Hash de este artículo (SHA1):418ea6548326a5f3b9496aa7912935fec8ca925c
Número: Chainyuan Technology PandaLYSecurity Knowledge No.031
¿Qué es un ataque de phishing blockchain?
Quizás esté familiarizado con la palabra "phishing". Originalmente se refería a métodos de fraude en línea que inducen a las personas a hacer clic en enlaces y luego obtener información personal a través de sitios web o correos electrónicos falsos. Ahora, con la popularidad de blockchain y las criptomonedas, este tipo de "phishing" también ha evolucionado hacia el mundo blockchain.
La esencia de los ataques de phishing de blockchain es similar al phishing tradicional. El atacante se hace pasar por alguien en quien usted confía, como un sitio web de billetera, una plataforma comercial o incluso un proyecto en el que ha participado. Utilizarán enlaces falsos, cuentas de redes sociales falsas o contratos inteligentes que parecen formales pero que en realidad son lagunas jurídicas para incitarlo a ingresar su clave privada, frase mnemotécnica o firmar una transacción maliciosa. ¿El resultado? Sus criptoactivos fueron transferidos sin que usted se diera cuenta.
Por ejemplo, imagina que ves un evento de “lanzamiento aéreo oficial” en una plataforma social con un enlace que parece un sitio web de billetera con el que estás familiarizado. Haces clic e ingresas la frase mnemotécnica, y luego descubres que se ha acabado todo el dinero que contiene. Este es un escenario típico de ataque de phishing en blockchain.
Los ataques de phishing son particularmente astutos porque se dirigen específicamente a usuarios que no están muy familiarizados con la tecnología blockchain y no saben lo suficiente sobre las medidas de protección. Muchas personas caen en la trampa del atacante por un momento de negligencia o por buscar pequeñas ventajas. Por ello, debemos permanecer alerta ante estos métodos de ataque y tomar precauciones en todo momento.
Entonces, ¿cómo identificar los ataques de phishing? Esto tiene que comenzar con sus principios.
Cómo funcionan los ataques de phishing
Hay cuatro métodos principales de ataques de phishing: lanzamientos aéreos falsos, firmas inducidas, herramientas de puerta trasera y frases mnemotécnicas.
Lanzamiento aéreo falso:
Los atacantes utilizan generadores de direcciones para generar direcciones que son muy similares a las direcciones de billetera de los usuarios (generalmente los primeros o los últimos dígitos son iguales) y luego transfieren pequeñas cantidades de fondos (como 0,001 USDT) a estas direcciones varias veces o atacan. USDT falso implementado por el propio usuario. Esto llevó a los usuarios a creer erróneamente que estas direcciones eran sus direcciones de recepción normales anteriores. Cuando los usuarios realizan nuevas transferencias, es posible que se copien los registros históricos de transacciones y que los fondos se transfieran por error a la dirección del atacante, lo que resultará en la pérdida de activos.
Firma inducida:
Los atacantes crean páginas web falsas, como sitios web falsos de proyectos conocidos, enlaces de lanzamiento aéreo falsos o plataformas de compras, para inducir a los usuarios a conectarse a billeteras y realizar operaciones de firma, robando así activos.
Los ataques de firmas inducidos comunes incluyen los siguientes:
transferencia directa
El atacante disfraza la operación de firma como funciones como recibir airdrops y conexiones de billetera. La operación real es transferir los activos del usuario a la dirección del atacante.
Autorizar transferencia de token
Los usuarios firman transacciones en sitios web de phishing, como la llamada de aprobación de ERC20 o setApproveForAll de NFT, y los atacantes pueden transferir los activos del usuario a voluntad después de haber sido autorizados.
Phishing de autorización de dirección en blanco
El phishing de autorización de dirección en blanco es una versión mejorada del phishing de autorización. Cuando el usuario hace clic en el enlace de phishing para obtener autorización (generalmente aprobar o aumentar la asignación), la dirección del gastador es una dirección vacía sin ningún registro en la cadena. Si la víctima firma la autorización, la dirección vacía se implementará en un contrato a través de create2. método y los fondos de la víctima transferidos. El uso de una dirección en blanco para la autorización puede evitar que las herramientas de detección marquen la dirección de autorización, evitando así los controles de seguridad de algunas billeteras.
Compre pesca NFT por cero yuanes
Engañar al usuario para que firme la orden de venta de NFT. Una vez que el usuario firma esta orden, el atacante puede comprar el NFT del usuario directamente a través de OpenSea, pero el precio de compra lo determina el atacante. El atacante no puede Los NFT de los usuarios se pueden "comprar" gastando cualquier cantidad de dinero.
eth_sign cheque en blanco (firma ciega)
eth_sign también se denomina firma ciega. Usar eth_sign para firmar cualquier valor hash equivale a escribir un cheque en blanco al atacante, de modo que el atacante pueda construir cualquier transacción personalizada para robar los activos del usuario.
permiso de pesca
Permit es una función extendida del protocolo erc20 que permite a los usuarios completar operaciones de autorización a través de mensajes firmados y enviar los resultados de la firma a otra billetera, que puede completar operaciones de transferencia de activos. Al inducir a los usuarios a firmar la autorización de permiso ERC20, los atacantes pueden obtener permiso para transferir tokens de usuario.
firma personal_sign
personal_sign se utiliza normalmente para firmar contenido legible por humanos, pero el contenido firmado también se puede procesar en un valor hash.
Por ejemplo: el mensaje 0x62dc3e93b0f40fd8ee6bf3b9b1f15264040c3b1782a24a345b7cb93c9dafb7d8 es el resultado de que keccak256 aplique hash al texto sin formato de destino. Los usuarios que sufren phishing no pueden entender el contenido de la firma. Si firman, serán atacados por ataques de phishing.
Multifirma maliciosa:
La intención original de la firma múltiple es hacer que la billetera sea más segura y permitir que múltiples usuarios administren y controlen conjuntamente los derechos de uso de la misma billetera.
Tomando TRON como ejemplo, la firma múltiple de TRON se divide en Propietario (la máxima autoridad, que puede gestionar los permisos y realizar todas las operaciones), Testigo (participar en la gestión de la votación) y Activo (utilizado para las operaciones diarias, como transferir dinero o llamar). contratos). Al crear una nueva cuenta, la cuenta La dirección tiene permisos de Propietario de forma predeterminada.
Después de que el atacante obtiene la clave privada del usuario a través de una página web/aplicación de phishing, el atacante puede transferir o autorizar al Propietario/Activo a su propia dirección. Tenga en cuenta que la transferencia elimina los permisos del Propietario del usuario, mientras que la autorización no elimina los permisos del usuario. Pase lo que pase, el usuario pierde el derecho a transferir los activos de la billetera.
Dado que los usuarios aún pueden transferir fondos, el atacante puede "jugar un juego largo" y no transferir los activos de la víctima de inmediato hasta que la víctima descubra que la billetera ha sido multifirmada maliciosamente y ya no transfiere fondos.
Herramientas de puerta trasera:
Disfrazados de herramientas científicas
Las "herramientas científicas" generalmente se refieren a herramientas auxiliares de transacciones utilizadas por algunos usuarios avanzados (los llamados "científicos") en el ecosistema blockchain, como para acuñar rápidamente NFT en lotes, enviar tokens en lotes o ejecutar rápidamente algunas tareas complejas. -operaciones en cadena, etc. Estas herramientas son populares entre los usuarios del mercado primario porque pueden mejorar en gran medida la eficiencia operativa.
Sin embargo, los atacantes se harán pasar por los desarrolladores de dichas herramientas y lanzarán herramientas que parecen legítimas, pero que en realidad tienen puertas traseras integradas dentro de las herramientas. Estos programas de puerta trasera pueden obtener en secreto claves privadas o frases mnemotécnicas cuando los usuarios usan herramientas, o controlar directamente la billetera del usuario para enviar tokens a la billetera designada por el atacante. El atacante luego puede controlar la billetera del usuario a través de esta información confidencial.
complemento de navegador falso
A muchos usuarios les gusta utilizar complementos de navegador (como MetaMask, Token Pocket) para realizar transacciones de blockchain de manera conveniente. Los atacantes pueden inducir a los usuarios a instalar complementos falsos a través de sitios web de phishing. Una vez instalados estos complementos, registrarán en secreto el comportamiento de las transacciones de los usuarios, robarán claves privadas y realizarán firmas múltiples.
Acelerador de comercio o herramienta de optimización
Estas herramientas suelen pretender ayudar a los usuarios a acelerar la confirmación de transacciones u optimizar las operaciones en cadena, y los usuarios a menudo necesitan introducir claves privadas o firmas para utilizar estas funciones. Los atacantes inducen a los usuarios a ingresar información clave durante el uso y la registran en secreto.
Proporcione clave privada/frase mnemotécnica:
Los atacantes crearán algunos sitios web de transacciones falsos o subprogramas de Telegram (como el falso Pepebot), exigirán a los usuarios que proporcionen claves privadas o palabras mnemotécnicas para vincular billeteras y engañarán a los usuarios para que realicen transacciones de "perros locales" u otras operaciones. De hecho, los atacantes utilizan estos medios para robar las claves privadas de los usuarios y luego transferir todos los activos de la billetera.
Análisis de casos típicos
Estafa de lanzamiento aéreo falso:
Cuando el proyecto Wormhole publicó el anuncio del lanzamiento aéreo, muchos Twitter imitaron la cuenta oficial y publicaron enlaces falsos de lanzamiento aéreo. El nombre de la fiesta del proyecto en la Figura 1 es @studioFMmilano·1h, la fiesta del proyecto falso en la Figura 2 es @studioFMmilano y la fiesta del proyecto real es @wormhole.
Firma de billetera inductora:
Firma de sitio web falso:
Tomemos como ejemplo el sitio web moonbirds-exclusive.com/phishing. Este sitio web es un sitio web falso que imita www.proof.xyz/moonbirds. Cuando el usuario se conecta a la billetera y hace clic en Reclamar, aparecerá un cuadro de solicitud de firma. En este momento, Metamask mostrará una advertencia roja, pero dado que el contenido de la firma no se muestra claramente en la ventana emergente, es difícil para los usuarios juzgar si se trata de una trampa. Una vez que el usuario firma, el estafador puede usar la clave privada del usuario para firmar cualquier transacción, incluida la transferencia de activos.
Firma del permiso:
Un usuario firmó un Permiso en un sitio web de phishing durante el período de compromiso. El usuario revisó inmediatamente y no encontró ninguna autorización anormal. Sin embargo, Phish luego agregó este permiso de firma de autorización fuera de línea a la cadena, abriendo una exposición al riesgo de autorización para el activo objetivo en la dirección objetivo, pero el usuario objetivo no tenía forma de saberlo hasta que el usuario objetivo propuso los activos ETH vueltos a prometer relevantes. , y Phish los transfirió inmediatamente, por lo que el usuario perdió 2,12 millones de dólares.
Figura 3. La cuenta está autorizada para la firma de autorización fuera de línea
Multifirma maliciosa:
Existen muchos métodos de phishing para firmas múltiples maliciosas, los más comunes son "los atacantes filtran deliberadamente claves privadas" o "complementos/billeteras falsas".
El atacante filtra deliberadamente la clave privada:
Los atacantes filtran claves privadas en las redes sociales o a través de otros canales, y utilizan diversas tácticas para engañar a las víctimas para que transfieran activos cifrados a sus billeteras. Una vez que las víctimas descubren que los activos no se pueden transferir, los atacantes transfieren los activos de la billetera.
Billetera TokenPocket falsa:
La víctima busca "TP wallet" en el motor de búsqueda y no descarga "TP wallet" del sitio web oficial. La billetera descargada real no es una billetera oficial, sino una billetera falsa publicada por el atacante en Internet. Después de que el usuario vincula la frase mnemotécnica, la billetera de la víctima automáticamente tendrá múltiples firmas, lo que imposibilitará la transferencia de activos.
Herramientas de puerta trasera:
La víctima descubrió a un bloguero en Twitter que afirmaba especializarse en "acariciar el cabello" WEB-3 y desarrollar varios scripts. La víctima descargó y ejecutó el script que el bloguero regaló. Como resultado, descubrió que su billetera había sido. Le robaron y perdió su dinero por valor de 700 USDT.
Cómo prevenir ataques de phishing de blockchain
Verificar enlaces y URL
Cuando visite cualquier sitio web relacionado con criptomonedas, verifique siempre la autenticidad de los enlaces y URL. Los atacantes de phishing suelen crear sitios web falsos que son muy similares al sitio web oficial y modifican sólo unos pocos caracteres. Si no tiene cuidado, es posible que le engañen. Por tanto, el primer paso en la prevención es:
1. Evite hacer clic en enlaces desconocidos: debe tener mucho cuidado con los correos electrónicos, mensajes de redes sociales o enlaces de fuentes desconocidas que reciba, especialmente aquellos que afirman ser de canales "oficiales", como información promocional o actividades de lanzamiento aéreo. o mensajes de problemas de cuenta.
2. Utilice marcadores para guardar sitios web oficiales de uso común: al visitar intercambios de criptomonedas o servicios de billetera, se recomienda utilizar directamente marcadores guardados en el navegador en lugar de realizar consultas a través de motores de búsqueda para evitar ingresar accidentalmente a sitios web de phishing.
Autenticación multifactor (2FA)
La autenticación multifactor (2FA) es una de las medidas importantes para aumentar la seguridad de la cuenta. Al iniciar sesión en una cuenta, además de la contraseña, se requieren pasos de verificación adicionales, generalmente a través de mensajes de texto del teléfono móvil o un código de verificación dinámico generado por una aplicación de autenticación para confirmar la identidad.
1. Active 2FA: asegúrese de activar esta función para todas las cuentas de criptomonedas que admitan 2FA, incluidas cuentas de intercambio, aplicaciones de billetera, etc. Incluso si un atacante obtiene su contraseña, aún no podrá iniciar sesión en su cuenta sin un código de verificación 2FA.
2. Utilice aplicaciones de autenticación: intente utilizar aplicaciones de autenticación como Google Authenticator y Authy en lugar de verificación por SMS, porque los mensajes SMS pueden sufrir ataques de secuestro de la tarjeta SIM.
3. Actualice los dispositivos 2FA con regularidad: asegúrese de que el teléfono móvil o el dispositivo de verificación que vincule esté actualizado. Si pierde o reemplaza su teléfono, actualice su dispositivo 2FA de inmediato para evitar riesgos de seguridad.
Capacitación en concientización sobre seguridad.
Los métodos de ataques de phishing de blockchain evolucionan constantemente, por lo que es necesario seguir aprendiendo y manteniendo la conciencia de seguridad.
1. Preste atención a las comunidades y noticias de seguridad: siga periódicamente noticias, blogs y foros comunitarios relacionados con la seguridad de blockchain y criptomonedas para obtener la información y advertencias de seguridad más recientes para evitar caer en nuevas trampas de phishing.
2. Esté atento: desarrolle el hábito de verificar cuidadosamente el contenido de la operación antes de cualquier operación sensible (como firmas autorizadas, transferencias de transacciones) y no conecte billeteras ni realice operaciones de firma en sitios web o plataformas desconocidos a voluntad.
Gestión de seguridad de billetera
Wallet es la principal herramienta de almacenamiento de criptomonedas. La gestión adecuada de la seguridad de la billetera juega un papel vital en la prevención de ataques de phishing.
1. No filtre la frase mnemotécnica o la clave privada: la frase mnemotécnica y la clave privada son la clave para controlar la billetera. Una vez filtradas, el atacante puede obtener directamente los activos en la billetera. Por lo tanto, la frase mnemotécnica y la clave privada deben mantenerse seguras y nunca revelarse a nadie ni almacenarse en un dispositivo conectado a Internet.
2. Utilice billeteras frías para almacenar grandes cantidades de activos: las billeteras frías se refieren a billeteras que no están conectadas a Internet, generalmente billeteras de hardware, y tienen mayor seguridad. Para grandes cantidades de activos mantenidos durante mucho tiempo, se recomienda almacenarlos en billeteras frías para evitar ataques en línea.
3. Utilice las billeteras activas de manera racional: las billeteras activas son billeteras conectadas a Internet, que son convenientes para las transacciones diarias, pero tienen una seguridad relativamente baja. Se recomienda colocar una pequeña cantidad de fondos de transacciones diarias en una billetera activa y tratar de almacenar la mayoría de los fondos en una billetera fría para distribuir los riesgos.
4. Haga una copia de seguridad de los datos de la billetera con regularidad: asegúrese de que haya una copia de seguridad confiable de las palabras mnemotécnicas de la billetera, claves privadas o contraseñas de recuperación y otra información. Se recomienda almacenar la información de respaldo en un lugar seguro y fuera de línea, como un dispositivo USB cifrado o papel físico.
Conclusión
En el mundo de blockchain, cada operación del usuario puede afectar directamente la seguridad de los activos. Con el desarrollo de la tecnología, los métodos de ataque de phishing también se actualizan constantemente. Por lo tanto, debemos estar siempre muy atentos, mejorar nuestra conciencia de autoprotección y evitar caer en estafas. Ya sea verificar enlaces, usar dispositivos de seguridad, activar la autenticación multifactor o administrar adecuadamente su billetera, estos pequeños pasos pueden construir una sólida línea de defensa para nuestros activos.
¡Ten mucho cuidado y no actúes demasiado apresuradamente!
Chainyuan Technology es una empresa que se centra en la seguridad blockchain. Nuestro trabajo principal incluye investigación de seguridad de blockchain, análisis de datos en cadena y rescate de vulnerabilidades de activos y contratos, y hemos recuperado con éxito muchos activos digitales robados para individuos e instituciones. Al mismo tiempo, estamos comprometidos a proporcionar informes de análisis de seguridad de proyectos, trazabilidad en cadena y servicios de soporte/consultoría técnica a organizaciones industriales.
Gracias por leer, continuaremos enfocándonos y compartiendo contenido de seguridad blockchain.