bE8C33998CD43F375c2e67E79c1a104AD

CA:0x7ceBeb6035B231A73CB5Fb4119c2FbBC04Ec6fD1

攻击者案例2:

EOA:0x616384a80f32aDb65243522971aE2ba7664B62E3

CA:0x6f00Ed594A6AceEf0E1A6FE023Ecd5Eb96c8665a

针对bsc链上的token攻击主要包含BSC-USD、BUSD、USDC、ETH等,大部分是通过攻击合约批量调用transferFrom()函数,也有手动调用transfer()函数的情况和针对主币的情况,原理基本一致。以下用BSC-USD的一个攻击合约举例

transferFrom()

在攻击者调用攻击合约的一笔交易中,攻击合约只调用了BSC-USD的transferFrom()函数,通过对参数填充sender、recipient、amount可以实现操控任意地址间的0USD转帐,同时产生授权Approval()与转账Transfer()的事件

Blocksecphalcon交易信息

BSC-USD的合约源码显示transferFrom()函数顺序调用了转账_transfer()与授权_approve()函数

_transfer()函数的作用很简单,首先排除交易中的全零地址,然后给发送方减钱,接受者加钱,最后记录转账事件。这里用到的加减函数add()/sub()是OpenZeppelin的safemath库,溢出会报错回退

_approve()函数同样排除全零地址,修改授权值,这个函数的重点在transferFrom中调用approve的参数计算里,用到了_allowances.sub(amount,"BEP20:transferamountexceedsallowance"),将已有的授权token数量减去转账数量,剩余的授权数量放入approve重新授权。这里用到的减函数sub是OpenZeppelin的safemath库,溢出会报错回退;但是如果整个流程的amount参数为零,没有任何检测机制能拒绝这笔交易,也就导致了链上大量的0U转账能正常发送,而黑客只需要付出手续费即可收获不菲的回报。

transfer()

调用transfer()函数的攻击方式原理一致,整个流程只有加减的溢出检测,没有对零转账的过滤。

BNB

在token的攻击追溯过程中,我们还发现了通过0BNB转账的首尾相同钓鱼攻击,原理与token钓鱼类似,构造首尾相同的地址进行钓鱼

攻击交易:https://bscscan.com/tx/0x5ae6a7b8e3ee1f342153c1992ef9170788e024c4142941590857d773c63ceeb3

构造地址后迷惑性非常高,一不小心就转错到黑客地址上

正常用户地址:0x69cb60065ddd0197e0837fac61f8de8e186c2a73

黑客构造地址:0x69c22da7a26a322ace4098cba637b39fa0a42a73

6.X-explore攻击检测

目前X-explore可针对此类攻击行为进行实时的链上监测,为了避免危害进一步加剧,我们建议:

钱包App通过颜色或其他提示帮助用户区分地址,并做好用户提醒;

用户在转账前仔细区分历史交易地址,逐字确认,最好自己存一份地址簿。

与此同时,我们在Dune中开源了此次攻击事件的态势感知大图。

https://dune.com/opang/first-and-last-address-construction

敬请关注我们。

Mirror:https://mirror.xyz/x-explore.eth

Twitter:https://twitter.com/x_explore_eth

来源:bress

标签:BLOCLOCBLOCKLOCKBLOCKBUSTERBlockify.GamesblockchaintechnologyBlockBurn

以太坊价格今日行情热门资讯
区块链:晚间必读 | 未来的NFT市场会是什么样子?_COM

1.金色观察|Bankless:盘点2022年最重大的加密时刻随着加密货币价格暴跌、2021年的火热被冲淡,加密行业在过去一年里发生了巨大变化.

加密货币:路透社特别报道:币安的财务“黑箱”知多少?_binance-coin

来源:路透社 编译:比推BitpushNewsMaryLiu在提款激增且平台代币价值大幅下跌后,全球最大的加密货币交易所币安正在努力提振用户信心.

BLO:BlockFi的兴衰史_LOCK

来源?|?coindesk编译?|?Dali@iNFTnews.com加密货币贷款公司BlockFi已经申请了破产保护,我们可以将它的倒下与FTX的垮台联系在一起.

区块链:一文详解三大模块化区块链方案:Celestia、Dymension 与 Fuel_ROL

撰写:KadeemClarke区块链一直在发展,每次迭代都试图解决区块链去中心化、可扩展性和安全性的三难困境.

FUEL:对话Carl Chen:GameFi的未来叙事会产生哪些变化?_shaun币最新消息

创作者:Hahaho 审核者:Shaun GameFi一直是Web3生态备受关注的赛道,因为其具有对Web2用户更友好的特性,相比Web3其它赛道有更多的Web2用户.

EFI:灰度 (GBTC) 效应:机构泡沫与崩溃的始作俑者_AME

撰写:BenLilly 我们重新整理了一下两年前的故事,始于2020年,我们称之为"灰度效应".