北京時間2021年4月19日���,Layer 2 DeFi 借貸協(xié)議 EasyFi創(chuàng)始人兼 CEO Ankitt Gaur 稱���,「有大量 EASY 代幣從 EasyFi 官方錢包大量轉(zhuǎn)移到以太坊網(wǎng)絡(luò)和 Polygon 網(wǎng)絡(luò)上的幾個未知錢包。有人攻擊了管理密鑰或助記詞���。黑客成功獲取了管理員密鑰����,并從協(xié)議池中以 USD/DAI/USDT 形式轉(zhuǎn)移了 600 萬美元的現(xiàn)有流動性資金���,并將 298 萬枚 EASY 代幣(約占 EASY 代幣總供應(yīng)量的 30%�,目前價值 4090 萬美元)轉(zhuǎn)移到了疑似黑客的錢包(0x83a2EB63B6Cc296529468Afa85DbDe4A469d8B37)中�。」
通付盾區(qū)塊鏈安全團(tuán)隊(SharkTeam)第一時間對此事件進(jìn)行了分析�����,并總結(jié)了安全防范手段��,希望后續(xù)的區(qū)塊鏈項目可以引以為戒,共筑區(qū)塊鏈行業(yè)的安全防線���。
一�、事件分析
通過分析發(fā)現(xiàn)����,本次攻擊仍是區(qū)塊鏈上以竊取私鑰為基礎(chǔ),以竊取用戶資產(chǎn)為目的的攻擊手段��。
首先我們來看下本次攻擊中的整體流程:
EasyFi官方地址:0xbf126c7aab8aee364d1b74e37def83e80d75b303
中間地址:0x222def1dfeeaed8202491cdf534e4efff3268666
受害者1地址:0x0c08d0fe35515f191fc8f0811cadcfc6b2615b74
受害者2地址:0xf59c2e9d4ab5736a1813738e5aa5c3f5eaf94d9e
攻擊者地址:0x83a2eb63b6cc296529468afa85dbde4a469d8b37
1.最初EasyFi項目的官方向中間地址(0x222def1dfeeaed8202491cdf534e4efff3268666)發(fā)送了8,800,000 EASY��。
2.該中間地址分別向兩個受害者地址(0x0c08d0fe35515f191fc8f0811cadcfc6b2615b74)和(0xf59c2e9d4ab5736a1813738e5aa5c3f5eaf94d9e)發(fā)送了2,700,000和2,000,000個 EASY�����。
3.在2021年4月19日�,攻擊者0x83a2eb63b6cc296529468afa85dbde4a469d8b37利用兩受害者的賬戶向攻擊者的賬戶分別轉(zhuǎn)賬了1,035,555.826203866010956193和1,799,990個EASY。交易的記錄如下:
通過檢查合約發(fā)現(xiàn)�,合約中的執(zhí)行邏輯簡單并沒有可以利用的漏洞。因此可以判定�,這是一次因用戶私鑰或助記詞泄露從而竊取用戶虛擬資產(chǎn)的攻擊。
4.在完成攻擊獲取到大量EASY數(shù)字資產(chǎn)后�����,該攻擊者接著在Uniswap中將EASY置換為USDC��。交易的記錄如下圖所示:
二���、近期同類型事件
根據(jù)整個攻擊過程的分析����,根本原因在于攻擊者可以利用被攻擊者的賬戶地址調(diào)用合約�����,竊取受害者私鑰授權(quán)合約執(zhí)行并向攻擊者地址進(jìn)行大額數(shù)字資產(chǎn)的轉(zhuǎn)賬���。
在之前《黑暗森林中的身份危機(jī):透過Roll被攻擊事件看區(qū)塊鏈密鑰保護(hù)的重要性》的分析中����,SharkTeam就向大家進(jìn)行了風(fēng)險提示并提醒大家進(jìn)一步重視密鑰保護(hù)�����,做好自身安全防護(hù)����。
攻擊畫像:竊取用戶密鑰
第一步:攻擊者竊取用戶私鑰(釣魚或滲透錢包)
第二步:使用被攻擊者賬戶部署攻擊合約����,攻擊合約是整個自動化攻擊的核心����。
第三步:使用被攻擊者賬號進(jìn)行交易,將所有資產(chǎn)轉(zhuǎn)到攻擊合約中�。
第四步:攻擊合約自動執(zhí)行,通過Uniswap等去中心化交易所將資產(chǎn)轉(zhuǎn)出����,防止項目方啟動應(yīng)急機(jī)制鎖定被盜資產(chǎn)。
第五步:被盜資產(chǎn)進(jìn)一步被轉(zhuǎn)移到匿名性更強(qiáng)的混幣平臺��,對抗AML等安全機(jī)制��。
攻擊分為5步��,卻有極強(qiáng)的目的性�,一旦私鑰丟失將非常難以進(jìn)行防范。
那么���,既然攻擊的起始點(diǎn)是私鑰竊取����,那我們到底應(yīng)該如何才能保護(hù)好我們的私鑰�?這里必須要提到區(qū)塊鏈錢包����,錢包是存儲賬戶地址和使用數(shù)字貨幣的工具,比如以太坊錢包存儲以太坊賬戶地址以及賬戶的以太幣并且可以進(jìn)行交易�。區(qū)塊鏈錢包并不是傳統(tǒng)意義上的實體的錢包,而是使用加密技術(shù)加密保存賬戶地址的公私鑰對的工具�,有了錢包密鑰就可以擁有錢包中賬戶地址的支配權(quán),可以支配其中的數(shù)字貨幣�,尤其是以太坊錢包,有了密鑰不僅可以支配其中的以太幣�,更可以支配其中的合約地址對應(yīng)的智能合約��。由于私鑰是一長串毫無意義且毫無規(guī)律的字符�����,比較難以記憶�,因此出現(xiàn)了助記詞(Mnemonic)����。
三�����、通付盾區(qū)塊鏈安全知識課堂
(1)助記詞(Mnemonic)
私鑰是由加密算法生成的一個32字節(jié)隨機(jī)數(shù)�����,由64個十六進(jìn)制的字符組成�,由于私鑰的字符串沒有規(guī)律可循����,并且可讀性低難以記憶,因此當(dāng)我們在使用錢包保存加密貨幣時��,通常會使用到助記詞來代替私鑰�����。
助記詞:就是另一種形式的私鑰����。它通過算法將64位的私鑰轉(zhuǎn)換成若干個常見的英文單詞��,作為區(qū)塊鏈數(shù)字錢包私鑰的友好格式。助記詞和私鑰是等價的���,可以相互轉(zhuǎn)換����。
通常�,助記詞只會在創(chuàng)建新錢包的時候出現(xiàn)�,所以在注冊新錢包時,應(yīng)該用安全的方式記錄下這些單詞��,避免發(fā)生遺忘和泄露����。在創(chuàng)建錢包時,通常用戶會得到12或者是24個單詞作為助記詞����。
公鑰和地址的生成都依賴于私鑰,而私鑰和助記詞是互通的�����,所以私鑰和助記詞是黑客竊取的最為核心的目標(biāo)���。而錢包保存了賬戶地址及其私鑰����,因此,錢包也是黑客攻擊的目標(biāo)���。而私鑰通常面“釣魚攻擊”和錢包“私鑰保護(hù)不當(dāng)”兩類安全風(fēng)險����。
(2)釣魚攻擊(Phishing)
所謂“網(wǎng)絡(luò)釣魚攻擊(Phishing)”����,指的是攻擊者偽裝成可以信任的人或機(jī)構(gòu),通過電子郵件�、通訊軟件、社交媒體等網(wǎng)絡(luò)工具�����,從而獲取收件人的用戶名�、密碼、私鑰等私密信息��。隨著技術(shù)的發(fā)展,網(wǎng)絡(luò)釣魚攻擊不僅可以托管各種惡意軟件和勒索軟件攻擊��,而且更糟糕的是這些攻擊正在呈現(xiàn)不斷上升的趨勢��。
網(wǎng)絡(luò)釣魚攻擊可以分為兩種類型:社會工程和漏洞利用����。社會工程是基于欺騙和隨后受害者的錯誤行為,而漏洞利用則是利用漏洞以及軟件架構(gòu)缺陷實施攻擊的專業(yè)技術(shù)��。利用網(wǎng)絡(luò)漏洞以及軟件和基礎(chǔ)架構(gòu)的缺陷來實現(xiàn)攻擊手段�。此類攻擊一般包含以下攻擊手段:
基于DNS的網(wǎng)絡(luò)釣魚
在此攻擊中�����,攻擊者最初會創(chuàng)建惡意訪問點(diǎn)����,并誘使客戶端連接到運(yùn)行假DNS服務(wù)器的訪問點(diǎn)。該服務(wù)器將特定站點(diǎn)重定向到攻擊者的網(wǎng)絡(luò)釣魚服務(wù)器���。
會話劫持(cookie劫持)
該攻擊基于使用有效會話(有時也稱為會話密鑰)來獲得對計算機(jī)系統(tǒng)上信息或服務(wù)的未授權(quán)訪問���。特別是,它用于表示對遠(yuǎn)程服務(wù)器上的用戶進(jìn)行身份驗證的cookie盜竊。一種流行的方法是使用源路由的IP數(shù)據(jù)包�����。IP數(shù)據(jù)包通過B的計算機(jī)��,這使得網(wǎng)絡(luò)上B點(diǎn)的攻擊者可以參與A和C之間的對話�。攻擊者可以在原始路由被禁用的情況下盲目捕獲,發(fā)送命令但看不到響應(yīng)來設(shè)置允許從網(wǎng)上其他地方訪問的密碼�����。攻擊者還可以使用嗅探程序“監(jiān)視” A和C之間的對話��。這就是“中間人攻擊”�����。
惡意軟件
當(dāng)使用基于惡意軟件的網(wǎng)絡(luò)釣魚時�,惡意軟件被用來在被攻擊者計算機(jī)上存儲憑據(jù)并將其發(fā)送給攻擊者,即發(fā)送給釣魚者���。例如��,可以通過帶有附件doc文件的惡意垃圾郵件來傳遞威脅�����,該文檔文件包含下載惡意程序的Powershell腳本��,然后�,惡意程序找到存儲的錢包和憑據(jù)并將其發(fā)送給釣魚者。木馬AZORult和Pony Formgrabber以及bot Qbot是最常用的惡意程序��。同時�����,網(wǎng)絡(luò)犯罪分子還會繼續(xù)使用以前針對銀行的攻擊工具�����,現(xiàn)在成功地使用它們來破解加密錢包����,獲得錢包的密碼以及用戶的個人賬戶等信息���。
四�����、安全建議
通過如上的分析可以看出���,雖然不同于傳統(tǒng)互聯(lián)網(wǎng)的賬號密碼體系�����,但區(qū)塊鏈賬戶同樣面臨私鑰被盜的風(fēng)險�����,由于通常私鑰與數(shù)字資產(chǎn)緊密相關(guān)�,其安全風(fēng)險更高�����。保護(hù)私鑰安全���,既是用戶的責(zé)任也是項目方的責(zé)任�����。
用戶應(yīng)提高私鑰保護(hù)意識��,對訪問的網(wǎng)頁或下載安裝的錢包提高警惕�����,防止被釣魚攻擊��。
項目方應(yīng)以用戶資產(chǎn)安全為核心�����,做好熱錢包���、冷錢包����、系統(tǒng)服務(wù)���、智能合約等相關(guān)模塊的風(fēng)險評估和安全審計�,確保系統(tǒng)本身安全��。
制定AML和應(yīng)急方案���,提高對抗黑客攻擊的風(fēng)險防范能力。
底層鏈平臺可采用分組密碼����、環(huán)簽名等技術(shù)����,從區(qū)塊鏈底層提高賬戶安全保護(hù)能力���。
五���、通付盾智能合約審計
在不斷完善私鑰保護(hù)等區(qū)塊鏈安全機(jī)制的同時,在區(qū)塊鏈項目開發(fā)和運(yùn)營的各個階段適時引入合適的安全工具和服務(wù)���,為用戶的數(shù)字資產(chǎn)和項目安全發(fā)展提供保障已成為行業(yè)共識�����。通付盾作為國內(nèi)領(lǐng)先的區(qū)塊鏈安全服務(wù)提供商����,為開發(fā)者提供智能合約審計服務(wù)���。
智能合約自動化審計在通付盾云平臺上為用戶提供智能合約進(jìn)行自動化審計服務(wù)����。運(yùn)用符號執(zhí)行、形式化驗證等智能合約分析技術(shù)��,覆蓋高級語言����、虛擬機(jī)、區(qū)塊鏈���、業(yè)務(wù)邏輯四個層面一百多項安全風(fēng)險檢測項����,保障智能合約安全運(yùn)行�����。
通付盾也為客戶提供高級別的區(qū)塊鏈安全服務(wù)���,區(qū)塊鏈安全專家團(tuán)隊7*24小時為智能合約提供全生命周期的安全保障���,服務(wù)包括:VIP安全審計服務(wù)、VIP合規(guī)審計服務(wù)��、安全事故應(yīng)急響應(yīng)等�。
轉(zhuǎn)自:通付盾
【版權(quán)及免責(zé)聲明】凡本網(wǎng)所屬版權(quán)作品,轉(zhuǎn)載時須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”���,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力���。凡轉(zhuǎn)載文章及企業(yè)宣傳資訊,僅代表作者個人觀點(diǎn)�,不代表本網(wǎng)觀點(diǎn)和立場。版權(quán)事宜請聯(lián)系:010-65363056����。
延伸閱讀
