Hash dieses Artikels (SHA1):418ea6548326a5f3b9496aa7912935fec8ca925c
Nummer: Chainyuan Technology PandaLYSecurity Knowledge No.031
Was ist ein Blockchain-Phishing-Angriff?
Möglicherweise kennen Sie das Wort „Phishing“. Ursprünglich bezog es sich auf Online-Betrugsmethoden, die Menschen dazu verleiten, auf Links zu klicken und dann über gefälschte Websites oder E-Mails an persönliche Informationen zu gelangen. Mit der Popularität von Blockchain und Kryptowährung hat sich diese Art von „Phishing“ nun auch in der Blockchain-Welt entwickelt.
Der Kern von Blockchain-Phishing-Angriffen ähnelt dem herkömmlichen Phishing. Der Angreifer gibt vor, jemand zu sein, dem Sie vertrauen, beispielsweise eine Wallet-Website, eine Handelsplattform oder sogar eine Projektparty, an der Sie teilgenommen haben. Sie verwenden gefälschte Links, gefälschte Social-Media-Konten oder intelligente Verträge, die formal aussehen, in Wirklichkeit aber Schlupflöcher sind, um Sie dazu zu verleiten, Ihren privaten Schlüssel, eine mnemonische Phrase einzugeben oder eine böswillige Transaktion zu signieren. Das Ergebnis? Ihre Krypto-Vermögenswerte wurden wegübertragen, ohne dass Sie es bemerkten.
Stellen Sie sich zum Beispiel vor, Sie sehen ein „offizielles Airdrop“-Event auf einer sozialen Plattform mit einem Link, der wie eine Ihnen bekannte Wallet-Website aussieht. Sie klicken hinein, geben die mnemonische Phrase ein und stellen dann fest, dass das gesamte darin enthaltene Geld weg ist. Dies ist ein typisches Blockchain-Phishing-Angriffsszenario.
Phishing-Angriffe sind besonders heimtückisch, da sie gezielt auf Nutzer abzielen, die sich mit der Blockchain-Technologie nicht so gut auskennen und nicht ausreichend über Schutzmaßnahmen Bescheid wissen. Viele Menschen tappen in die Falle von Angreifern, weil sie nachlässig sind oder auf der Suche nach kleinen Vorteilen sind. Deshalb müssen wir vor diesen Angriffsmethoden wachsam bleiben und jederzeit Vorkehrungen treffen.
Wie erkennt man Phishing-Angriffe? Dies muss mit seinen Prinzipien beginnen.
So funktionieren Phishing-Angriffe
Es gibt vier Hauptmethoden für Phishing-Angriffe: falsche Airdrops, induzierte Signaturen, Backdoor-Tools und mnemonische Phrasen.
Gefälschter Airdrop:
Angreifer verwenden Adressgeneratoren, um Adressen zu generieren, die den Wallet-Adressen der Benutzer sehr ähnlich sind (normalerweise sind die ersten oder letzten Ziffern gleich), und überweisen dann mehrmals kleine Geldbeträge (z. B. 0,001 USDT) an diese Adressen oder greifen an gefälschter USDT, der vom Benutzer selbst bereitgestellt wird. Dies führte dazu, dass Benutzer fälschlicherweise glaubten, dass es sich bei diesen Adressen um ihre früheren normalen Empfangsadressen handelte. Wenn Benutzer neue Überweisungen vornehmen, werden möglicherweise historische Transaktionsaufzeichnungen kopiert und Gelder können fälschlicherweise an die Adresse des Angreifers überwiesen werden, was zu einem Vermögensverlust führt.
Induzierte Signatur:
Angreifer erstellen gefälschte Webseiten, etwa gefälschte Websites bekannter Projekte, gefälschte Airdrop-Links oder Shopping-Plattformen, um Benutzer dazu zu verleiten, sich mit Wallets zu verbinden und Signiervorgänge durchzuführen und so Vermögenswerte zu stehlen.
Zu den häufigsten induzierten Signaturangriffen gehören die folgenden:
direkte Überweisung
Der Angreifer tarnt den Signaturvorgang als Funktion wie den Empfang von Airdrops und Wallet-Verbindungen. Der eigentliche Vorgang besteht darin, die Vermögenswerte des Benutzers an die Adresse des Angreifers zu übertragen.
Autorisieren Sie die Tokenübertragung
Benutzer unterzeichnen Transaktionen auf Phishing-Websites, wie z. B. den Approve-Aufruf von ERC20 oder setApproveForAll von NFT, und Angreifer können die Vermögenswerte des Benutzers nach der Autorisierung nach Belieben übertragen.
Phishing zur Autorisierung leerer Adressen
Beim Autorisierungs-Phishing mit leeren Adressen handelt es sich um eine verbesserte Version des Autorisierungs-Phishings. Wenn der Benutzer auf den Phishing-Link klickt, um eine Autorisierung durchzuführen (normalerweise „Genehmigen“ oder „Zulassen“ erhöhen), ist die Adresse des Spenders eine leere Adresse ohne jeglichen On-Chain-Datensatz. Wenn das Opfer die Autorisierung unterzeichnet, wird die leere Adresse über create2 in einem Vertrag bereitgestellt Methode und die Gelder des Opfers überwiesen. Durch die Verwendung einer leeren Adresse zur Autorisierung kann verhindert werden, dass die Autorisierungsadresse von Erkennungstools markiert wird, wodurch die Sicherheitsprüfungen einiger Wallets umgangen werden.
Kaufen Sie NFT Fishing für null Yuan
Den Benutzer dazu verleiten, den NFT-Verkaufsauftrag zu unterzeichnen. Sobald der Benutzer diesen Auftrag unterzeichnet hat, kann der Angreifer den NFT des Benutzers direkt über OpenSea kaufen, was bedeutet, dass der Angreifer können die NFTs der Benutzer nicht durch Ausgabe eines beliebigen Geldbetrags „kaufen“.
eth_sign Blankoscheck (Blindsignatur)
eth_sign wird auch als Blindsignatur bezeichnet. Die Verwendung von eth_sign zum Signieren eines beliebigen Hashwerts entspricht dem Ausstellen eines Blankoschecks an den Angreifer, sodass der Angreifer jede benutzerdefinierte Transaktion erstellen kann, um Benutzerressourcen zu stehlen.
Angeln erlauben
Permit ist eine erweiterte Funktion des erc20-Protokolls. Sie ermöglicht es Benutzern, Autorisierungsvorgänge über signierte Nachrichten abzuschließen und die Signaturergebnisse an eine andere Wallet zu senden, die Asset-Transfer-Vorgänge abschließen kann. Indem Angreifer Benutzer dazu veranlassen, die ERC20-Genehmigungsautorisierung zu unterzeichnen, können sie die Erlaubnis zur Übertragung von Benutzertokens erhalten.
personal_sign Signatur
personal_sign wird typischerweise zum Signieren von für Menschen lesbaren Inhalten verwendet, der signierte Inhalt kann jedoch auch zu einem Hashwert verarbeitet werden.
Beispiel: Die Nachricht 0x62dc3e93b0f40fd8ee6bf3b9b1f15264040c3b1782a24a345b7cb93c9dafb7d8 ist das Ergebnis des Hashings des Ziel-Klartexts durch keccak256. Benutzer, die einem Phishing ausgesetzt sind, können den Inhalt der Signatur nicht verstehen. Wenn sie signieren, werden sie von Phishing-Angriffen angegriffen.
Schädliche Mehrfachsignatur:
Der ursprüngliche Zweck der Mehrfachsignatur besteht darin, das Wallet sicherer zu machen und es mehreren Benutzern zu ermöglichen, die Nutzungsrechte desselben Wallets gemeinsam zu verwalten und zu kontrollieren.
Am Beispiel von TRON ist die TRON-Mehrfachsignatur in Eigentümer (die höchste Autorität, die Berechtigungen verwalten und alle Vorgänge ausführen kann), Zeuge (Teilnahme an der Abstimmungsverwaltung) und Aktiv (wird für tägliche Vorgänge wie Geldüberweisungen oder Anrufe verwendet) unterteilt Verträge). Beim Erstellen eines neuen Kontos verfügt das Konto standardmäßig über Besitzerberechtigungen.
Nachdem der Angreifer den privaten Schlüssel des Benutzers über eine Phishing-Webseite/-Anwendung erhalten hat, kann er den Besitzer/Aktiv auf seine eigene Adresse übertragen oder autorisieren. Beachten Sie, dass durch die Übertragung die Besitzerberechtigungen des Benutzers entfernt werden, während durch die Autorisierung die Berechtigungen des Benutzers nicht entfernt werden Egal was passiert, der Benutzer verliert das Recht, Wallet-Vermögen zu übertragen.
Da Benutzer weiterhin Gelder überweisen können, kann es sein, dass der Angreifer „ein langes Spiel spielt“ und die Vermögenswerte des Opfers nicht sofort überträgt, bis das Opfer feststellt, dass die Brieftasche in böswilliger Absicht mehrfach signiert wurde, und dann keine Gelder mehr überweist.
Backdoor-Tools:
Als Wissenschaftlerwerkzeuge getarnt
„Wissenschaftler-Tools“ beziehen sich normalerweise auf Transaktionshilfstools, die von einigen fortgeschrittenen Benutzern (sogenannten „Wissenschaftlern“) im Blockchain-Ökosystem verwendet werden, beispielsweise zum schnellen Minen von NFTs in Stapeln, zum Senden von Token in Stapeln oder zum schnellen Ausführen einiger komplexer Aufgaben -Kettenoperationen usw. Solche Tools sind bei Primärmarktnutzern beliebt, da sie die betriebliche Effizienz erheblich verbessern können.
Angreifer geben sich jedoch als Entwickler solcher Tools aus und veröffentlichen Tools, die legitim erscheinen, in Wirklichkeit aber über in die Tools integrierte Hintertüren verfügen. Diese Backdoor-Programme können heimlich private Schlüssel oder mnemonische Phrasen abrufen, wenn Benutzer Tools verwenden, oder die Brieftasche des Benutzers direkt steuern, um Token an die angegebene Brieftasche des Angreifers zu senden. Der Angreifer kann dann die Brieftasche des Benutzers über diese vertraulichen Informationen kontrollieren.
gefälschtes Browser-Plugin
Viele Benutzer verwenden gerne Browser-Plug-ins (wie MetaMask, Token Pocket), um Blockchain-Transaktionen bequem durchzuführen. Angreifer können Benutzer über Phishing-Websites dazu verleiten, gefälschte Plug-ins zu installieren. Sobald diese Plug-ins installiert sind, zeichnen sie heimlich das Transaktionsverhalten der Benutzer auf, stehlen private Schlüssel und führen Mehrfachsignaturen durch.
Handelsbeschleuniger oder Optimierungstool
Solche Tools geben in der Regel an, Benutzern dabei zu helfen, die Transaktionsbestätigung zu beschleunigen oder On-Chain-Vorgänge zu optimieren, und Benutzer müssen häufig private Schlüssel oder Signaturen eingeben, um diese Funktionen nutzen zu können. Angreifer verleiten Benutzer dazu, während der Nutzung wichtige Informationen einzugeben und diese heimlich aufzuzeichnen.
Geben Sie den privaten Schlüssel/die mnemonische Phrase an:
Angreifer erstellen einige gefälschte Transaktions-Websites oder Telegram-Applets (wie den gefälschten Pepebot), verlangen von Benutzern die Bereitstellung privater Schlüssel oder mnemonischer Wörter zum Binden von Wallets und verleiten Benutzer dazu, „Local Dog“-Transaktionen oder andere Vorgänge durchzuführen. Tatsächlich nutzen Angreifer diese Mittel, um die privaten Schlüssel der Benutzer zu stehlen und dann alle Vermögenswerte im Wallet zu übertragen.
Typische Fallanalyse
Gefälschter Airdrop-Betrug:
Als das Projekt Wormhole die Airdrop-Ankündigung veröffentlichte, imitierten viele Twitter-Nutzer den offiziellen Account und veröffentlichten gefälschte Airdrop-Links. Der Name der Projektpartei in Abbildung 1 ist @studioFMmilano·1h, die gefälschte Projektpartei in Abbildung 2 ist @studioFMmilano und die echte Projektpartei ist @wormhole.
Wallet-Signatur auslösen:
Gefälschte Website-Signatur:
Nehmen Sie als Beispiel die Website „moonbirds-exclusive.com/phishing“. Bei dieser Website handelt es sich um eine gefälschte Website, die www.proof.xyz/moonbirds nachahmt. Wenn der Benutzer eine Verbindung zum Wallet herstellt und auf „Anfordern“ klickt, wird ein Signaturanwendungsfeld angezeigt. Zu diesem Zeitpunkt zeigt Metamask eine rote Warnung an, aber da der Signaturinhalt im Popup-Fenster nicht klar angezeigt wird, ist es für Benutzer schwierig zu beurteilen, ob es sich um eine Falle handelt. Sobald der Benutzer signiert hat, kann der Betrüger den privaten Schlüssel des Benutzers verwenden, um jede Transaktion zu signieren, einschließlich der Übertragung von Vermögenswerten.
Genehmigungsunterschrift:
Ein Benutzer hat während des Pfandzeitraums eine Genehmigung auf einer Phishing-Website unterzeichnet. Der Benutzer hat sofort nachgesehen und keine ungewöhnliche Autorisierung festgestellt. Allerdings fügte Phish später diese Erlaubnis-Offline-Autorisierungssignatur der Kette hinzu, wodurch ein Autorisierungsrisiko für den Zielwert an der Zieladresse entstand, aber der Zielbenutzer hatte keine Möglichkeit, dies zu erfahren, bis der Zielbenutzer die entsprechenden erneut verpfändeten ETH-Werte vorschlug , und Phish übertrug sie sofort, sodass der Benutzer 2,12 Millionen US-Dollar verlor.
Abbildung 3. Das Konto ist für die Offline-Autorisierungssignatur autorisiert
Schädliche Mehrfachsignatur:
Es gibt viele Phishing-Methoden für bösartige Mehrfachsignaturen. Die häufigsten sind „Angreifer geben absichtlich private Schlüssel preis“ oder „gefälschte Plug-ins/Wallets“.
Der Angreifer gibt absichtlich den privaten Schlüssel preis:
Angreifer geben private Schlüssel in sozialen Medien oder über andere Kanäle preis und nutzen verschiedene Taktiken, um Opfer dazu zu bringen, verschlüsselte Vermögenswerte in ihre Wallets zu übertragen. Nachdem die Opfer festgestellt haben, dass die Vermögenswerte nicht übertragen werden können, übertragen die Angreifer die Wallet-Vermögenswerte.
Gefälschte TokenPocket-Wallet:
Das Opfer sucht in der Suchmaschine nach „TP Wallet“ und lädt „TP Wallet“ nicht von der offiziellen Website herunter. Bei der tatsächlich heruntergeladenen Wallet handelt es sich nicht um eine offizielle Wallet, sondern um eine gefälschte Wallet, die vom Angreifer im Internet veröffentlicht wurde. Nachdem der Benutzer die mnemonische Phrase gebunden hat, wird die Wallet des Opfers automatisch mehrfach signiert, wodurch eine Übertragung von Vermögenswerten unmöglich wird.
Backdoor-Tools:
Das Opfer entdeckte auf Twitter einen Blogger, der behauptete, sich auf WEB-3-„Haarstreicheln“ und verschiedene Skriptentwicklungen spezialisiert zu haben. Das Opfer lud das Skript herunter, das der Blogger kostenlos zur Verfügung stellte ausgeraubt und er hat sein Geld im Wert von 700 USDT verloren.
So verhindern Sie Blockchain-Phishing-Angriffe
Überprüfen Sie Links und URLs
Überprüfen Sie beim Besuch einer Website mit Bezug zu Kryptowährungen immer die Authentizität von Links und URLs. Phishing-Angreifer erstellen häufig gefälschte Websites, die offiziellen Websites sehr ähnlich sind und nur wenige Zeichen ändern. Wenn Sie nicht aufpassen, werden Sie möglicherweise ausgetrickst. Daher besteht der erste Schritt zur Prävention darin:
1. Vermeiden Sie das Klicken auf unbekannte Links: Sie müssen besonders vorsichtig sein, wenn Sie unbekannte E-Mails, Social-Media-Nachrichten oder Links von unbekannten Quellen erhalten, insbesondere solche, die angeblich von „offiziellen“ Kanälen stammen, wie z. B. Werbeinformationen oder Airdrop-Aktivitäten , oder Eingabeaufforderungen zu Kontoproblemen.
2. Verwenden Sie Lesezeichen, um häufig verwendete offizielle Websites zu speichern: Beim Besuch von Kryptowährungsbörsen oder Wallet-Diensten wird empfohlen, direkt im Browser gespeicherte Lesezeichen zu verwenden, anstatt sie über Suchmaschinen abzufragen, um zu verhindern, dass versehentlich Phishing-Websites aufgerufen werden.
Multi-Faktor-Authentifizierung (2FA)
Die Multi-Faktor-Authentifizierung (2FA) ist eine der wichtigen Maßnahmen zur Erhöhung der Kontosicherheit. Bei der Anmeldung bei einem Konto sind zusätzlich zum Passwort weitere Verifizierungsschritte erforderlich, in der Regel durch Textnachrichten auf dem Mobiltelefon oder einen dynamischen Verifizierungscode, der von einer Authentifizierungsanwendung zur Bestätigung der Identität generiert wird.
1. 2FA aktivieren: Stellen Sie sicher, dass Sie diese Funktion für alle Kryptowährungskonten aktivieren, die 2FA unterstützen, einschließlich Börsenkonten, Wallet-Anwendungen usw. Selbst wenn ein Angreifer an Ihr Passwort gelangt, kann er sich ohne einen 2FA-Bestätigungscode nicht bei Ihrem Konto anmelden.
2. Verwenden Sie Authentifizierungsanwendungen: Versuchen Sie, Authentifizierungsanwendungen wie Google Authenticator und Authy anstelle der SMS-Verifizierung zu verwenden, da SMS-Nachrichten möglicherweise auf SIM-Karten-Hijacking-Angriffe stoßen können.
3. Aktualisieren Sie 2FA-Geräte regelmäßig: Stellen Sie sicher, dass das von Ihnen gebundene Mobiltelefon oder Verifizierungsgerät auf dem neuesten Stand ist. Wenn Ihr Telefon verloren geht oder ersetzt wird, aktualisieren Sie Ihr 2FA-Gerät umgehend, um Sicherheitsrisiken zu vermeiden.
Schulung zum Sicherheitsbewusstsein
Die Methoden von Blockchain-Phishing-Angriffen entwickeln sich ständig weiter, daher ist es notwendig, weiter zu lernen und das Sicherheitsbewusstsein aufrechtzuerhalten.
1. Verfolgen Sie die Sicherheits-Community und Neuigkeiten: Verfolgen Sie regelmäßig Neuigkeiten, Blogs und Community-Foren zum Thema Blockchain- und Kryptowährungssicherheit, um die neuesten Sicherheitsinformationen und Warnungen zu erhalten und nicht in neue Phishing-Fallen zu tappen.
2. Seien Sie wachsam: Machen Sie es sich zur Gewohnheit, den Vorgangsinhalt vor allen sensiblen Vorgängen (z. B. autorisierten Signaturen, Transaktionsübertragungen) sorgfältig zu prüfen, und verbinden Sie keine Wallets oder führen Sie Signaturvorgänge auf unbekannten Websites oder Plattformen nach Belieben durch.
Wallet-Sicherheitsmanagement
Wallet ist das zentrale Speichertool für Kryptowährungen. Die ordnungsgemäße Verwaltung der Wallet-Sicherheit spielt eine entscheidende Rolle bei der Verhinderung von Phishing-Angriffen.
1. Geben Sie die Mnemonik-Phrase oder den privaten Schlüssel nicht preis: Die Mnemonik-Phrase und der private Schlüssel sind der Schlüssel zur Kontrolle der Brieftasche. Sobald sie durchgesickert sind, kann der Angreifer direkt an die Vermögenswerte in der Brieftasche gelangen. Daher müssen die mnemonische Phrase und der private Schlüssel sicher aufbewahrt werden, niemals an Dritte weitergegeben und niemals auf einem mit dem Internet verbundenen Gerät gespeichert werden.
2. Verwenden Sie Cold Wallets, um große Mengen an Vermögenswerten zu speichern: Unter Cold Wallets versteht man Wallets, die nicht mit dem Internet verbunden sind, in der Regel Hardware-Wallets, und eine höhere Sicherheit bieten. Bei großen Vermögenswerten, die über einen längeren Zeitraum gehalten werden, empfiehlt es sich, diese in Cold Wallets aufzubewahren, um Online-Angriffen vorzubeugen.
3. Hot Wallets rational nutzen: Hot Wallets sind mit dem Internet verbundene Wallets, die für tägliche Transaktionen praktisch sind, aber eine relativ geringe Sicherheit aufweisen. Es wird empfohlen, einen kleinen Betrag der täglichen Transaktionsgelder in ein Hot Wallet zu legen und zu versuchen, den Großteil des Geldes in einem Cold Wallet aufzubewahren, um Risiken zu verteilen.
4. Sichern Sie die Wallet-Daten regelmäßig: Stellen Sie sicher, dass eine zuverlässige Sicherung der Wallet-Mnemonikwörter, privaten Schlüssel oder Wiederherstellungspasswörter und anderer Informationen vorhanden ist. Es wird empfohlen, Sicherungsinformationen an einem sicheren Offline-Ort zu speichern, z. B. auf einem verschlüsselten USB-Gerät oder auf physischem Papier.
Abschluss
In der Welt der Blockchain kann sich jeder Benutzervorgang direkt auf die Sicherheit von Vermögenswerten auswirken. Mit der Entwicklung der Technologie werden auch die Phishing-Angriffsmethoden ständig verbessert. Daher müssen wir stets äußerst wachsam bleiben, unser Selbstschutzbewusstsein verbessern und vermeiden, in Betrügereien zu verfallen. Ganz gleich, ob es um die Überprüfung von Links, den Einsatz von Sicherheitsgeräten, die Aktivierung der Multi-Faktor-Authentifizierung oder die ordnungsgemäße Verwaltung Ihres Wallets geht – diese kleinen Schritte können eine solide Verteidigungslinie für unsere Vermögenswerte aufbauen.
Seien Sie sehr vorsichtig und handeln Sie nicht zu voreilig!
Chainyuan Technology ist ein Unternehmen, das sich auf Blockchain-Sicherheit konzentriert. Unsere Kernarbeit umfasst Blockchain-Sicherheitsforschung, On-Chain-Datenanalyse sowie die Behebung von Schwachstellen in Vermögenswerten und Verträgen und hat viele gestohlene digitale Vermögenswerte für Einzelpersonen und Institutionen erfolgreich wiederhergestellt. Gleichzeitig sind wir bestrebt, Industrieorganisationen Berichte zur Projektsicherheitsanalyse, Rückverfolgbarkeit in der Kette und technische Beratungs-/Unterstützungsdienste bereitzustellen.
Vielen Dank fürs Lesen. Wir werden uns weiterhin auf Blockchain-Sicherheitsinhalte konzentrieren und diese teilen.