Abstract:

近一周,0U 转账的链上地址投毒进犯愈演愈烈,到12月2日,已经有超越37W地址被投毒,总计92个受害地址,被盗取金额超越164W USD。

本篇文章,X-explore 对进犯态势进行了全面剖析,对进犯者进行了链上溯源,一起也深入剖析了进犯的完成方法。

咱们呼吁钱包APP加强危险提示,普通用户在转账时谨防此类进犯。因为咱们注意到UTC时刻11月2日10点38分,有一位链上用户损失惨重,近100万美金因投毒而被转到黑客地址。

链上地址投毒  让你防不胜防

本文由 X-explore 与吴说区块链联合发布。

1. 布景

近期,咱们的链上危险监控发现ETH、BSC链上频频呈现 0u 转账现象,以下图bsc链的买卖数据为例,受害者A发出一笔正常买卖将452 BSC-USD发给B后,会收到C转来的0 BSC-USD,一起,在同一笔买卖hash内用户A自己也会不受控制的给C转0 BSC-USD(完成了“一来一回”的0 BSC-USD转账操作)

链上地址投毒  让你防不胜防

在社区中,许多用户不知所以然,担心自己的钱包私钥已经走漏,进犯者正在盗取财物。

链上地址投毒  让你防不胜防

2. 进犯意图

其实遇到这种状况的用户不必紧张,大家的财物是安全的,私钥并没有走漏,只需要细心承认地址小心别转错账就没事,黑客的手法很简单:

  1. 在链上监控几个安稳币的转账信息,捕获受害者地址A正常发送给用户B的转账信息。

  2. 精心结构与用户地址B首尾一致的黑客地址C,使受害者A与黑客地址C相互转帐0U。(这儿进犯者能够运用靓号生成工具 Profanity,在几秒内生成与用户地址前后7位相同的地址)

  3. 受害者A下次转账时粗心大意直接复制前史买卖的地址时,很容易错误复制到黑客准备的地址C,从而将资金转错账

链上地址投毒  让你防不胜防

链上地址投毒  让你防不胜防

链上地址投毒  让你防不胜防

咱们认为这种进犯是链上地址投毒进犯:

  1. 首先,黑客让自己的地址呈现在用户买卖前史中,诱导用户误认为是可信的交互地址。

  2. 此外,黑客结构出的地址与用户可信地址首尾相同,被用户当作下次买卖的目标。 链上投毒很容易运用户发生资损,链上用户需一起警觉!

3. 进犯态势

截止12月2日,在BSC与ETH链上的进犯次数分别超越32万次和5万次,受进犯影响的独立地址数分别超越16万个以及4万个。

从趋势上看,BSC链自从11月22日开端迸发,ETH链则从11月27日开端迸发,两条链的进犯规划均愈演愈烈。

此外,能够看到进犯发生时刻有明显规律性,在每天UTC时刻17点到0点进犯量级明显减少。疑似进犯者处于亚洲时区。

链上地址投毒  让你防不胜防

截止12月2日,总共有 92 个独立地址受骗,累计上圈套金额到达 164万USD。伴随着进犯者进犯目标的增加,能够预见,近期还会不断有很多用户上圈套。

链上地址投毒  让你防不胜防

此外,咱们对进犯者的进犯成本进行了剖析,目前总成本接近2.9W USD(50 BNB + 11 ETH),进犯者对BSC-USD和USDT十分偏心,与安稳币的币种流通量和用户持有量有关

链上地址投毒  让你防不胜防

链上地址投毒  让你防不胜防

进犯者溯源

咱们对其中一个进犯者进行了链上溯源追踪,与两个干流中心化买卖所相关,其完整进程如下图所示:

  1. 其进犯资金的来历地址与okx.com存在相关,进犯者经过运用Transit.Finance跨链桥将原始进犯资金从TRON链转移到BSC链上。

  2. 其盗取资金最终归集到Huobi.com,进犯者仍然运用Transit.Finance跨链桥将盗取资金转移到TRON链上。

链上地址投毒  让你防不胜防

让咱们进一步打开,针对盗取资金的流向进行溯源。

首先,受害者地址0xe17c2b2b40574d229a251fe3776e6da2cc46aa5e向进犯者地址0x720c1cfe1bfc38b3b21c20961262ad1e095a6867分两次,共转账1300U。

接着,进犯者地址将资金归集到地址0x89e692c1b31e7f03b7b9cbb1c7ab7872ddeadd49

链上地址投毒  让你防不胜防

进犯者在0x89e692c1b31e7f03b7b9cbb1c7ab7872ddeadd49地址进步行了资金的跨链转移,在txhash为0x72905bd839f682f795946d285500143ee7606e9690df2ad32968e878ad290d9f的买卖中,如下图所示,将10561 USDT经过Transit.Finance的合约(0xb45a2dda996c32e93b8c47098e90ed0e7ab18e39)进行了Cross操作。在这笔买卖的Event Logs中,能够看到资金去向了TRON链的USDT,对应地址是TLUKBw37BVWDZdhbGco2ZEfdMd5Cit8TMD,对应TRON链上的买卖hash是:716507136ad28717ffd5f2f437af753ff96d344d2bcbe83f24d801db49f5a884

链上地址投毒  让你防不胜防

链上地址投毒  让你防不胜防

链上地址投毒  让你防不胜防

最终,进犯者将 TLUKBw37BVWDZdhbGco2ZEfdMd5Cit8TMD 地址上的充值进了Huobi买卖所。充值的入金地址分别是:TPtzsrCAG61QMwig3jZV8Px7Rd1WZVnRXG, TDp7r3S1hJeiNfH1CvCVXeY8notY47nagJ

链上地址投毒  让你防不胜防

链上地址投毒  让你防不胜防

进犯原理剖析

进犯者事例1:

进犯者事例2:

链上地址投毒  让你防不胜防

针对bsc链上的token进犯首要包含BSC-USD、BUSD、USDC、ETH等,大部分是经过进犯合约批量调用transferFrom()函数,也有手动调用transfer()函数的状况和针对主币的状况,原理基本一致。以下用 BSC-USD 的一个进犯合约举例

transferFrom()

在进犯者调用进犯合约的一笔买卖中,进犯合约只调用了 BSC-USD 的 transferFrom() 函数,经过对参数填充sender、recipient、amount能够完成控制任意地址间的0 USD转帐,一起发生授权Approval()与转账Transfer()的事情

Blocksec phalcon买卖信息

链上地址投毒  让你防不胜防

BSC-USD 的合约源码显示transferFrom()函数顺序调用了转账_transfer()与授权_approve()函数

链上地址投毒  让你防不胜防

_transfer()函数的效果很简单,首先排除买卖中的全零地址,然后给发送方减钱,接受者加钱,最后记载转账事情。这儿用到的加减函数add()/sub()是OpenZeppelin的safemath库,溢出会报错回退

链上地址投毒  让你防不胜防

_approve()函数同样排除全零地址,修改授权值,这个函数的重点在transferFrom中调用approve的参数核算里,用到了_allowances[sender][_msgSender()].sub(amount, "BEP20: transfer amount exceeds allowance") ,将已有的授权token数量减去转账数量,剩下的授权数量放入approve从头授权。这儿用到的减函数sub是OpenZeppelin的safemath库,溢出会报错回退;可是假如整个流程的amount参数为零,没有任何检测机制能回绝这笔买卖,也就导致了链上很多的 0U 转账能正常发送,而黑客只需要支付手续费即可收成不菲的报答。

链上地址投毒  让你防不胜防

transfer()

调用transfer()函数的进犯方法原理一致,整个流程只要加减的溢出检测,没有对零转账的过滤。

链上地址投毒  让你防不胜防

BNB

在token的进犯追溯进程中,咱们还发现了经过0 BNB转账的首尾相同垂钓进犯,原理与token垂钓类似,结构首尾相同的地址进行垂钓

进犯买卖:https://bscscan.com/tx/0x5ae6a7b8e3ee1f342153c1992ef9170788e024c4142941590857d773c63ceeb3

链上地址投毒  让你防不胜防

结构地址后迷惑性十分高,一不小心就转错到黑客地址上

正常用户地址:0x69cb60065ddd0197e0837fac61f8de8e186c2a73

黑客结构地址:0x69c22da7a26a322ace4098cba637b39fa0a42a73

6. X-explore 进犯检测

目前X-explore可针对此类进犯行为进行实时的链上监测,为了避免危害进一步加剧,咱们主张:

  1. 钱包App经过色彩或其他提示协助用户区别地址,并做好用户提醒;

  2. 用户在转账前细心区别前史买卖地址,逐字承认,最好自己存一份地址簿。

与此一起,咱们在 Dune 中开源了此次进犯事情的态势感知大图。

https://dune.com/opang/first-and-last-address-construction

链上地址投毒  让你防不胜防

敬请关注咱们。

Mirror: https://mirror.xyz/x-explore.eth

Twitter: https://twitter.com/x_explore_eth

来历:bress

此时快讯

【2022-12-05 02:40】【数据:自FTX事件以来,稳定币的市值占比从10%飙升至12.5%】金色财经报道,区块链分析公司Glassnode发推称,今年上半年,以太坊上的NFT占交易的18%至22%,但由于在熊市期间人们对NFT领域的兴趣减弱,目前NFT的市值占比已下降至8.3%。此外,自FTX事件以来,稳定币的市值占比从10%飙升至12.5%。

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注