火星链 火星链
Ctrl+D收藏火星链
首页 > 火必 > 正文

慢雾:空白支票eth_sign钓鱼分析

作者:

时间:1900/1/1 0:00:00

文/Lisa&Kong

近期,我们发现多起关于eth_sign签名的钓鱼事件。

钓鱼网站1:https://moonbirds-exclusive.com/

当我们连接钱包后并点击Claim后,弹出一个签名申请框,同时MetaMask显示了一个红色提醒警告,而光从这个弹窗上无法辨别要求签名的到底是什么内容。

其实这是一种非常危险的签名类型,基本上就是以太坊的“空白支票”。通过这个钓鱼,子可以使用您的私钥签署任何交易。

除此之外,还有一种钓鱼:在你拒绝上述的sign后,它会在你的MetaMask自动显示另一个签名框,趁你没注意就到你的签名。而看看签名内容,使用了SetApprovalForAll方法,同时Approvedasset的目标显示为AllofyourNFT,也就是说,一旦你签名,子就可以毫无节制地盗走你的所有NFT。如下:

慢雾:CoinsPaid、Atomic与Alphapo攻击者或均为朝鲜黑客组织Lazarus:7月26日消息,慢雾发推称,CoinsPaid、Atomic与Alphapo攻击者或均为朝鲜黑客组织Lazarus Group。慢雾表示,TGGMvM开头地址收到了与Alphapo事件有关TJF7md开头地址转入的近1.2亿枚TRX,而TGGMvM开头地址在7月22日时还收到了通过TNMW5i开头和TJ6k7a开头地址转入的来自Coinspaid热钱包的资金。而TNMW5i开头地址则曾收到了来自Atomic攻击者使用地址的资金。[2023/7/26 16:00:16]

钓鱼网站2:https://dooooodles.org/

慢雾:LendHub疑似被攻击损失近600万美金,1100枚ETH已转移到Tornado Cash:金色财经报道,据慢雾区情报,HECO生态跨链借贷平台LendHub疑似被攻击,主要黑客获利地址为0x9d01..ab03。黑客于1月12日从Tornado.Cash接收100ETH后,将部分资金跨链到Heco链展开攻击后获利,后使用多个平台(如TransitSwap、Multichain、Uniswap、Curve和OptimismBridge)跨链或兑换被盗资金。截至目前,黑客已分11笔共转1,100ETH到Tornado.Cash。被攻击的具体原因尚待分析,慢雾安全团队将持续跟进此事件。[2023/1/13 11:10:43]

我们使用MistTrack来分析下子地址:

0xa594f48e80ffc8240f2f28d375fe4ca5379babc7

慢雾:Transit Swap黑客攻击交易被抢跑,套利机器人获利超100万美元:10月1日消息,据慢雾安全团队情报,Transit Swap 黑客转移用户 BSC 链 BUSD 资产时被套利机器人抢跑,区块高度为21816885,获利107万BUSD。套利机器人相关地址列表如下:0xa957...70d2、0x90b5...8ff4、0xcfb0...7ac7、

截止到目前,在各方的共同努力下,黑客已将 70% 左右的被盗资产退还到Transit Swap开发者地址,建议套利机器人所属人同样通过service;//RLPencodeconstrawTransaction=rlp.encode();

随后再对此内容进行keccak256哈希后得到一串bytes32的数据就是所需要我们签名的数据了。

//?keccak256?encodeconst?msgHex?=?rawTransaction.toString('hex');const?msgHash?=?Web3.utils.keccak256('0x'+?msgHex);

我们使用MetaMask对这串数据签名后就会得到r,s,v值,用这三个值再与nonce/gasPrice/gasLimit/to/value/data进行一次RLP编码即可得到签名后的原始交易内容了,这时候就可以广播发出交易了。

rlp=require('rlp');consttransaction={??nonce:'',??gasPrice:'',??gasLimit:'',??to:'',??value:'',??data:'',??v:'',??r:'',??s:''};//RLPencodeconstsignedRawTransaction=rlp.encode();

而如上所述,eth_sign方法可以对任意哈希进行签名,那么自然可以对我们签名后的bytes32数据进行签名。因此攻击者只需要在我们连接DApp后获取我们的地址对我们账户进行分析查询,即可构造出任意数据让我们通过eth_sign进行签名。

这种钓鱼方式对用户会有很强的迷惑性,以往我们碰到的授权类钓鱼在MetaMask会给我直观的展示出攻击者所要我们签名的数据。如下所示,MetaMask展示出了此钓鱼网站诱导用户将NFT授权给恶意地址。

而当攻击者使用eth_sign方法让用户签名时,如下所示,MetaMask展示的只是一串bytes32的哈希。

总结

本文主要介绍eth_sign签名方式的钓鱼手法。虽然在签名时MetaMask会有风险提示,但若结合钓鱼话术干扰,没有技术背景的普通用户很难防范此类钓鱼。建议用户在遇到此类钓鱼时提高警惕,?认准域名,仔细检查签名数据,必要时可以安装安全插件,如:RevokeCash、ScamSniffer等,同时注意插件提醒。

标签:ETHETATRAMETETHB LendMetarsTractoMETAKAT

火必热门资讯
DEF:金色Web3.0日报 | 苹果新政策将允许NFT市场通过Apple Pay出售NFT

DeFi数据1.DeFi代币总市值:463.4亿美元 DeFi总市值数据来源:coingecko2.过去24小时去中心化交易所的交易量39.

1900/1/1 0:00:00
Celsius:Celsius前CEO在公司申请破产前提取1000万美元加密货币

《华尔街日报》10月7日消息,加密贷款机构CelsiusNetworkLLC当地时间周三提交给破产法院的文件显示,在该公司申请破产保护前的两个月里.

1900/1/1 0:00:00
APP:13款涉虚拟货币交易APP被下架

10月9日消息,朝阳法院于今年3月向中国人民银行、北京市地方金融监督管理局反馈案件审理中发现的相关线索,并发送了清理虚拟货币交易平台的司法建议.

1900/1/1 0:00:00
ETH:金色早报 | 数字人民币试点已扩大至北京全域

头条▌数字人民币试点已扩大至北京全域金色财经报道,数字人民币试点已扩大到北京全域,累计落地40余万个场景.

1900/1/1 0:00:00
数字艺术:数字藏品的艺术价值从何体现

在数字藏品如火如荼发展时,仍有一部分人认为数字藏品只是普通的一张图片,看不出其所具有的艺术价值.

1900/1/1 0:00:00
DAS:穿越山谷的英伟达 会成为元宇宙最重要的基础设施吗?

编者按:人们往往会用波峰和波谷来形容股票的走势。但是往往却会忽视最重要的时间维度。从短期看,你也许能分出明显的波峰波谷,但如果再放眼到更长的时间维度,过去站在最高点的波峰,也不过是站在未来最低点.

1900/1/1 0:00:00