月亮链 月亮链
Ctrl+D收藏月亮链
首页 > Pol币 > 正文

USD:链上地址投 让你防不胜防_Stratis

作者:

时间:1900/1/1 0:00:00

Abstract:

近一周,0U 转账的链上地址投攻击愈演愈烈,截至12月2日,已经有超过37W地址被投,总计92个受害地址,被盗取金额超过164W USD。

本篇文章,X-explore 对攻击态势进行了全面分析,对攻击者进行了链上溯源,同时也深入分析了攻击的实现方式。

我们呼吁钱包APP加强风险提示,普通用户在转账时谨防此类攻击。因为我们注意到UTC时间11月2日10点38分,有一位链上用户损失惨重,近100万美金因投而被转到黑客地址。

本文由 X-explore 与吴说区块链联合发布。

近期,我们的链上风险监控发现ETH、BSC链上频繁出现 0u 转账现象,以下图bsc链的交易数据为例,受害者A发出一笔正常交易将452 BSC-USD发给B后,会收到C转来的0 BSC-USD,同时,在同一笔交易hash内用户A自己也会不受控制的给C转0 BSC-USD(实现了“一来一回”的0 BSC-USD转账操作)

在社区中,很多用户不知所以然,担心自己的钱包私钥已经泄漏,攻击者正在窃取资产。

其实遇到这种情况的用户不用紧张,大家的资产是安全的,私钥并没有泄漏,只需要仔细确认地址小心别转错账就没事,黑客的手法很简单:

OXT研究人员通过链上分析验证了灰度的比特币信托持有的BTC数量:金色财经报道,尽管Grayscale未公开,但OXT研究人员Ergo解释称,已经采取措施,根据公共信息和区块链取证来识别可能的GBTC地址和余额。其中发现,持有317,705?BTC的432个地址可能是GBTC托管地址。

此外,在此分析中,使用额外的onchain取证来确认GBTC在Coinbase托管处持有的大约633K?BTC余额。Ergo总结指出,在发现前50%的比特币与Grayscale的BTC相关联后,该团队扫描区块链以寻找符合第1部分中发现的地址的其他地址。[2022/11/25 8:06:40]

在链上监控几个稳定币的转账信息,捕获受害者地址A正常发送给用户B的转账信息。

精心构造与用户地址B首尾一致的黑客地址C,使受害者A与黑客地址C互相转帐0U。(这里攻击者可以使用靓号生成工具 Profanity,在几秒内生成与用户地址前后7位相同的地址)

受害者A下次转账时粗心大意直接复制历史交易的地址时,很容易错误复制到黑客准备的地址C,从而将资金转错账

我们认为这种攻击是链上地址投攻击:

首先,黑客让自己的地址出现在用户交易历史中,诱导用户误认为是可信的交互地址。

以太坊链上巨鲸“Gimli”买入7500亿枚SHIB:金色财经报道,根据 WhaleStats数据,以太坊链上最大的投资者之一“Gimli”买入三笔巨额Shiba,分别是:250,000,000,001、249,998,999,999 和 250,000,999,999 Shiba Inu,总计近7500亿个。大约花费了840万美元。[2022/7/9 2:01:56]

此外,黑客构造出的地址与用户可信地址首尾相同,被用户当作下次交易的对象。 链上投很容易使用户产生资损,链上用户需共同警惕!

截止12月2日,在BSC与ETH链上的攻击次数分别超过32万次和5万次,受攻击影响的独立地址数分别超过16万个以及4万个。

从趋势上看,BSC链自从11月22日开始爆发,ETH链则从11月27日开始爆发,两条链的攻击规模均愈演愈烈。

此外,可以看到攻击发生时间有显著规律性,在每天UTC时间17点到0点攻击量级显著减少。疑似攻击者处于亚洲时区。

截止12月2日,总共有 92 个独立地址受,累计被金额达到 164万USD。伴随着攻击者攻击目标的增加,可以预见,近期还会不断有大量用户被。

此外,我们对攻击者的攻击成本进行了分析,目前总成本接近2.9W USD(50 BNB + 11 ETH),攻击者对BSC-USD和USDT非常偏爱,与稳定币的币种流通量和用户持有量有关

链上期权协议Hegic上线测试版:基于以太坊的DeFi项目Hegic已上线公开测试版,这是一个链上的期权交易协议,可以用来对ETH的价格进行保护,但是目前公测版本未经过审计,存在风险。该项目由匿名人士发起,白皮书中自称为 Molly Wintermute。[2020/3/2]

我们对其中一个攻击者进行了链上溯源追踪,与两个主流中心化交易所关联,其完整过程如下图所示:

其攻击资金的来源地址与OKX.com存在关联,攻击者通过使用Transit.Finance跨链桥将原始攻击资金从TRON链转移到BSC链上。

其盗取资金最终归集到Huobi.com,攻击者依然使用Transit.Finance跨链桥将盗取资金转移到TRON链上。

让我们进一步展开,针对盗取资金的流向进行溯源。

首先,受害者地址0xe17c2b2b40574d229a251fe3776e6da2cc46aa5e向攻击者地址0x720c1cfe1bfc38b3b21c20961262ad1e095a6867分两次,共转账1300U。

接着,攻击者地址将资金归集到地址0x89e692c1b31e7f03b7b9cbb1c7ab7872ddeadd49

动态 | 目前约有14家规模较大的矿工在比特币区块链上挖矿:根据 Blockchain.com 的比特币算力分布数据显示,目前约有14家规模较大的矿工在比特币区块链上挖矿,未知矿工占比大约为 23%。而在比特币现金区块链上,有大约 13 家规模较大的矿工,未知矿工占比大约为 10%。[2019/3/7]

攻击者在0x89e692c1b31e7f03b7b9cbb1c7ab7872ddeadd49地址上进行了资金的跨链转移,在txhash为0x72905bd839f682f795946d285500143ee7606e9690df2ad32968e878ad290d9f的交易中,如下图所示,将10561 USDT通过Transit.Finance的合约(0xb45a2dda996c32e93b8c47098e90ed0e7ab18e39)进行了Cross操作。在这笔交易的Event Logs中,可以看到资金去向了TRON链的USDT,对应地址是TLUKBw37BVWDZdhbGco2ZEfdMd5Cit8TMD,对应TRON链上的交易hash是:716507136ad28717ffd5f2f437af753ff96d344d2bcbe83f24d801db49f5a884

最终,攻击者将 TLUKBw37BVWDZdhbGco2ZEfdMd5Cit8TMD 地址上的充值进了Huobi交易所。充值的入金地址分别是:TPtzsrCAG61QMwig3jZV8Px7Rd1WZVnRXG, TDp7r3S1hJeiNfH1CvCVXeY8notY47nagJ

动态 | 市值前100的代币中 有96个建立在以太坊区块链上:据ConsenSys最近发布的报告,自6月1日以来,以太坊已处理了超过1亿笔交易,本年至今达到3.53亿笔交易;平均每日交易数量约为610000;目前有4900万个交易地址。此外,市值前100个代币中的96%、前1000个代币中的89%都建立在以太坊区块链上;区块链生态系统中,2286个dapps中有2175个建立在以太坊区块链上。[2018/12/17]

攻击者案例1:

EOA: 0xBAA1451bE8C33998CD43F375c2e67E79c1a104AD

CA: 0x7ceBeb6035B231A73CB5Fb4119c2FbBC04Ec6fD1

攻击者案例2:

EOA: 0x616384a80f32aDb65243522971aE2ba7664B62E3

CA: 0x6f00Ed594A6AceEf0E1A6FE023Ecd5Eb96c8665a

针对bsc链上的token攻击主要包含BSC-USD、BUSD、USDC、ETH等,大部分是通过攻击合约批量调用transferFrom()函数,也有手动调用transfer()函数的情况和针对主币的情况,原理基本一致。以下用 BSC-USD 的一个攻击合约举例

transferFrom()

在攻击者调用攻击合约的一笔交易中,攻击合约只调用了 BSC-USD 的 transferFrom() 函数,通过对参数填充sender、recipient、amount可以实现操控任意地址间的0 USD转帐,同时产生授权Approval()与转账Transfer()的事件

Blocksec phalcon交易信息

BSC-USD 的合约源码显示transferFrom()函数顺序调用了转账_transfer()与授权_approve()函数

_transfer()函数的作用很简单,首先排除交易中的全零地址,然后给发送方减钱,接受者加钱,最后记录转账事件。这里用到的加减函数add()/sub()是OpenZeppelin的safemath库,溢出会报错回退

_approve()函数同样排除全零地址,修改授权值,这个函数的重点在transferFrom中调用approve的参数计算里,用到了_allowances[sender][_msgSender()].sub(amount, "BEP20: transfer amount exceeds allowance") ,将已有的授权token数量减去转账数量,剩余的授权数量放入approve重新授权。这里用到的减函数sub是OpenZeppelin的safemath库,溢出会报错回退;但是如果整个流程的amount参数为零,没有任何检测机制能拒绝这笔交易,也就导致了链上大量的 0U 转账能正常发送,而黑客只需要付出手续费即可收获不菲的回报。

transfer()

调用transfer()函数的攻击方式原理一致,整个流程只有加减的溢出检测,没有对零转账的过滤。

BNB

在token的攻击追溯过程中,我们还发现了通过0 BNB转账的首尾相同钓鱼攻击,原理与token钓鱼类似,构造首尾相同的地址进行钓鱼

攻击交易:https://bscscan.com/tx/0x5ae6a7b8e3ee1f342153c1992ef9170788e024c4142941590857d773c63ceeb3

构造地址后迷惑性非常高,一不小心就转错到黑客地址上

正常用户地址:0x69cb60065ddd0197e0837fac61f8de8e186c2a73

黑客构造地址:0x69c22da7a26a322ace4098cba637b39fa0a42a73

目前X-explore可针对此类攻击行为进行实时的链上监测,为了避免危害进一步加剧,我们建议:

钱包App通过颜色或其他提示帮助用户区分地址,并做好用户提醒;

用户在转账前仔细区分历史交易地址,逐字确认,最好自己存一份地址簿。

与此同时,我们在 Dune 中开源了此次攻击事件的态势感知大图。

https://dune.com/opang/first-and-last-address-construction

敬请关注我们。

Mirror: https://mirror.xyz/x-explore.eth

Twitter: https://twitter.com/x_explore_eth

来源:bress

Bress

个人专栏

阅读更多

金色早8点

金色财经

去中心化金融社区

CertiK中文社区

虎嗅科技

区块律动BlockBeats

念青

深潮TechFlow

Odaily星球日报

腾讯研究院

标签:USDBSCTRARANCKUSD价格Stabilize BSCStratisCRANE币

Pol币热门资讯
NFT:一文了解音乐NFT:生态、项目和挑战_ETH

作者:CURATED X来源:Global Coin Research非同质化代币(NFT)是区块链上的一种独特的数字资产,可以购买或出售.

1900/1/1 0:00:00
CAN:Canto第3季线上黑客松13个新项目一览_TCAN

原文来源:Canto Online Hackathon原文编译:0x711 & czgsws,BlockBeatsCanto 第三季线上黑客松已于 12 月 1 日正式启动.

1900/1/1 0:00:00
STA:StarkNet 治理第一阶段_ARK

StarkNet 基金会宣布 StarkNet 在去中心化方面开启下一步计划,投票决策协议变更.

1900/1/1 0:00:00
加密货币:加密行业应吸取2008年的教训_ripple币币值稳定

结合20多年的金融规划工作经验,我确信政府对银行业、投资业和保险业的监督是必要的。我知道许多人都觉得政府应该减少对大众生活的干预,但我想说这在金融世界是不可行的.

1900/1/1 0:00:00
人工智能:如何用AIGC撰写研报? 释放ChatGPT3的力量_NAI

原标题:如何用AIGC撰写研报? 释放ChatGPT3的力量引入:如何引导Chat GPT产出研究报告本周末,OpenAI刚发布的Chat GPT3爆火科技圈.

1900/1/1 0:00:00
比特币:币圈第一起民事转刑事案件 也是一出精彩的代投大戏_sats币万倍币吗

近日,上海市虹口区人民法院审理了一起关于虚拟货币纠纷的民事案件,事关波卡币(dot),简单来说就是圈内常见的代投纠纷,值得大家重点关注的是.

1900/1/1 0:00:00