如何避免從以太坊虛擬機(EVM)到Solana的網絡釣魚詐騙?
最近,一名用戶發帖稱在Solana上因為網絡釣魚詐騙損失了數百萬人民幣的資產。據描述,他在萬豪項目的推文下,誤點了一個由釣魚小組發布的鏈接,導致他進入了一個詐騙網站。
讓他困惑的是,在互動過程中,該網站似乎並不需要任何令牌授權操作,而駭客成功直接竊取了資產。當他意識到該網站可能存在問題,並試圖從他的錢包轉移代幣以避免被盜時,他發現多次嘗試轉移失敗,並且無法再提取他的資產。
由於提供的細節有限,我們無法完全還原事件現場。然而,很明顯用戶失去了對招財貓代幣帳戶的控制,這就是為什麼他的錢包轉賬嘗試失敗的原因。熟悉EVM的用戶可能會對帳戶控制的含義感到困惑。
這是因為Solana使用了與EVM鏈不同的實現。繼續使用來自EVM的習慣與Solana互動,就像是用過時的劍來打現代戰鬥,必然會帶來重大風險。
要在Solana上玩得開心,了解Solana的特性和詐騙手法是必不可少的。因此,我們整理了一些Solana上與EVM不同的攻擊方法,希望能幫助不熟悉Solana的用戶避免陷阱。
1. cuckoo在巢中:代幣帳戶所有權轉移
我們開場案例中的主角遇到了這種攻擊。在 Solana 錢包中,每個代幣都有一個獨立的帳戶(代幣帳戶),類似於銀行帳戶可能為不同貨幣(如人民幣和美元)設立獨立帳戶,彼此獨立。每個代幣帳戶也有一個所有權屬性。
默認情況下,代幣賬戶的所有者被指定為當前錢包。但是,這並非硬編碼。通過調用createsetauthorityinstruction操作,可以更改代幣賬戶的所有權。黑客利用此操作欺騙用戶將代幣賬戶的所有權從他們的錢包轉移到黑客的錢包。
一旦成功,即使代幣仍在錢包中,用戶也無法轉出,這與代幣被盜竊的情況本質上相同。
由於此操作存在較高風險,因此幻影和@Backpack_CN錢包會攔截並警告用戶有關交易風險的信息,除非用戶堅持批准交易,否則需要進行第二次確認。
2. 在Solana上的交易不需要預授權
在以太坊虛擬機(EVM)上,網絡釣魚合約需要用戶在代幣合約上授權合約,才能從用戶錢包轉移代幣。只有在獲得授權後,網絡釣魚合約才能發起轉移用戶資產的交易。
然而,在Solana上,“approve”並不意味著授權,而是交易批准。如果用戶錯誤地將其視為授權步驟並批准它,釣魚交易將被發送出去,很難恢復。
如果用戶被誘導在EVM上授權代幣,則只有被授權的代幣受到影響,其他未授權的代幣仍然安全。在Solana上,由於不需要授權,只需要用戶批准轉移代幣,再加上我們接下來將討論的第三點,這可能導致用戶遭受重大損失。
3. 請注意不要被誘導轉移多個代幣
Solana 的交易設計允許在單個交易中包含多個子交易,每個子交易完成一次互動,例如轉移特定代幣。與以太坊虛擬機(EVM)需要單獨交易轉移每個代幣相比,Solana 的這個特點提供了一些便利。
例如,您的錢包中可能含有價值非常低的一些代幣,少於1美元。Sol-Incinerator利用此功能,允許用戶批量從其錢包中發送小額代幣並將其轉換回Sol,而無需進行多次轉換,這將消耗大量的燃料和節省操作時間。
雖然此功能提供了方便,但也極大地促進了黑客活動。如果黑客成功騙取用戶確認交易,他們可以從用戶的錢包中盜取代幣、NFT甚至Sol。因此,如果您看到涉及轉移許多代幣的交易,要小心,因為這可能是黑客試圖使用此功能清空您的錢包。
4. 偷竊交易簽名
在EVM生態系統中,許可簽名因其隱蔽性和不出現在授權人錢包中的事實而受到釣魚小組的青睞。目前,超過一半的釣魚攻擊使用此方法。在Solana世界中,有一種類似的方法:持久性nonce。
耐用的nonce功能與許可證類似。如果用戶無意中簽署了一筆交易,他們不會立即損失資產或在錢包中看到該交易。相反,簽署的交易信息被發送給釣魚組織,然後由他們將交易提交到區塊鏈。這種離線交易特性和許可證一樣危險。
由於Solana可以模擬交易結果,耐久性一次性密鑰比許可權更易讀,讓用戶更容易識別。然而,網絡釣魚集團將耐久性一次性密鑰與合約升級結合,更有效地竊取資產,同時繞過交易模擬警告。
網絡釣魚網站首先使用正常合約與用戶進行交互,而不進行惡意交易。錢包的交易模擬功能在此階段顯示沒有問題。一旦用戶批准交易,釣魚團隊不會立即將其廣播到區塊鏈上。相反,他們會等待,然後將合約升級到具有惡意代碼的版本,然後再廣播。然後,用戶會突然發現他們的資產失踪,通常是在他們簽署交易後的幾天內。
這種升級後的攻擊方法非常隱匿和有害。當前的交易模擬功能無法顯示這種風險。因此,保持高度警惕,不要過分依賴錢包軟件的警告,也不要盲目相信交易模擬結果,這非常重要。
結論
這些功能的原始設計目的是降低用戶門檻,提供更多便利。然而,就像雙刃劍一樣,新技術也為釣魚組織提供了更廣泛的攻擊方法。
就在撰寫本文之前,Solana推出了兩個新功能:Action和Blink。儘管對這些功能有很高的期望,但也有人警告說,有可能有釣魚團伙利用它們。
Solana上的网络钓鱼以一键操作和高隐蔽性为特点。由于RPC不稳定和其他原因,交易模拟功能可能并不总是有效,因此不能完全依赖它们。
建議具備財力的用戶使用Keystone硬體錢包進行交互操作。這將增加一層確認,防止因衝動或誤點導致的快速確認交易。
此外,Keystone會在硬件端解析交易。在軟件錢包交易模擬失敗的情況下,硬件仍然可以解析交易內容,提供最後的防線。
區塊鏈技術不斷演進和變革。雖然我們擔心與新技術相關的風險,但我們不能停止前進。網絡釣魚組織就像每個人都想消除的害蟲,包括硬件錢包製造商和安全公司在內的專業人士正在不斷開發解決方案以對抗新威脅。
作為普通用戶,提醒自己不要被“免費禮品”所吸引,而是要仔細審查交易細節。擁有這種安全意識,網絡釣魚的嘗試成功的可能性要小得多。
免责声明:
相關文章
真或假?比特幣核心不再支援私鑰匯入?
關於Forta Network的一切: Web3安全監視塔你需要知道的一切
如何避免從以太坊虛擬機(EVM)到Solana的網絡釣魚詐騙?
最近,一名用戶發帖稱在Solana上因為網絡釣魚詐騙損失了數百萬人民幣的資產。據描述,他在萬豪項目的推文下,誤點了一個由釣魚小組發布的鏈接,導致他進入了一個詐騙網站。
讓他困惑的是,在互動過程中,該網站似乎並不需要任何令牌授權操作,而駭客成功直接竊取了資產。當他意識到該網站可能存在問題,並試圖從他的錢包轉移代幣以避免被盜時,他發現多次嘗試轉移失敗,並且無法再提取他的資產。
由於提供的細節有限,我們無法完全還原事件現場。然而,很明顯用戶失去了對招財貓代幣帳戶的控制,這就是為什麼他的錢包轉賬嘗試失敗的原因。熟悉EVM的用戶可能會對帳戶控制的含義感到困惑。
這是因為Solana使用了與EVM鏈不同的實現。繼續使用來自EVM的習慣與Solana互動,就像是用過時的劍來打現代戰鬥,必然會帶來重大風險。
要在Solana上玩得開心,了解Solana的特性和詐騙手法是必不可少的。因此,我們整理了一些Solana上與EVM不同的攻擊方法,希望能幫助不熟悉Solana的用戶避免陷阱。
1. cuckoo在巢中:代幣帳戶所有權轉移
我們開場案例中的主角遇到了這種攻擊。在 Solana 錢包中,每個代幣都有一個獨立的帳戶(代幣帳戶),類似於銀行帳戶可能為不同貨幣(如人民幣和美元)設立獨立帳戶,彼此獨立。每個代幣帳戶也有一個所有權屬性。
默認情況下,代幣賬戶的所有者被指定為當前錢包。但是,這並非硬編碼。通過調用createsetauthorityinstruction操作,可以更改代幣賬戶的所有權。黑客利用此操作欺騙用戶將代幣賬戶的所有權從他們的錢包轉移到黑客的錢包。
一旦成功,即使代幣仍在錢包中,用戶也無法轉出,這與代幣被盜竊的情況本質上相同。
由於此操作存在較高風險,因此幻影和@Backpack_CN錢包會攔截並警告用戶有關交易風險的信息,除非用戶堅持批准交易,否則需要進行第二次確認。
2. 在Solana上的交易不需要預授權
在以太坊虛擬機(EVM)上,網絡釣魚合約需要用戶在代幣合約上授權合約,才能從用戶錢包轉移代幣。只有在獲得授權後,網絡釣魚合約才能發起轉移用戶資產的交易。
然而,在Solana上,“approve”並不意味著授權,而是交易批准。如果用戶錯誤地將其視為授權步驟並批准它,釣魚交易將被發送出去,很難恢復。
如果用戶被誘導在EVM上授權代幣,則只有被授權的代幣受到影響,其他未授權的代幣仍然安全。在Solana上,由於不需要授權,只需要用戶批准轉移代幣,再加上我們接下來將討論的第三點,這可能導致用戶遭受重大損失。
3. 請注意不要被誘導轉移多個代幣
Solana 的交易設計允許在單個交易中包含多個子交易,每個子交易完成一次互動,例如轉移特定代幣。與以太坊虛擬機(EVM)需要單獨交易轉移每個代幣相比,Solana 的這個特點提供了一些便利。
例如,您的錢包中可能含有價值非常低的一些代幣,少於1美元。Sol-Incinerator利用此功能,允許用戶批量從其錢包中發送小額代幣並將其轉換回Sol,而無需進行多次轉換,這將消耗大量的燃料和節省操作時間。
雖然此功能提供了方便,但也極大地促進了黑客活動。如果黑客成功騙取用戶確認交易,他們可以從用戶的錢包中盜取代幣、NFT甚至Sol。因此,如果您看到涉及轉移許多代幣的交易,要小心,因為這可能是黑客試圖使用此功能清空您的錢包。
4. 偷竊交易簽名
在EVM生態系統中,許可簽名因其隱蔽性和不出現在授權人錢包中的事實而受到釣魚小組的青睞。目前,超過一半的釣魚攻擊使用此方法。在Solana世界中,有一種類似的方法:持久性nonce。
耐用的nonce功能與許可證類似。如果用戶無意中簽署了一筆交易,他們不會立即損失資產或在錢包中看到該交易。相反,簽署的交易信息被發送給釣魚組織,然後由他們將交易提交到區塊鏈。這種離線交易特性和許可證一樣危險。
由於Solana可以模擬交易結果,耐久性一次性密鑰比許可權更易讀,讓用戶更容易識別。然而,網絡釣魚集團將耐久性一次性密鑰與合約升級結合,更有效地竊取資產,同時繞過交易模擬警告。
網絡釣魚網站首先使用正常合約與用戶進行交互,而不進行惡意交易。錢包的交易模擬功能在此階段顯示沒有問題。一旦用戶批准交易,釣魚團隊不會立即將其廣播到區塊鏈上。相反,他們會等待,然後將合約升級到具有惡意代碼的版本,然後再廣播。然後,用戶會突然發現他們的資產失踪,通常是在他們簽署交易後的幾天內。
這種升級後的攻擊方法非常隱匿和有害。當前的交易模擬功能無法顯示這種風險。因此,保持高度警惕,不要過分依賴錢包軟件的警告,也不要盲目相信交易模擬結果,這非常重要。
結論
這些功能的原始設計目的是降低用戶門檻,提供更多便利。然而,就像雙刃劍一樣,新技術也為釣魚組織提供了更廣泛的攻擊方法。
就在撰寫本文之前,Solana推出了兩個新功能:Action和Blink。儘管對這些功能有很高的期望,但也有人警告說,有可能有釣魚團伙利用它們。
Solana上的网络钓鱼以一键操作和高隐蔽性为特点。由于RPC不稳定和其他原因,交易模拟功能可能并不总是有效,因此不能完全依赖它们。
建議具備財力的用戶使用Keystone硬體錢包進行交互操作。這將增加一層確認,防止因衝動或誤點導致的快速確認交易。
此外,Keystone會在硬件端解析交易。在軟件錢包交易模擬失敗的情況下,硬件仍然可以解析交易內容,提供最後的防線。
區塊鏈技術不斷演進和變革。雖然我們擔心與新技術相關的風險,但我們不能停止前進。網絡釣魚組織就像每個人都想消除的害蟲,包括硬件錢包製造商和安全公司在內的專業人士正在不斷開發解決方案以對抗新威脅。
作為普通用戶,提醒自己不要被“免費禮品”所吸引,而是要仔細審查交易細節。擁有這種安全意識,網絡釣魚的嘗試成功的可能性要小得多。
免责声明:
相關文章
真或假?比特幣核心不再支援私鑰匯入?