道路千萬條,安全第一條:
1)不要共用密鑰2)密鑰離線保存
3)開發和測試分開
4)不要下載來歷不明的軟件5)立即檢查授權
6)進行授權前,對合約安全進行確認
7)擼空投和福利的時候注意安全?
8)警惕Discord來路不明的人和軟件
事件
2022年元旦假期的某個早上,小C準備寫代碼,繼續測試web3js的鏈上合約交易。突然發現自己的測試賬號在metamask歸零了,明明前一晚賬戶內還有100USD,然后查完轉賬就發現:錢都沒了,錢哪去了??
背景
技術出身的小C,最近在學習區塊鏈開發。本身是專業開發者,已經很謹慎小心了,通常都是在測試網絡上跑,跑完之后,再會去正式網絡上部署,但是沒有意識到整個產業目前還處在相對混亂的階段,麻痹大意,順手習慣導致造成了損失。損失是如何造成的?2021年的最后一天,小C偶然看到一個賬號很有趣,就追蹤了他的一些鏈上交易,然后看到了一個非常有意思的項目,然后就鬼使神差地連上了自己的Metamask,然后鬼使神差的進行了approve,因為一般Web3的項目就是這個流程,approve然后轉賬就結束了。但是令人驚呆的一幕出現了:點完之后,整個網站突然卡死了,沒有任何反應,小C當時沒當回事,把站點給關了,去做其他事情了。過了大概一天,小C重新回來開發的時候,發現賬上的錢全部沒有了,去查了歷史記錄,發現賬上的余額已經被全部轉走。回顧過程
ZK技術開發商Nil Foundation以2.2億美元的估值完成2200萬美元融資:金色財經報道,數據可訪問性協議開發商 Nil Foundation以 2.2 億美元的估值完成2200 萬美元融資,Polychain Capital 領投。IOSG Ventures, Blockchain Capital, Starkware, Mina Protocol等參投。Nil成立于2018年,是證明市場協議的開發商,該協議使Layer 1和Layer2 區塊鏈和協議能夠按需生成零知識 (ZK) 證明。[2023/1/19 11:21:24]
盜取者是怎么把小C賬戶上的錢都轉走的?
現象:只要你approve了,不需要私鑰理論上也可以把對應的錢全部轉走。小C進行了下溯源,大概是在一個釣魚網站的approve出了問題,于是追溯該轉賬記錄。
Web3領域去年獲得逾71億美元融資,游戲創企融資額占比達62.5%:1月2日消息,根據Metaverse Post的年終報告,2022年Web3領域創業公司獲得7,169,997,888美元融資。該報告將創業公司分為游戲、元宇宙、社交網絡、基礎設施、AR&VR以及AI等類別。游戲、元宇宙和社交網絡是三大投資類別,分別獲得44.9億美元(占Web3投資總額的62.5%)、18.2億美元(占比25.4%)、2.591億美元(占比3.6%)。基礎設施、AR&VR和AI類別分別為2.08億美元、1.786億美元和1.365億美元。(Cryptoslate)[2023/1/3 22:21:19]
LooksRare收購NFT分析工具Flava Tools:11月4日消息,NFT交易市場LooksRare宣布收購NFT分析工具Flava Tools。
據悉,Flava Tools是OpenSea的Chrome擴展程序,LooksRare將通過收購為交易者提供收藏和投資組合工具。[2022/11/4 12:16:11]
如圖,可以看到,先是approve了一個合約,授權了釣魚合約能夠對賬號里面BUSD進行操作,而且是沒有數量限制的。為什么會是BUSD呢?小C回憶了一下,一進入這個釣魚站點是默認選了busd,估計在瀏覽站點鏈接錢包之后,盜取者就已經篩選了出了賬號里面錢最多的token了。然后當小C以為這是一個新的swap合約,并且有很高的年化收益,準備先試試的時候,按照常規流程就進行approve。approve結束后,網站直接卡了。
安全團隊:Slope Wallet (Android, Version: 2.2.2)的sentry服務存在私鑰泄露:8月4日消息,慢霧發布對 Solana 攻擊事件的分析,據 Solana 基金會提供的數據,被盜用戶種約 60% 使用 Phantom、約 30% 使用 Slope,其余使用 Trust Wallet、Coin98 Wallet 等,IOS 和 Android 均未能幸免。
在分析 Slope Wallet (Android, Version: 2.2.2) 時,發現其使用了 sentry 的服務。Sentry 是一項廣泛使用的服務,在“o7e.slope[.]finance”上運行。Sentry 的服務從 Slope 錢包中收集助記詞和私鑰等敏感數據,并在創建錢包時將其發送到 https://o7e.slope[.]finance/api/4/envelope/,并發現 Version:>=2.2.0 包中的 sentry 服務會收集助記詞發給“o7e.slope[.]finance”,而 Version:2.1.3 則沒有找到收集助記詞或私鑰的明顯行為。Slope Wallet(Android, >= Version: 2.2.0) 于 06/24/2022 之后發布,所以 Slope 該日期之后的用戶受到影響。
對于另外 60% 的使用 Phantom Wallet 用戶,分析 Phantom(版本:22.07.11_65)錢包后發現,Phantom(Android,版本:22.07.11_65)也使用 sentry 服務收集用戶信息,但目前沒有發現任何明顯的收集助記詞或私鑰的行為。[2022/8/4 2:58:18]
后來經過追溯,大概在授權之后幾十秒,合約就直接觸發了一個轉賬操作,直接把BUSDtoken給轉走了。后來去查了一下授權的信息
基本上metamask默認授權的時候是
ffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff
轉換成數字,我們認識的就是1.157920892373162乘以10的59次方。基本上就可以理解為無限量轉賬了,也就是這個授權的操作,可以讓這個合約無限量的操縱我賬號的token。看到這里感覺背后一涼,因為以前點過很多次approve都是不會去看的。
然后黑客操縱一個可以控制這個合約方法的錢包地址,就發起合約轉賬方法,把錢轉走了。所以小伙伴之后點metamask授權的時候一定要小心。
小C查了下,盜取者現在這個賬號里大概已經有了3w美金的token了,現在還有源源不斷的受害者在轉錢。但是面對區塊鏈沒有辦法,根本無法找不到這個黑客是誰。
出現問題的環節
問題到底出在哪里?因為最近在學習區塊鏈。小C大概理了一下這個釣魚的邏輯方式,害人之心不可有,防人之心不可無。大家有興趣可以了解一下:正常轉賬
案例一:直接用戶間轉賬A用戶向B用戶轉賬BUSD
合約正常會檢查以下邏輯
1)判斷A用戶賬戶余額是否有足夠的錢2)是否是A用戶發起的轉賬
流程如下圖
正常合約兌換
就是我們平時使用pancakeswap、uniswap等兌換時候的流程案例二:通過swap進行token兌換A用戶進行token兌換流程合約進行判斷:1)A用戶賬戶余額是否有足夠的BUSD,2)swap合約取A賬戶下的500BUSD放入swap的合約池中3)成功后合約再向A賬戶轉入1BNB注意第2)3)點,是由合約控制token進行操作。那么也就是說合約可以繞過我們直接發起對我們賬號下的token的操作。
釣魚合約
先看這張溯源圖
近日,YouTube游戲主管RyanWyatt做客DelphiDigital旗下MetaverseMusings最新一期節目.
1900/1/1 0:00:00觀察與觀點 本周開啟了除夕前的最后一周,中國的市場上已經彌漫了濃濃的年味,準備迎接春節。同樣的,在繼GavinWood發布了波卡2021年度總結后,也在有條不紊的為波卡在2022年的新發展做準備.
1900/1/1 0:00:00原文標題:《TheComposableNFTStandard》作者:ShayonSengupta 編譯:胡韜,鏈捕手 今天,我們很高興地宣布.
1900/1/1 0:00:00摘要:聚焦區塊熱點,傳遞價值信息過去一周,RokidAir即將上線首款音樂元宇宙應用PartyOn,谷歌元宇宙項目“ProjectIris”成員必須簽署保密協議;ETH跌破2400美元.
1900/1/1 0:00:002022年1月18日,據官方消息,全球領先數字資產交易平臺歐易OKEx宣布對公司進行全面品牌升級,推出全新的歐易OKX.
1900/1/1 0:00:00Cosmos生態目前是跨鏈生態里進度最前沿的網絡,基于跨鏈網絡的融合性,Cosmos未來產品的多樣性是值得期待的。因此,本文里,我們將把Cosmos網絡運行中重點部分的資料整理.
1900/1/1 0:00:00