您的位置 首页 Defi-NFT

慢雾分享会:直击2022攻击新套路

1月12日,慢雾科技产品负责人Keywolf做客巴比特 ┃ Defi之道 中文社区,以下是分享内容整理

主持提问

自我介绍

大家好,我是慢雾科技产品负责人Keywolf。很高兴能来DeFi之道做客。慢雾(SlowMist)是一家区块链安全公司,成立于 2018 年 1 月,已经服务了全球许多头部或知名的项目,我们做了很多安全方面的服务,这也是我们今天要聊的话题。

Keywolf可以帮我们整体地回顾一下2021年区块链安全事件,整体情况是怎么样的,总损失有多少?有哪些比较知名的、哪些损失严重的严重的,导致安全事件的主要原因是什么?后续是怎么处理的?

2021年整体来说损失非常惨重,相比前两年,总体损失走势持续升高。前段时间我们也发布了2021年区块链安全生态的回顾报告,截止文章发布前,2021 年区块链生态被公开的区块链安全事件共 231 起,损失超 98 亿美元,各生态 DApp、DeFi 等安全事件 170 起,交易所安全事件 15 起,公链安全事件 8 起,钱包安全事件 3 起,其他类型安全事件 35 起。

当然这只是冰山一角。2021年最受瞩目的事件肯定是Poly Network事件,可以说是史上涉及金额最大且受到全球关注的一起安全事件。根据慢雾的分析,这次攻击主要是攻击者通过_executeCrossChainTx函数传入精心构造的数据修改了 EthCrossChainData 合约的 keeper 为攻击者指定的地址,这导致了6.1亿美元被盗,好在最后黑客归还了资金,目前所有涉及资产已经全部归还用户,系统功能已经基本恢复至事件前水平。

然后是Cream Finance多次遭受闪电贷攻击,2 月份损失 3750 万美元,8 月份损失 1900 万美元,10月份又损失约 1.3 亿美元。

除此之外,随着 DeFi 的兴起,欺诈在 NFT、GameFi 等新兴领域逐渐冒出了头。一个名为「cryptopunksbot」的骗子在 CryptoPunk 的 Discord 服务器上发布虚假信息,NFT 项目创始人 Stazie 被骗了16 个 CryptoPunk,价值至少 100 万美元,最后骗子以 149 ETH(385,000 美元)的价格出售了 5 个 CryptoPunk。

今年勒索事件也是只增不减,比如全美最大油气输送管道运营商 Colonial Pipeline 遭到勒索软件定向攻击,支付了 75 枚比特币,超过 4 百万美元的赎金,才得以让营运恢复正常。此次勒索攻击涉及到国家级关键基础设施,所以引起了全球的震动和广泛关注,最后美国司法部官员表示已成功追回超过 200 万美元的赎金。总的来说,今年虽然整个行业的热度升高,但被黑事件也是愈演愈烈。

6.1亿美元,黑客归还了资金?是通过什么技术手段追回?还是协商之后有条件退回呢?

归还了大部分吧,因为有部分USDT是冻结状态,一方面是黑客的一举一动受到全球关注,另一个是这么大笔资金,必将惊动多国联合执法,根据我们与大量合作伙伴沟通获取的信息和情报,相信在执法单位一同介入的情况下,抓到攻击者只是时间问题,估计攻击者也是有一定压力下选择归还。

好像Poly Network事件发生几个小时后,Slowmist称追踪到了攻击者的IP地址和电子邮件信息,现在黑客的身份明朗了吗?

是的,这个要感谢多方合作伙伴,因为这个黑客已经归还了资金,所以黑客的身份就没有过多去追究。

交易所安全问题是所有加密用户都非常担心的问题,2021年有发生交易所的攻击事件吗?可以给大家介绍一下这方面的内容,并且给我们一些判断和防范的建议吗?

大家应该都有注意到,2021年下半年交易所接连被盗,根据慢雾区块链被黑事件库(Hacked.slowmist.io)的统计,2021年交易所损失超50亿,损失惨重。日本交易平台Liquid、新西兰交易平台Cryptopia都是二次被盗,跑路的也比较多,比如土耳其交易所Thodex,卷走了超26亿美元。

交易所频受攻击,一个原因是资金量大很容易被黑客当作目标,另一个原因是交易所多数情况下业务系统和员工人数较大,安全意识水平不均,容易被黑客从薄弱点切入。当然,还有一种情况就是交易所内部作案,卷钱跑路。

建议各大交易所健全内部管理与技术机制,通过引入安全审计机制、零信任机制、冷热资产安全解决方案等来加强对数字资产的安全保障。

作为用户来说,最主要的就是加强安全意识,不要把私钥泄露给任何人,然后认准官方网站,避免被钓鱼的情况。

之前交易所都在清退,很多人都收到清退用户的短信,要求把币从从交易所提到钱包,就有人在浏览器搜索遇到了假钱包,币就转没了,这种情况还能追回资产吗?

其实我们遇到过非常多次你说的这种情况,根据慢雾MistTrack丢币追踪服务所接触的受害者信息收集统计,因下载假钱包 App 被盗的就占到了 61%。

针对下载假钱包被盗的这个现象,慢雾在11月发布了一篇报告。根据文章不完全统计,因下载假 App 导致资产被盗的受害者规模已有上万人,被盗金额高达十三亿美元,这还只是针对找到我们的受害者的统计,而且只包括部分币种。我们每天接触这么多丢币的,有时候真的蛮痛心的,有些可能真的是仅有的财产了。所以大家一定要意识到树立安全意识的重要性。

这边给大家例举几个常见的骗术:

1.骗子向用户发送海报或链接,诱导用户下载假 App;

2.骗子通过购买搜索引擎的广告位及自然流量,诱骗用户访问虚假官网;

3.骗子获取受害者信任后,向受害者发送链接下载 App,并鼓励受害者购买加密货币并转入他们的钱包,骗子不断找借口要求受害者存入更多资金以提取资金。

目前这种骗局活动不仅活跃,甚至有扩大范围的趋势,每天都有新的受害者受骗。能不能追回资产,得看事件本身,需要具体事件具体分析了。这边如果大家有丢币的情况,可以找到我们,我们愿意为大家提供一点帮助。

目前有哪几种类型钱包泄露事件?如何防范?如果发生资金损失有办法挽回吗?举个例子,前段时间有个朋友跟我说他Metamask钱包里ETH被莫名其妙转走了,但是别的币种都还在,这是属于一种什么情况?

根据我们接触的受害者信息统计,主要有几种被盗的情况:下载假钱包App被盗、授权漏洞,比如说在用户不知情的情况下授权了恶意合约,还有就是杀猪盘诈骗,但总的来说,钱包泄露本质还是私钥助记词泄露。用户作为安全体系最薄弱的环节,应时刻保持怀疑之心,首先,认准官方网站,不要点击除官方外的链接,必要时可通过官方验证通道核实;其次,做好钱包备份并妥善保管好私钥助记词;最后就是要时刻记住,天下没有免费的午餐。

然后你说的这种现象有两种情况:

1.私钥泄露,攻击者时刻监控你的钱包,一旦你转入ETH,就立刻给你转走,至于为什么不转你其他的币,估计就是想继续钓着你,让你一直转,你一旦觉得不对劲,这个时候一定要及时把剩余资产取出。

2.骗子故意泄露私钥助记词,称将钱包中的币送给你,你将私钥助记词导入钱包后,发现有币,但转出时提示需要手续费,你充入手续费,骗子立即将它取走,此类手法就是利用了用户贪小便宜的心理,导入的人越多,手续费越高,你损失就越多。

我们知道Defi协议其实是非常容易吸引攻击的,21年各公链生态发生了哪些大的攻击事件?通常Defi会遭到哪几种类型的攻击呢?对于项目方来说怎么能尽量消除漏洞、降低安全风险?对于Defi 用户来说,又如何能避开这些Defi攻击事件呢?

根据我们的年度报告数据,2021年各生态 DApp、DeFi 等安全事件有 170 起,占了2021年总事件的73%,从各生态来看,以太坊上损失最多,13多亿美元,其次是 BSC 生态。除了慢雾深入参与的Poly Network事件,还有跨链桥项目 Chainswap 二次遭到黑客攻击,影响了在该桥梁部署智能合约的超 20 个项目,几乎酿成 DeFi 史上影响范围最大的一次安全事故。今年好几个项目都存在多次被黑的情况:比如PancakeBunny被黑三次,包括BSC和Polygon上、DeFi 质押和流动性策略平台xToken被黑两次、还有跨链交易协议THORChain连续三次遭到攻击,前两次遭到假充值攻击,第三次是退款逻辑漏洞。

DeFi 一般存在以下攻击方式:闪电贷攻击、合约漏洞、兼容性或架构问题、内部作案跑路。现在还出现了新的手法:前端恶意攻击以及针对开发人员钓鱼,再通过开发人员获取到私钥,偷取用户资金。

对项目方来说,在项目上线之前进行全面深入的安全审计是非常有必要的。然后,建议各 DeFi 项目方通过引入多签机制来加大资产保护的力度。

作为用户的话,进行投资前应该认真了解项目背景,查看该项目是否有开源、是否经过审计、是否透明。

另外,我们在微博Twitter辟谣了非常多骗子项目,这些骗子项目通常官网都会挂上慢雾的logo,宣称经过了慢雾的审计,模板看起来都类似。这边跟大家说下,慢雾这边的审计结果一方面可以通过coinmarketcap查看,一方面可以通过我们的官网(https://www.slowmist.com/service-smart-contract-security-audit.html)查询,以查询结果为准。

行业也是在不停的发展,攻击的手段和方法也在不断更新,现在出现了哪些新兴的攻击类型?可以给大介绍下,让我们提前避避坑吗?

回顾2021年,我认为现在主要有以下三种新的攻击手法:

1.前端恶意攻击,比如BadgerDao前端被黑,前端合约地址被替换成黑客地址,建议用户在授权的时候将交互地址复制到区块链检查下合约(是否开源,已运行较久的项目交易量应该会较多),已经授权的用户应该注意网站是否要求你重复授权。

2.开发人员遭到钓鱼攻击致私钥泄露从而影响用户资金的情况,波卡数字收藏品市场平台 Bondly Finance 遭到攻击,据官方调查,攻击者通过精心策划获得了属于 Bondly 首席执行官 Brandon Smith 的密码帐户的访问权限。有趣的是,这个黑客在四个月后又以相似的方式攻击了DeFi 协议 bZx。bZx官方的说明是黑客使用的钱包之一参与了 Bondly Finance 的攻击。而且本次漏洞利用与 Bondly Finance 的非常相似:黑客获得了开发人员的密码,然后从协议中操纵了一个智能合约。针对这种情况,建议开发人员加强防范意识,及时查缺补漏了。

3.利用Discord实施攻击,比如黑客接管了Phantom Galaxies官方的 Discord 账号发布钓鱼信息,建议 double check。

现在基本上大家都出海了,平常用的沟通工具也从微信变成了电报和discord,这些工具其实相比于微信肯定是更容易受到攻击了,前段时自己的Discord账号也被盗了,我们的Discord服务器也经常会有垃圾信息,这方面能不能给我们提供一些建议呢?

现在有很多恶意软件托管在Discord的CDN服务器上,针对Discord的犯罪也是越来越多,比如攻击者破坏管理员的权限然后假冒管理员发布钓鱼信息、比如私信你然后钓鱼、还有空投骗局都经常发生。

官方发布新的产品等会有较正规的流程,应会有较完整的文档介绍、路线图、前期宣发等。且在收到管理员发送的链接时可以向其他社区管理员再做确认。

另外,在这里我也想跟大家强调一下,在电报或者Discord里面正常项目的管理员和社区经理在没有提前打招呼的情况下是不会私信你的,可以看到很多社区管理的 电报名称里会带有“Never PM you first” 所以不要相信私信你的陌生人,更不要轻易点他们发送的链接。

慢雾从事区块链安全领域这么多年有没有积累出一份“对手”名单呢?就是这些黑客这么多年一直在持续以攻击为业且依然屹立不倒的?

首先大多数的黑客都是匿名的,成功一次多会消失,很少有一直使用同一ID屡屡进行攻击的公开性黑客组织,这毕竟需要很强的技术手段的和自信心来支撑。

这样的“对手”,我们比较关注朝鲜黑客组织Lazarus,Lazarus应该很多人都知道,自从2007年第一次出现后,他们一直进行着大规模的网络间谍活动。2007年攻击韩国政府网站;2014年攻击Sony公司网站;2016年入侵Bangladeshi银行。他们还会发布的一些黑客工具,这其中就包括RATANKBA,RATANKBA可以通过微软的办公文件格式、CHM文件格式、脚本文件进行传播,而这些格式通常是软件开发或区块链开发使用较多的格式, 所以RATANKBA的目标是锁定在我们这个行业的。据说从已获取的后台数据和黑客的行为模式中发现,这些黑客中其中一些是母语为韩语的黑客,或者至少是韩语非常流利的黑客,而且其中还有至少一位黑客懂中文的。RATANKBA 在17年成功的盗取过BTC和NEO,随即便卖出了。

这里我可以公布一些已被确认的RATANKBA恶意程序的Hash值:

BKDR_RATANKBA.ZAEL-A

1768f2e9cea5f8c97007c6f822531c1c9043c151187c54ebfb289980ff63d666

6cac0be2120be7b3592fe4e1f7c86f4abc7b168d058e07dc8975bf1eafd7cb25

d844777dcafcde8622b9472b6cd442c50c3747579868a53a505ef2f5a4f0e26a

db8163d054a35522d0dec35743cfd2c9872e0eb446467b573a79f84d61761471

f7f2dd674532056c0d67ef1fb7c8ae8dd0484768604b551ee9b6c4405008fe6b

CHM_DLOADER.ZCEL-A

01b047e0f3b49f8ab6ebf6795bc72ba7f63d7acbc68f65f1f8f66e34de827e49

030b4525558f2c411f972d91b144870b388380b59372e1798926cc2958242863

10cbb5d0974af08b5d4aa9c753e274a81348da9f8bfcaa5193fad08b79650cda

650d7b814922b58b6580041cb0aa9d27dae7e94e6d899bbb3b4aa5f1047fca0f

6d4415a2cbedc960c7c7055626c61842b3a3ca4718e2ac0e3d2ac0c7ef41b84d

772b9b873100375c9696d87724f8efa2c8c1484853d40b52c6dc6f7759f5db01

9d10911a7bbf26f58b5e39342540761885422b878617f864bfdb16195b7cd0f5

d5f9a81df5061c69be9c0ed55fba7d796e1a8ebab7c609ae437c574bd7b30b48

JS_DLOADER.ZBEL-A

8ff100ca86cb62117f1290e71d5f9c0519661d6c955d9fcfb71f0bbdf75b51b3

X97M_DLOADR.ZBEL-A

972b598d709b66b35900dc21c5225e5f0d474f241fefa890b381089afd7d44ee

VBS_DLOADR.ZAEL-A

4722138dda262a2dca5cbf9acd40f150759c006f56b7637769282dba54de0cab

自由提问

想问下一个感觉挺基本但是一直认识不太清晰的问题,如果给一个诈骗项目approve之后,只是我授权的这个币种会被偷走,还是钱包里所有币种都会被偷走?在其他正规项目里放的资金也会被转移吗?还是只有放在钱包里的会被偷?

主要看这个项目让你 approve 了 什么代币,把你钱包里的所有代币都 授权出去了 那就会全部被转走,如果只是授权一个代币 那就只转一个。被诱导授权了,看什么代币被授权了可以通过那个代币合约解除授权,这边推荐大家一个解除授权的工具:https://debank.com/profile/你的地址/approve

钱包连接不授权的话,会对安全有什么影响吗?

没有影响

我使用1inch聚合交易的时候 经常授权过的usdt usdc 还需要重复授权,这是什么原因呢

这个是1inch比较安全的一个做法,如果选择最大额就不用一直授权,但也比较有风险

热门文章

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注