谁在窃取你的加密钱包?揭秘骗子的狡猾手段

 2023-07-01 22:40:50发布 2023-08-29 20:25:57更新

区块链分析公司 TRM Labs 本周发布的一份报告的主要内容是,加密犯罪分子已从比特币转向其他加密货币。

Elicit Crypto 生态系统报告显示,虽然过去几年加密货币价格一直低迷,但诈骗者和黑客的收入却没有下降。

2022 年,加密货币庞氏骗局从受害者那里窃取了至少 78 亿美元。

2022 年,超过 90 亿美元的加密货币已发送到与各种欺诈和诈骗相关的地址,其中包括庞氏骗局。此类诈骗最常使用基于 Tron 区块链的 USDT。

各种 DeFi 漏洞为攻击者带来了 37 亿美元的损失,其中包括从跨链桥中窃取的 20 亿美元。

为了掩盖他们的踪迹,加密货币犯罪分子越来越依赖所谓的链跳,将资金从一个区块链转移到另一个区块链,这样就更难从外部追踪资金。

因此,比特币在此类犯罪中所占的比例从 2016 年的 97% 下降到 2022 年的 19%。

TRM 指出,2016 年,三分之二的加密货币黑客攻击量来自比特币;到 2022 年,这一比例将略低于 3%,其中以太坊(68%)和币安智能链(19%)占据主导地位。

比特币不再是恐怖主义融资的首选货币,现在 Tron 区块链上的 USDT 正在主导该市场。

可以肯定的是,比特币和泰达币(USDT)都是最受欢迎和流动性最高的加密货币之一,这也使它们成为犯罪以外的许多用例的首选支付方式。

 

骗子的狡猾手段

据区块链安全公司 Forta Network 称,诈骗者在 5 月份创建了至少 7,905 个区块链钱包,以收集他们从普通用户那里窃取的加密货币。

Forta 最近推出了自己的代币,运营着一个机器人网络,可以检测以太坊、币安智能链、Polygon、Optimism、Avalanche、Arbitrum 和 Fantom 区块链上的各种诈骗。

Forta 驻场研究员 Christian Seifert 曾在微软安全研究部门工作,他表示 Forta 的算法可以在扫描区块链上的交易时检测各种异常行为,其中一些异常现象是对用户钱包的攻击。

对于某些攻击,诈骗者依靠社会工程 – 嗅探用户的个人信息或部署技巧来让加密用户泄露他们的密码或助记词。其他攻击只需要知道受害者的钱包地址。

Seifert 说,“很多攻击都是社会工程攻击:用户被引诱到一个网站,网站要求他们连接钱包,弹出交易,用户批准后他们的钱就消失了。”

 

“冰网络钓鱼”

5 月份最流行的攻击类型是所谓的“冰网络钓鱼”技术,占 Forta 记录的所有攻击的 55.8%。

与更明显或众所周知的网络钓鱼攻击(冰网络钓鱼是对网络上更常见的“网络钓鱼”攻击的一种攻击)不同,这种类型并不直接针对用户的私人信息。

相反,冰网络钓鱼者会诱骗受害者签署恶意区块链交易,从而打开受害者钱包的访问权限,以便攻击者可以窃取所有资金。

在这种情况下,受害者经常被引诱到旨在模仿真实加密服务的网络钓鱼网站。

这些骗局依赖于“代币批准”交易,这是非托管 Web3 钱包最常见的用途之一,使用户能够向智能合约授予对其钱包的一定程度的访问权限。

最受欢迎的以太坊加密钱包的制造商 MetaMask 在其支持页面上指出,在授予代币批准交易时,“你牢牢地控制着你所做的一切,并对你所做的一切承担最终责任。这就是为什么你确切地知道你在做什么是至关重要的当您确认令牌批准时进行注册。”

在与上述骗局类似的骗局中,攻击者试图诱骗用户与各种去中心化应用程序(dapp)进行交互,包括去中心化交易所(DEX)。

此类计划通常会造成一种新的有利可图的机会的错觉,比如空投一些新的代币,并利用人们普遍的“错失恐惧症”倾向,或者担心错过机会。

然而,用户不是与合法服务交互,而是通过签署令牌批准交易,将其资产的控制权交给攻击者。

“用户点击、点击、点击,交易就会弹出,通常带有计时器,用户无需检查即可批准它们。”Seifert说。

冰网络钓鱼有两个关键步骤:引诱受害者进入“恶意”网站,并创造积极的叙述。

这种攻击的一种变体是诱骗用户直接将本地资产发送给诈骗者,通过签署诈骗者合同的“安全更新”功能来实现的。

通常情况下,少量的加密货币会通过这种方式被盗。

 

NFT、空投和地址中毒

一些攻击针对的是不可替代代币(NFT)的交易者。

例如,诈骗者开发了利用 NFT 基础设施中的怪癖的技术,例如 OpenSea 引入并在许多 NFT 市场上使用的Seaport 协议。

为了在 Seaport 上出售 NFT,用户通过签署在平台本地广播的交易(而不是更广泛的以太坊网络)来创建卖出订单,以节省交易费用。

攻击者四处搜寻拥有有价值的 NFT 的用户,并试图诱骗他们批准交易,从而以市场价格的一小部分出售其有价值的资产。

今天的 NFT 交易者通常都知道他们可以被利用的多种方式。近年来一些最引人注目的加密货币抢劫案都针对有影响力的 NFT 人物,这导致了越来越有针对性和复杂的网络钓鱼攻击。

对于“地址中毒”攻击,攻击者研究受害者钱包的交易历史并寻找与他们交互最多的地址。然后,他们创建一个目标看起来很熟悉的区块链地址,并向受害者发送几乎没有价值的交易。

此交易旨在通过将恶意地址放置在他们进行下一笔交易时可能会错误复制和粘贴的位置来“毒害”目标受害者的交易历史记录。

通常,最简单的攻击仍然有效。例如,攻击者在设计赢得受害者信任或关注的社会工程漏洞时经常使用知名品牌。

Chainlink (LINK) 持有者在 6 月初收到的欺诈性 tLINK 代币就是这种情况,当时攻击者向 LINK 持有者空投了一个据称是新的代币。

诈骗者在空投代币的描述字段中提出:用户可以在钓鱼网站上用 tLINK 交换实际的 LINK 代币,如果他们接受了这个提议,他们就会被“烧死”。

Forta 称,此类攻击变得更加棘手的是,攻击者可以将欺诈性 ERC-20 代币分配给合法的智能合约,然后执行将这些虚假代币转移给持有目标代币的任何人的函数。

这使得用户看起来像是从合法合约中获得了空投,但实际上这只是骗局。

像这样的攻击甚至不需要攻击者进行太多的侦察工作:他们需要了解受害者的只是他们的钱包地址。

 

钱包地址

随着黑客和诈骗者变得越来越猖獗,时刻关注与自己的钱包交互的地址非常重要。

理想情况下,钱包需要内置安全功能,目前 Forta 向 ZenGo 钱包提供欺诈地址数据库。同时,Forta 为区块链钱包分配了不同的风险评分,因为它们涉及潜在的诈骗行为。

“我们有一套检测机器人和机器学习模型,可以实时监控交易并寻找特定的条件和行为,例如,代码中包含“安全更新”等行的合同,” Seifert 说。

 

如何前进

好消息是,事情不必像现在这样可怕,如果加密平台和协议愿意扩大防御力度,以后的攻击会减少,或者至少减轻影响。

这可以有多种形式,但都涉及改进的监控以及在事件确实发生时做出响应的主动系统。

首先,所有智能合约代码都由信誉良好的第三方来源仔细审核。

这些审计的结果还应该与社区透明地共享,以正确披露发现的任何问题以及解决这些问题的措施。

然而,一次性安全审计是不够的,每次更新代码时,都应该执行新的审核。

这将确保不会引入新问题,即使对代码进行很小的更改也可能会产生不可预见的后果,因此团队在开发和部署智能合约时采取更加以安全为中心的立场至关重要。

其次,项目需要拥有适当的系统,能够主动监控给定平台上的交易,并能够检测异常或可疑活动,例如使用量突然激增、价格变化或与黑名单账户的交互,以及使用闪电贷提交的治理提案。

在许多情况下,攻击的第一个迹象正是交易量异常大和/或许多交易在很短的时间内到达同一地址,能够在这些事件发生时检测到它们可以帮助团队随时了解潜在威胁。

这将为此类措施的自动化打开了大门,从而消除或最大限度地减少了人机交互的需要。

最后,如果没有某种形式的响应系统,即使是最精细的操作和安全监控,其作用也是有限的。彻底映射系统攻击向量的团队可以在实际安全事件发生之前就计划好响应措施。

烟雾测试和全面的规划是朝这个方向迈出的关键一步,以便根据警报,每个相关参与者都可以评估情况并快速做出反应。

这意味着停止和扭转损害的步骤可以在几小时甚至几分钟内采取,而不是几天或几周。

即使发生资金损失,迅速做出反应对于防止资金进一步损失也至关重要。即使系统已经被证明处于危险之中,它也可能有助于增强对协议背后团队的信任。

随着强调安全至上的心态不断普及,攻击者将更难以尝试此类漏洞,因为他们知道会立即被发现。

社区主导的安全监控工作通过奖励这种监控行为,并向任何人提供区块链上协议的运行情况,有助于确保整个生态系统的安全。

可以确定的是,并不存在适合每个项目的“一刀切”解决方案,但所有协议都可以通过定期审核、主动的安全和网络运营监控,以及自动的事件通知和响应系统来提高安全性。

推荐阅读