请选择 进入手机版 | 继续访问电脑版
 找回密码
 立即注册

区块链安全报告(上)

stone 2018-4-24 22:26:05 显示全部楼层 |阅读模式 打印 上一主题 下一主题
[backcolor=transparent !important]背景

[backcolor=transparent !important]2017年是虚拟货币爆发的一年,虚拟货币的价格和市值飞涨,其价值被越来越多投资机构和投资者所认可,无数人在这里赚到了钱,不法分子因此也盯上了这块肥肉,想出各种各样的办法来骗投资者的钱。本文列举了一些常见的诈骗方法,希望能提醒投资者理性投资。诈骗类型分四种,分别为钓鱼,诈骗,盗取,漏洞,不同类型又有不同的诈骗手法。
[backcolor=transparent !important]本篇将向大家介绍四种常见的诈骗类型,下篇将陈述诈骗类型的节点及趋势,并为大家提供一些防止被骗的建议
诈骗类型之[backcolor=transparent !important]钓鱼

[backcolor=transparent !important]1.仿冒官方网站
[backcolor=transparent !important]空投网站
[backcolor=transparent !important]伪造假的官方网站,借用空投的名义,让用户输入地址和私钥来盗取用户资产。
[backcolor=transparent !important]下图为伪造波场空投的网站,用户要想获得空投的波场币,需要填写自己的账户地址和私钥。

[backcolor=transparent !important]
[backcolor=transparent !important]钱包网站
[backcolor=transparent !important]诈骗手法是将其网站伪装成目前流行的在线钱包网站Blockchain.info,攻击者会创建类似于Blockchain.info的网站,但使用不同的域名,如 “block-clain.info”和“blockchien.info” 偶尔用户可能不会注意到。 然后,他们“利用Google Adwords污染用户搜索结果”,将更多流量导向这些伪造页面以试图窃取用户钱包资金,也有一些攻击者锁定了用户的Gmail账户,从而获取他们的谷歌广告关键字,然后通过SEO(搜索引擎优化)将伪造的Blockchain.info账号在搜索结果中置顶。
[backcolor=transparent !important]交易所网站
[backcolor=transparent !important]币安仿冒网站如下图,足以以假乱真,不放大图片看的话,你不会发现“binance”中间的两个“n”都有两个小点在“n”下面,跟英文字母“n”根本不是一回事,再加上页面内容跟币安官网的内容一模一样,人们根本不会注意到异常,于是输入了账号、密码。
[backcolor=transparent !important]


[backcolor=transparent !important]ICO网站
[backcolor=transparent !important]   仿冒ico项目网站,在假网站贴出假地址让中招用户去打币。
[backcolor=transparent !important]   “外国版微信”Telegram入局区块链,即将进行ICO的消息 (Telegram即将进行史上最大ICO[backcolor=transparent !important]),这给了非法分子可趁之机,下图为非法分子伪造的Telegram进行ICO的网站。
[backcolor=transparent !important]


[backcolor=transparent !important]投资者要转账的诈骗地址。
[backcolor=transparent !important]


[backcolor=transparent !important]虚假ICO地址
[backcolor=transparent !important]   对将要进行ICO项目的官方网站进行中间人劫持,用假的钓鱼eth address替换官方的真实地址,来达到欺骗的目的。
[backcolor=transparent !important]   2017年7月,coindash团队发起ICO,黑客控制了coindash官网,并修改了此前发布的文本内容,用自己的钱包地址取代coindash的,当人们投资coindash时,实际上是把币打给了黑客。此次攻击,黑客盗走了价值740万美元的以太币。
[backcolor=transparent !important]2.传播方式
[backcolor=transparent !important]邮件
[backcolor=transparent !important]   项目ICO时,黑客给所有取得白名单的用户发送钓鱼邮件,邮件里包含假的ETH地址。
[backcolor=transparent !important]   黑客拿到了Bee Token的邮件列表,并发出了一封电子钓鱼邮件,邮件中指出ICO现在已经开始,并宣称与微软达成合作,承诺投资者将得到翻倍收益,现在可以向邮件中地址进行打币参加投资。下图为钓鱼邮件内容:
[backcolor=transparent !important]
[backcolor=transparent !important]社交、telegram
[backcolor=transparent !important]   冒充官方,接管官方telegram群或者slack群,发出假的众筹地址向投资者提前ICO。
[backcolor=transparent !important]   盗窃者通过冒充官方团队向投资者索要ICO“预售”资金,被盗取资金价值50万美元。
[backcolor=transparent !important]诈骗类型之诈骗
[backcolor=transparent !important]1.返现
[backcolor=transparent !important]模式:First * transactions with * ETH sent to the address below will receive n*  ETH in the address.
[backcolor=transparent !important]前多少名发送少量数字货币到指定账号就可以得到n倍的返现。
[backcolor=transparent !important]山寨账号发布诈骗信息推文:
[backcolor=transparent !important]


[backcolor=transparent !important]诈骗地址的转账记录:
[backcolor=transparent !important]


[backcolor=transparent !important]真的V神Twitter。
[backcolor=transparent !important]


[backcolor=transparent !important]建立私募群,说能拿到某个币的私募额度,让想参与私募的人给他指定的地址打币。
[backcolor=transparent !important]冒充钱包官方客服索要私钥或者助记词
[backcolor=transparent !important]虚假挖矿APP。
[backcolor=transparent !important]   这些虚假挖矿APP声称可以为用户进行挖矿,但是安装后更多的是展示广告,甚至有一些APP欺骗用户为他们打五星。
[backcolor=transparent !important]


[backcolor=transparent !important]5.虚假钱包APP。
[backcolor=transparent !important] 运行界面:
[backcolor=transparent !important]           [backcolor=transparent !important]      
[backcolor=transparent !important]名称
[backcolor=transparent !important]ADA Wallet
[backcolor=transparent !important]MD5
[backcolor=transparent !important]D49776BC565F102611D8A1CE3AF06742
[backcolor=transparent !important]包名
[backcolor=transparent !important]com.thunkable.android.magnetmotorsolved.ADA_Daedalus_Walletg
[backcolor=transparent !important]该程序伪装成Daedalus加密货币钱包,声明它可以将其他加密货币转换为ADA Cardano货币,诱导用户将自己的虚拟货币转入到钱包中给出的固定接收地址,达到骗钱的目的。
[backcolor=transparent !important]钱包给出的诈骗地址列表:
[backcolor=transparent !important] 币种
[backcolor=transparent !important]                地址
[backcolor=transparent !important]  诈骗数量
[backcolor=transparent !important]Bitcoin
[backcolor=transparent !important]1EYeDQbVSxdnk1yZuNvJEP6dKHZH2jqwH3
[backcolor=transparent !important]0.36728886 btc
[backcolor=transparent !important]Litecoin
[backcolor=transparent !important]LZgdv25dJhCZMbYVDprF2kdMXBt45ZuwcZ
[backcolor=transparent !important]5.81895789 ltc
[backcolor=transparent !important]Dash
[backcolor=transparent !important]XxNDq28KjknNNhMSTkHDygPh6yVAQPdnXP
[backcolor=transparent !important]0.00123755DASH
[backcolor=transparent !important]Ethereum
[backcolor=transparent !important]0x95760155ba271458f07fe469ad4e444ba2319bf3
[backcolor=transparent !important]1.939ETH
[backcolor=transparent !important]Bitcoin Cash
[backcolor=transparent !important]1LvKTg8xDGTmBNqisK29hK8ZwQKrSTmatA
[backcolor=transparent !important]0.04477665 BCH
[backcolor=transparent !important]Bitcoin Gold
[backcolor=transparent !important]GSMRcHPpP6Usg2MbMrPqbYBLK92CgLB1T4
[backcolor=transparent !important]0
[backcolor=transparent !important]DogeCoin
[backcolor=transparent !important]DSJXmvcFoDiVvoAaTN3F4LFSUvrsaikTAd
[backcolor=transparent !important]450,314.00998495 DOGE
[backcolor=transparent !important]Ripple
[backcolor=transparent !important]rNDRi6cYHTuUgyMjw3jzzD8KHZyhmznZxd
[backcolor=transparent !important] [backcolor=transparent !important]267.271112 XRP

[backcolor=transparent !important]下图为安全钱包safewallet检测出的部分虚假钱包:
[backcolor=transparent !important]
[backcolor=transparent !important]

[backcolor=transparent !important]诈骗类型之盗取
[backcolor=transparent !important]1.交易账号被盗
[backcolor=transparent !important] 同上边伪造币安交易所网站类似,登录假的交易网站,账号密码被盗取。
[backcolor=transparent !important]2.钱包账号被盗
   从今年年初开始,来自SecurityScorecard的研究人员发现了两个僵尸网络,这两个僵尸网络分别由ZeusPanda和Ramnit恶意软件家族驱动,主要针对的是Coinbase.com和Blockchain.info这两款加密货币钱包。
   需要注意的是,当用户在访问那些受这种恶意软件感染的网站时,恶意软件能够检测到用户的访问活动,并在后台悄悄注入经过混淆处理的恶意脚本,然后修改目标页面中所的呈现内容。
   如果目标站点是Coinbase的话,恶意脚本会让原网站中邮件地址和密码的输入文本域失效,并创建一个新的恶意按钮然后叠加在“登录”按钮之上。这样一来,当用户输入了登录凭证并按下所谓的“提交”按钮之后,他们会认为自己完成了登录,但此时他们的凭证信息将发送给攻击者所控制的服务器。实际上,恶意软件还会假装登录受限,并要求用户进一步完成双因素身份验证:



当攻击者获取到目标用户的凭证数据之后,攻击者会利用这些数据来访问用户账号,并修改相应的安全设置以便进行之后的欺诈交易。
[backcolor=transparent !important]直接窃取私钥
[backcolor=transparent !important]   2017年6月活跃的秘密洗牌者病毒(CryptoShuffler),可监视用户的剪切板,并对剪切板的数据进行实时匹配替换(匹配算法采用正则匹配),当中毒者进行转赠或交易时,剪切板中存放的乙方钱包地址将被替换为攻击者设置的钱包地址。
[backcolor=transparent !important]4.替换钱包地址
[backcolor=transparent !important]   Claymore Miner 是一个流行的的多种代币的挖矿程序,互联网上现存了较多设备正在基于Claymore Miner挖矿。Claymore MinerWindows 版本通过 Remote management 子目录下的 EthMan.exe 文件,在3333端口上,提供了远程监控和管理的特性。僵尸网络通过渗透互联网上现存其他Claymore Miner挖矿设备,通过攻击其3333 管理端口,替换钱包地址,并最终攫取受害挖矿设备的算力和对应的 ETH 代币。
[backcolor=transparent !important]诈骗类型之漏洞
[backcolor=transparent !important]智能合约漏洞
[backcolor=transparent !important]1.the DAO攻击

[backcolor=transparent !important]攻击者组合了2个漏洞攻击。攻击者利用的第一个漏洞是递归调用splitDAO函数。
[backcolor=transparent !important]也就是说splitDAO函数被第一次合法调用后会非法的再次调用自己,然后不断重复这个自己非法调用自己的过程。这样的递归调用可以使得攻击者的DAO资产在被清零之 前,数十次的从TheDAO的资产池里重复分离出来理应被清零的攻击者的DAO资产。 攻击者利用的第二个漏洞是DAO资产分离后避免从TheDAO资产池中销毁。正常情况 下,攻击者的DAO资产被分离后,TheDAO资产池会销毁这部分DAO资产。但是攻击 者在递归调用结束前把自己的DAO资产转移到了其他账户,这样就可以避免这部分 DAO资产被销毁。在利用第一个漏洞进行攻击完后把安全转移走的DAO资产再转回原账户。这样攻击者做到了只用2个同样的账户和同样DAO资产进行了200多次攻击。

[backcolor=transparent !important]此次事件导致将近15%的ETH被黑客盗走,为了挽回投资者的损失,以太坊社区决定进行软分叉来找回丢失的ETH,最终导致了ETH的分叉。
[backcolor=transparent !important]2.以太坊Parity钱包合约漏洞
[backcolor=transparent !important]智能合约的callback里使用了delegatecall(msg.data),这个函数会呼叫data中的函数并将msg.sender设为原呼叫函数的地址,黑客利用这一点呼叫了initWallet,这时你们可能会以为Parity应该有在initWallet[backcolor=transparent !important]设置条件阻挡黑客就不能呼叫,结果竟然是没有!所以黑客就成功并改变合约的拥有者,最后再把以太币转走[backcolor=transparent !important]
[backcolor=transparent !important]3.MAIAN工具对智能合约漏洞的分析
新加坡和英国几位研究员用一种MAIAN的工具分析扫描了100万份智能合约,发现大约3.4%的智能合约存在安全漏洞,报告指出由于智能合约编码不完善,存在数个漏洞,导致数百万美元的以太币暴露在风险中。
ERC20标准导致用户损失
主要问题是缺乏处理通过ERC20代币transfer方法执行的传入ERC20事务的可能性。如果您发送100个ETH到一个不打算与Ether协同工作的合同,那么它将拒绝一个交易,并且不会发生任何错误。如果您将100个ERC20令牌发送到不打算与ERC20令牌一起使用的合同,则它不会拒绝令牌,因为它无法识别传入的事务。结果,您的代币将卡住合约余额。
目前丢失了多少ERC20令牌(2017年12月27日):
QTUM,1,204,273美元流失。
EOS 损失1,015,131美元。
GNT,亏损249,627美元。
STORJ,亏损217,477美元。
Tronix,损失201,232美元。
DGD,损失151,826美元。
OMG,亏损149,941美元。
STORJ,输掉102,560 美元。

[backcolor=transparent !important]客户端漏洞
[backcolor=transparent !important]1.Ledger钱包漏洞
[backcolor=transparent !important]Ledger钱包在每次收到付款时都会生成一个新地址,不过如果电脑感染了恶意软件,那么当用户试图生成地址以转移加密货币时,攻击者可通过中间人攻击将加密货币转移到欺诈地址。
[backcolor=transparent !important]2.JSON RPC漏洞
[backcolor=transparent !important]攻击者利用以太坊节点 Geth/Parity RPC API 鉴权缺陷,恶意调用 eth_sendTransaction 盗取代币。
   全球扫描 8545 端口(HTTP JSON RPC API)、8546 端口(WebSocket JSON RPC API)等开放的以太坊节点,发送 eth_getBlockByNumber、eth_accounts、eth_getBalance 遍历区块高度、钱包地址及余额不断重复调用 eth_sendTransaction 尝试将余额转账到攻击者的钱包当正好碰上节点用户对自己的钱包执行 unlockAccount 时,在 duration 期间内无需再次输入密码为交易签名,此时攻击者的 eth_sendTransaction 调用将被正确执行,余额就进入攻击者的钱包里了。截止到发文之前,此地址已经收到4313笔转账,即4313个人的账号被盗,总价值为38079.4个ETH,约19686843美元。



[backcolor=transparent !important]   今天就为大家介绍到这里,下篇将在近两天更新,欢迎大家关注。等不及的币友可以访问我们的官网或电报群获取最新消息!
[backcolor=transparent !important]

[backcolor=transparent !important]注:本文来自猎豹移动区块链中心:https://www.cmcmbc.com/zh-cn/,转载请注明

SafeWallet下载方式:访问 https://www.cmcmbc.com/zh-cn/选择对应操作系统版本即可

SafeWallet 用户交流群:https://t.me/cmsafewallet

区块链应用研究所telegram群:https://t.me/blockchainutilitylab1


区块链安全报告(上).compressed.pdf

662.38 KB, 下载次数: 0

猎豹移动区块链中心:https://www.cmcmbc.com
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则