比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

慢霧:空白支票eth_sign釣魚分析

Author:

Time:1900/1/1 0:00:00

近期,我們發現多起關于eth_sign簽名的釣魚事件。釣魚網站1:https://moonbirds-exclusive

;//RLPencodeconstrawTransaction=rlp

;//RLPencodeconstsignedRawTransaction=rlp.encode();而如上所述,eth_sign方法可以對任意哈希進行簽名,那么自然可以對我們簽名后的bytes32數據進行簽名。因此攻擊者只需要在我們連接DApp后獲取我們的地址對我們賬戶進行分析查詢,即可構造出任意數據讓我們通過eth_sign進行簽名。這種釣魚方式對用戶會有很強的迷惑性,以往我們碰到的授權類釣魚在MetaMask會給我直觀的展示出攻擊者所要我們簽名的數據。如下所示,MetaMask展示出了此釣魚網站誘導用戶將NFT授權給惡意地址。

慢霧:Poly Network再次遭遇黑客攻擊,黑客已獲利價值超439萬美元的主流資產:金色財經報道,據慢霧區情報,Poly Network再次遭遇黑客攻擊。分析發現,主要黑客獲利地址為0xe0af…a599。根據MistTrack團隊追蹤溯源分析,ETH鏈第一筆手續費為Tornado Cash: 1 ETH,BSC鏈手續費來源為Kucoin和ChangeNOW,Polygon鏈手續費來源為FixedFloat。黑客的使用平臺痕跡有Kucoin、FixedFloat、ChangeNOW、Tornado Cash、Uniswap、PancakeSwap、OpenOcean、Wing等。

截止目前,部分被盜Token (sUSD、RFuel、COOK等)被黑客通過Uniswap和PancakeSwap兌換成價值122萬美元的主流資產,剩余被盜資金被分散到多條鏈60多個地址中,暫未進一步轉移,全部黑客地址已被錄入慢霧AML惡意地址庫。[2023/7/2 22:13:22]

慢霧:ERC721R示例合約存在缺陷,本質上是由于owner權限過大問題:4月12日消息,據@BenWAGMI消息,ERC721R示例合約存在缺陷可導致項目方利用此問題進行RugPull。據慢霧安全團隊初步分析,此缺陷本質上是由于owner權限過大問題,在ERC721R示例合約中owner可以通過setRefund Address函數任意設置接收用戶退回的NFT地址。

當此退回地址持有目標NFT時,其可以通過調用refund函數不斷的進行退款操作從而耗盡用戶在合約中鎖定的購買資金。且示例合約中存在owner Mint函數,owner可在NFT mint未達總供應量的情況下進行mint。因此ERC721R的實現仍是防君子不防小人。慢霧安全團隊建議用戶在參與NFTmint時不管項目方是否使用ERC721R都需做好風險評估。[2022/4/12 14:19:58]

而當攻擊者使用eth_sign方法讓用戶簽名時,如下所示,MetaMask展示的只是一串bytes32的哈希。

慢霧:警惕高危Apache Log4j2遠程代碼執行漏洞:據慢霧安全情報,在12月9日晚間出現了Apache Log4j2 遠程代碼執行漏洞攻擊代碼。該漏洞利用無需特殊配置,經多方驗證,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影響。Apache Log4j2是一款流行的Java日志框架,建議廣大交易所、錢包、DeFi項目方抓緊自查是否受漏洞影響,并盡快升級新版本。[2021/12/10 7:30:00]

總結

本文主要介紹eth_sign簽名方式的釣魚手法。雖然在簽名時MetaMask會有風險提示,但若結合釣魚話術干擾,沒有技術背景的普通用戶很難防范此類釣魚。建議用戶在遇到此類釣魚時提高警惕,認準域名,仔細檢查簽名數據,必要時可以安裝安全插件,如:RevokeCash、ScamSniffer等,同時注意插件提醒。原地址

Tags:CHEETHACHAPACHEcoincheck交易所官網下載STREETHach幣創始人團隊APACHE價格

比特幣交易所
Reddit NFT:剖析Web2到Web3的大眾采用曲線_RED

NFT市場在今年3月份后交易量持續走低,NFTGo.io數據顯示,在過去24小時內,以太坊上的NFT總交易量約為1068萬美元.

1900/1/1 0:00:00
以太坊分片設計簡史:從「Block」到「Blob」_DAN

從“Block”到“Blob”,這其中涵義深刻。帶有“crosslink”的可執行的“分片鏈”被淘汰了:在信標鏈中實現EVM;使用“數據可用性采樣”的以rollup為中心的以太坊路線圖,擴容以太.

1900/1/1 0:00:00
代幣經濟學入門:評估加密貨幣的基礎知識_CON

在Web3時代,評估一個項目的代幣經濟模型是必不可少的環節。WhoknowsDAO翻譯了一系列精選長文,與讀者們一起深入淺出地學習代幣經濟學,從基本常識入門到實際應用進階,全面了解代幣經濟學如何.

1900/1/1 0:00:00
V神講述veTokens的恩怨情仇:原理、權力與未來趨勢_KEN

在整個加密貨幣生態系統中,每個項目都有其代幣模型,其中描述了其發行方式、效用等。區塊鏈項目不一定需要“代幣”才能成功。然而,如果想去中心化一個項目并鼓勵人們與之合作,代幣是至關重要的.

1900/1/1 0:00:00
Telegram即將在TON鏈上推出用戶名拍賣平臺_GRAM

Odaily星球日報譯者|余順遂 摘要: 即時通訊軟件Telegram即將推出用戶名拍賣平臺。該市場以后也可能支持Telegram生態系統的其他元素,包括頻道、貼紙或emoji表情符號.

1900/1/1 0:00:00
ZONFF Research:當我們談Web3數據時,我們在談些什么?_BZO

當我們在談Web3數據的時候,在談些什么?想要弄清楚這個問題,首先我們要弄清楚,在Web2中數據是什么樣的。本文將從數據的產生、收集、存儲、管理和使用的全生命周期來展開討論.

1900/1/1 0:00:00
ads