來自 Etherscan 的數據顯示,一些加密詐騙者正在使用一種新技巧來瞄準用戶,這種技巧允許他們從受害者的錢包中確認交易,但沒有受害者的私鑰。 只能對 0 值的交易執行攻擊。 但是,由於從被劫持的交易歷史中剪切和粘貼,可能會導致一些用戶意外地將代幣發送給攻擊者。
區塊鏈安全公司慢霧 發現 這項新技術在 XNUMX 月發布,並在博客文章中進行了披露。 從那時起,SafePal 和 Etherscan 都採用了緩解技術來限制它對用戶的影響,但一些用戶可能仍然不知道它的存在。
最近,我們收到了社區報告的一種新型騙局:零轉賬騙局。 如果您在錢包記錄中看到可疑的 0 筆轉賬,請小心:
1/10
— 維羅妮卡 (@V_SafePal) 2022 年 12 月 14 日
根據 SlowMist 的帖子,該騙局通過將零代幣交易從受害者的錢包發送到一個看起來與受害者之前發送代幣的地址相似的地址。
例如,如果受害者將 100 個硬幣發送到交易所存款地址,攻擊者可能會從受害者的錢包中將零個硬幣發送到一個看起來相似但實際上在攻擊者控制下的地址。 受害者可能會在他們的交易歷史中看到這筆交易,並斷定顯示的地址是正確的存款地址。 結果,他們可能會將他們的代幣直接發送給攻擊者。
未經所有者許可發送交易
在正常情況下,攻擊者需要受害者的私鑰才能從受害者的錢包發送交易。 但 Etherscan 的“合約標籤”功能表明,某些代幣合約中存在漏洞,攻擊者可以從任何錢包發送交易。
例如,Etherscan 上美元硬幣 (USDC) 的代碼 表演 “TransferFrom”功能允許任何人從另一個人的錢包中轉移硬幣,只要他們發送的硬幣數量小於或等於地址所有者允許的數量。
這通常意味著攻擊者無法從其他人的地址進行交易,除非所有者批准他們的津貼。
但是,此限制存在漏洞。 允許的數量被定義為一個數字(稱為“uint256 類型”),這意味著它被解釋為零,除非它被專門設置為其他數字。 這可以在“津貼”功能中看到。
因此,只要攻擊者交易的價值小於或等於零,他們就可以從他們想要的任何錢包發送交易,而無需私鑰或所有者的事先批准。
USDC 並不是唯一允許這樣做的代幣。 在大多數代幣合約中都可以找到類似的代碼。 它甚至可以 發現 在以太坊基金會官方網站鏈接的示例合約中。
零價值轉移騙局的例子
Etherscan 顯示,一些錢包地址每天在未經受害者同意的情況下從各個受害者的錢包發送數千筆零價值交易。
例如,標記為 Fake_Phishing7974 的帳戶使用未經驗證的智能合約來 表演 80 月 12 日超過 XNUMX 筆交易,每筆交易 含 50 筆零價值交易,一天內共計 4,000 筆未經授權的交易。
誤導性地址
更仔細地查看每筆交易可以揭示這種垃圾郵件的動機:攻擊者將零價值交易發送到看起來與受害者之前發送資金的地址非常相似的地址。
例如,Etherscan 顯示攻擊者針對的用戶地址之一如下:
0x20d7f90d9c40901488a935870e1e80127de11d74.
29 月 5,000 日,該賬戶授權 XNUMX Tether (USDT) 發送至該收款地址:
0xa541efe60f274f813a834afd31e896348810bb09.
緊接著,Fake_Phishing7974 從受害者的錢包向這個地址發送了一筆零值交易:
0xA545c8659B0CD5B426A027509E55220FDa10bB09.
這兩個接收地址的前五個字符和後六個字符是完全一樣的,但是中間的字符都是完全不同的。 攻擊者可能打算讓用戶將 USDT 發送到第二個(假)地址而不是真實地址,從而將他們的代幣交給攻擊者。
在這種特殊情況下,該騙局似乎沒有奏效,因為 Etherscan 沒有顯示從該地址到騙子創建的假地址之一的任何交易。 但考慮到該賬戶完成的零價值交易量,該計劃在其他情況下可能奏效。
錢包和區塊瀏覽器在如何或是否顯示誤導性交易方面可能會有很大差異。
錢包
有些錢包可能根本不顯示垃圾郵件交易。 例如,如果重新安裝 MetaMask,即使賬戶本身在區塊鏈上有數百筆交易,也不會顯示任何交易歷史記錄。 這意味著它存儲自己的交易歷史而不是從區塊鏈中提取數據。 這應該可以防止垃圾郵件交易出現在錢包的交易歷史中。
另一方面,如果錢包直接從區塊鏈中提取數據,垃圾交易可能會出現在錢包的顯示屏上。 在 13 月 XNUMX 日的 Twitter 公告中,SafePal 首席執行官 Veronica Wong 警告 SafePal 用戶認為其錢包可能會顯示交易。 為了減輕這種風險,她說 SafePal 正在改變地址在其新版本錢包中的顯示方式,以便用戶更容易檢查地址。
(6/10) 對此,我們採取了以下行動:
1)在最新的V3.7.3更新中,我們調整了交易記錄中顯示的錢包地址長度。 默認顯示錢包地址的前10位和後XNUMX位,方便查地址— 維羅妮卡 (@V_SafePal) 2022 年 12 月 14 日
XNUMX 月,一位用戶還報告說他們的 Trezor 錢包被 展示 誤導性交易。
Cointelegraph 通過電子郵件聯繫 Trezor 開發商 SatoshiLabs 徵求意見。 作為回應,一位代表表示,“每次用戶插入他們的 Trezor 錢包時”,錢包確實會直接從區塊鏈中提取其交易歷史記錄。
但是,該團隊正在採取措施保護用戶免受詐騙。 在即將推出的 Trezor Suite 更新中,該軟件將“標記可疑的零價值交易,以便提醒用戶此類交易可能存在欺詐行為。” 該公司還表示,錢包始終顯示每筆交易的完整地址,他們“強烈建議用戶始終檢查完整地址,而不僅僅是第一個和最後一個字符。”
區塊瀏覽器
除了錢包之外,區塊瀏覽器是另一種可用於查看交易歷史的軟件。 一些瀏覽器可能會以無意中誤導用戶的方式顯示這些交易,就像一些錢包一樣。
為了減輕這種威脅,Etherscan 已開始將非用戶發起的零價值代幣交易灰顯。 它還用警告標記這些交易,“這是由另一個地址發起的零價值代幣轉移”,如下圖所示。
其他區塊瀏覽器可能已採取與 Etherscan 相同的步驟來警告用戶這些交易,但有些可能尚未實施這些步驟。
避免“零值 TransferFrom”技巧的技巧
Cointelegraph 就如何避免成為“零價值 TransferFrom”把戲的犧牲品向 SlowMist 尋求建議。
該公司的一位代表向 Cointelegraph 提供了避免成為攻擊受害者的提示列表:
- “在執行任何交易之前,請謹慎行事並驗證地址。”
- “利用錢包中的白名單功能來防止將資金發送到錯誤的地址。”
- “保持警惕和知情。 如果您遇到任何可疑的轉賬,請花時間冷靜地調查此事,以免成為騙子的受害者。”
- “保持健康的懷疑態度,始終保持謹慎和警惕。”
從這個建議來看,加密用戶要記住的最重要的事情是在向地址發送加密之前始終檢查地址。 即使交易記錄似乎暗示您之前曾向該地址發送過加密貨幣,這種表像也可能具有欺騙性。
來源:https://cointelegraph.com/news/scammers-are-targeting-crypto-users-with-new-zero-value-transferfrom-trick