Web3 フィッシングは、Web3 ユーザーに対する一般的な攻撃手法であり、ユーザーのウォレット内の暗号化された資産を盗むことを目的として、ユーザーの認証と署名を盗んだり、ユーザーに誤操作を実行させたりするためにさまざまな方法が使用されます。
近年、Web3フィッシング事件が後を絶たず、DaaS(Drainer as a Service)のブラック産業チェーンが発展し、セキュリティ上の深刻な状況が生じている。
この記事では、SharkTeam は、一般的な Web3 フィッシング手法の体系的な分析を実施し、ユーザーがフィッシング詐欺をより適切に特定し、暗号化された資産のセキュリティを保護できるようにするために、参考としてセキュリティ上の予防措置を提供します。
1. 一般的な釣り手法の分析
1. オフチェーン署名フィッシングを許可する
Permit は、ERC-20 標準に基づく承認の拡張機能であり、簡単に言うと、トークンを移動するために他のアドレスに署名して承認することができます。原則として、承認されたアドレスがこの署名を通じてトークンを使用できることを示すために署名すると、承認されたアドレスがオンチェーン許可のやり取りのために署名を保持し、呼び出しの承認を取得して資産を転送できるようになります。オフチェーン署名フィッシングの許可は通常、次の 3 つのステップに分かれています。
(1) 攻撃者は、フィッシング リンクまたはフィッシング Web サイトを偽造して、ユーザーがウォレットを介して署名するように誘導します (契約のやり取りやオンチェーンはありません)。
署名オブジェクト: DAI/USDC/WETH およびその他の ERC20 トークン (ここでは DAI)
所有者://署名アドレス
浪費者://フィッシング詐欺師のアドレス
ナンス:0
expiry:1988064000 //有効期限
許可:真
署名されている場合、フィッシング詐欺師は許可機能の必要性を操作するときに、被害者から DAI/USDC/WETH およびその他の ERC20 トークン (ここでは DAI) を盗むために使用される署名 (r、s、v の値のピリオド) を取得します。使用されます)。
(2) 攻撃者は、permit 関数を呼び出して認可を完了します。
https://etherscan.io/tx/0x1fe75ad73f19cc4c3b658889dae552bb90cf5cef402789d256ff7c3e091bb662
(3) 攻撃者は transferFrom 関数を呼び出して被害者の資産を転送し、攻撃を完了します。
まず、transferとtransferFromの違いについて説明します。ERC20を直接転送する場合、通常、ERC20コントラクト内のtransfer関数を呼び出します。transferFromは、通常、ウォレット内のERC20を他のアドレスに転送することを許可するときに使用されます。
https://etherscan.io/tx/0x9c02340896e238fc667c1d84fec78af99b1642c986fe3a81602903af498eb938
追加説明: この種の署名は、Gas-free オフチェーン署名であり、攻撃者はそれを取得した後、オンチェーン インタラクションで許可と transferFrom を実行するため、被害者のオンチェーン レコードでは認可レコードを確認できません。攻撃者のアドレスが表示されます。一般に、このシグネチャは 1 回限りの使用であり、繰り返しまたは継続的なフィッシング リスクを引き起こすことはありません。
2. Permit2 オフチェーン署名フィッシング
Permit2 は、ユーザーの利便性のために Uniswap によって 2022 年末に開始されたスマート コントラクトであり、将来的にはより多くのプロジェクトが統合される予定です。 Permit2 を使用すると、Permit2 コントラクトは DApp エコシステムでより統合された承認管理エクスペリエンスを実現し、ユーザーのトランザクション コストを節約できます。
Permit2 が登場する前は、Uniswap でのトークン交換には承認 (承認) を行ってから交換 (スワップ) が必要で、2 つの操作と 2 つのトランザクションのガス料金が必要でした。 Permit2 の開始後、ユーザーは Uniswap の Permit2 契約に対するすべてのクォータを一度に承認でき、その後の償還にはオフチェーンの署名のみが必要になります。
Permit2 が登場する前は、Uniswap でのトークン交換には承認 (承認) を行ってから交換 (スワップ) が必要で、2 つの操作と 2 つのトランザクションのガス料金が必要でした。 Permit2 の開始後、ユーザーは Uniswap の Permit2 契約に対するすべてのクォータを一度に承認でき、その後の償還にはオフチェーンの署名のみが必要になります。
Permit2 はユーザー エクスペリエンスを向上させますが、その後、Permit2 の署名をターゲットにしたフィッシング攻撃が発生します。 Permit オフチェーン署名フィッシングと同様に、Permit2 もオフチェーン署名フィッシングであり、この攻撃は主に次の 4 つのステップに分かれています。
(1) 前提条件は、ユーザーのウォレットがフィッシングされる前に Uniswap を使用しており、Uniswap の Permit2 契約に対するトークン制限を承認していることです (Permit2 では、デフォルトでユーザーがトークンの残高全体を承認できます)。
https://etherscan.io/tx/0xd8f0333b9e0db7175c38c37e490379bde5c83a916bdaa2b9d46ee6bff4412e8f
(2) 攻撃者は、フィッシング リンクまたはフィッシング ページを偽造してユーザーに署名を誘導し、必要な署名情報を取得します。これは、Permit チェーンからの署名フィッシングと同様です。
(3) 攻撃者は Permit2 コントラクトの許可関数を呼び出して認可を完了します。
https://etherscan.io/tx/0xd8c3f55dfbc8b368134e6236b296563f506827bd5dc4d6c0df39851fd219d658
(4) 攻撃者は Permit2 コントラクトの transferFrom 関数を呼び出して、被害者の資産を転送し、攻撃を完了します。
https://etherscan.io/tx/0xf6461e003a55f8ecbe919a47b3c0dc6d0f068e48a941658329e35dc703138486
補足: 攻撃者が資産を受け取るアドレスは通常複数存在し、通常、最大額の受信者の 1 つがフィッシングを実行する攻撃者であり、残りはフィッシング アズ ア サービス (phishing-as-a-service) を提供するブラック アドレスです。 -サービス DaaS プロバイダー) アドレス (PinkDrainer、InfernoDrainer、AngelDrainer など)。
3. eth_sign チェーンでのブラインドサインフィッシング
eth_sign は、任意のハッシュに署名できるオープン署名メソッドです。攻撃者は、署名が必要な悪意のあるデータ (トークン転送、コントラクト呼び出し、認可取得など) を作成し、eth_sign を介してユーザーに署名を促すだけで済みます。攻撃を完了することができます。
MetaMask は、eth_sign に署名するときにリスク警告を出します。imToken や OneKey などの Web3 ウォレットでは、この機能が無効になっているか、リスク警告が提供されています。セキュリティ意識の欠如または必要性を理由に、ユーザーが攻撃されるのを防ぐために、すべてのウォレット メーカーがこのメソッドを無効にすることをお勧めします。技術の蓄積。
4.personal_sign/signTypedData オンチェーン署名フィッシング
4.personal_sign/signTypedData オンチェーン署名フィッシング
Personal_sign と SignTypedData は一般的に使用される署名方法です。通常、ユーザーはイニシエーター、ドメイン名、署名の内容などが安全かどうかを注意深く確認する必要があり、危険な場合は特に注意する必要があります。
また、上記のようにpersonal_signとsignTypedDataが「ブラインド署名」として使用されると、ユーザーは平文を見ることができず、フィッシング集団に悪用されやすくなり、フィッシングの危険性も高まります。
5. 許可されたフィッシング
攻撃者は、悪意のある Web サイトを偽造したり、プロジェクトの公式 Web サイトに馬を吊るしたりすることで、ユーザーに setApprovalForAll、承認、承認の増加、許容量の増加などの操作を確認させ、ユーザーの資産操作の承認を取得し、窃盗を実行させます。
(1)すべての承認を設定
PREMINT のホースフィッシング事件を例に挙げると、プロジェクト Web サイト上の js ファイル (https://s3-redwood-labs.premint.xyz/theme/js/boomerang.min.js) に悪意のあるコードが挿入されました。 js ファイル (https://s3-redwood-labs-premint-xyz.com/cdn.min.js?v=1658050292559) が動的に作成され、挿入されます。攻撃はこの悪意のあるスクリプトによって開始されます。
ユーザーはリスクの発見が間に合わなかったため、setApprovalForAll 操作を確認し、誤って資産の操作権限を漏洩し、その結果資産が盗まれてしまいました。
ユーザーはリスクの発見が間に合わなかったため、setApprovalForAll 操作を確認し、誤って資産の操作権限を漏洩し、その結果資産が盗まれてしまいました。
(2)承認する
setApprovalForAll と同様に、ユーザーが承認操作を確認し、資産に対する操作権限が漏洩し、その結果、資産が盗まれました。
間違った承認を承認します:
https://etherscan.io/tx/0x4b0655a5b75a9c078653939101fffc1d08ff7e5c89b0695ca6db5998214353fa
攻撃者は、transferFrom を通じて資産を転送します。
https://etherscan.io/tx/0x0dedf25777ff5483bf71e70e031aacbaf50124f7ebb6804beb17aee2c15c33e8
承認増加関数と許可増加関数の攻撃原理はこれに似ています。デフォルトでは、攻撃者が被害者のアドレス トークンを操作できる上限は 0 です。ただし、これら 2 つの関数によって承認された後、攻撃者は被害者のアドレス トークンの制限を増やします。トークンの操作制限が設定され、その量のトークンを転送できます。
(3) 承認を増やす
承認不正の増加:
https://etherscan.io/tx/0x7ae694080e2ad007fd6fa25f9a22ca0bbbff4358b9bc84cc0a5ba7872118a223
攻撃者は、transferFrom を通じて資産を転送します。
https://etherscan.io/tx/0x15bc5516ed7490041904f1a4c594c33740060e0f0271cb89fe9ed43c974a7a69
(4) 手当の増額
増額手当の不正承認:
https://etherscan.io/tx/0xbb4fe89c03d8321c5bfed612fb76f0756ac7e99c1efaf7c4d99d99f850d4de53
攻撃者は、transferFrom を通じて資産を転送します。
https://etherscan.io/tx/0xb91d7b1440745aa07409be36666bc291ecc661e424b21b855698d488949b920f
6. 汚染フィッシングに対処する
アドレス汚染フィッシングも、最近横行しているフィッシング手法の 1 つであり、攻撃者はチェーン上のトランザクションを監視し、通常、ターゲット ユーザーの過去のトランザクションの相手のアドレスに基づいて、最初の 4 ~ 6 桁と最後の 4 ~ 6 桁を偽造します。数字が正しい相手に関連付けられている場合、両方の当事者のアドレスが同じであるため、これらの悪意のある偽造アドレスは、少額または無価値のトークンをターゲット ユーザーのアドレスに転送するために使用されます。
ターゲットユーザーが個人的な習慣により、過去の取引注文から相手のアドレスをコピーして以降の取引で転送すると、不注意により資産が誤って悪意のあるアドレスに転送される可能性が非常に高くなります。
2024 年 5 月 3 日、このアドレスの汚染フィッシング手法により 1155WBTC がフィッシングされ、その価値は 7,000 万米ドル以上になりました。
正しいアドレス: 0xd9A1b0B1e1aE382DbDc898Ea68012FfcB2853a91
悪意のあるアドレス: 0xd9A1C3788D81257612E2581A6ea0aDa244853a91
通常の取引:
https://etherscan.io/tx/0xb18ab131d251f7429c56a2ae2b1b75ce104fe9e83315a0c71ccf2b20267683ac
汚染への対処:
https://etherscan.io/tx/0x87c6e5d56fea35315ba283de8b6422ad390b6b9d8d399d9b93a9051a3e11bf73
間違った方向のトランザクション:
https://etherscan.io/tx/0x3374abc5a9c766ba709651399b6e6162de97ca986abc23f423a9d893c8f5f570
7. CREATE2 を使用してセキュリティ検出を回避する、より巧妙なフィッシング
現在、さまざまなウォレットやセキュリティプラグインは、フィッシングブラックリストや一般的なフィッシング手法に対する視覚的なリスクリマインダーを段階的に実装し、署名情報もますます完全に表示するようになり、一般ユーザーのフィッシング攻撃を識別する能力が向上しています。ただし、攻撃的テクノロジーと防御的テクノロジーは常に競合しており、継続的に開発されており、秘密のフィッシング手法も絶えず出現しているため、より警戒する必要があります。 CREATE2 を使用してウォレットやセキュリティ プラグインのブラックリスト検出をバイパスする方法は、最近では比較的一般的な方法です。
Create2 は、イーサリアムの「コンスタンティノープル」アップグレード中に導入されたオペコードで、ユーザーがイーサリアム上でスマート コントラクトを作成できるようにします。元の Create オペコードは、作成者のアドレスと nonce に基づいて新しいアドレスを生成し、ユーザーはコントラクトのデプロイ前にアドレスを計算できます。 Create2 は、イーサリアム開発者にとって非常に強力なツールであり、高度かつ柔軟なコントラクト インタラクション、パラメータベースのコントラクト アドレスの事前計算、オフチェーン トランザクション、特定の分散アプリケーションの柔軟な展開と適応を可能にします。
Create2 は利点をもたらす一方で、新たなセキュリティ リスクももたらします。 Create2 を悪用すると、ウォレットのブラックリストの検出やセキュリティ アラートを回避して、悪意のあるトランザクションの履歴がない新しいアドレスを生成することができます。被害者が悪意のあるトランザクションに署名すると、攻撃者は事前に計算されたアドレスにコントラクトを展開し、被害者の資産をそのアドレスに転送することができます。これは不可逆的なプロセスです。
この攻撃の特徴:
(1) コントラクト アドレスの予測作成を可能にし、攻撃者がコントラクトを展開する前にユーザーをだましてアクセス許可を付与できるようにします。
(2) 認可時には契約がまだ展開されていないため、攻撃アドレスは新規アドレスとなり、検出ツールは隠蔽性の高い履歴ブラックリストに基づく早期警告を提供できません。
以下は、CREATE2 を使用したフィッシングの例です。
https://etherscan.io/tx/0x83f6bfde97f2fe60d2a4a1f55f9c4ea476c9d87fa0fcd0c1c3592ad6a539ed14
この取引では、被害者はアドレス内の sfrxETH を悪意のあるアドレス (0x4D9f77) に転送しました。これは、取引記録のない新しい契約アドレスです。
しかし、このコントラクトの作成トランザクションを開くと、コントラクトが作成と同時にフィッシング攻撃を完了し、被害者のアドレスから資産を転送していることがわかります。
https://etherscan.io/tx/0x77c79f9c865c64f76dc7f9dff978a0b8081dce72cab7c256ac52a764376f8e52
このトランザクションの実行を見ると、CREATE2 の呼び出し後に 0x4d9f7773deb9cc44b34066f5e36a5ec98ac92d40 が作成されたことがわかります。
さらに、PinkDrainer の関連アドレスを分析すると、このアドレスが CREATE2 を介してフィッシング用の新しい契約アドレスを毎日作成していることがわかります。
https://etherscan.io/address/0x5d775caa7a0a56cd2d56a480b0f92e3900fe9722#internaltx
2. フィッシング・アズ・ア・サービス
2. フィッシング・アズ・ア・サービス
フィッシング攻撃はますます横行しており、莫大な違法利益のため、Drainer as a Service (DaaS) に基づくブラック産業チェーンが徐々に発展しています。より活発なものには、Inferno/MS/Angel/Monkey/Venom/Pink/Pussy などがあります。 /Medusa などのフィッシング攻撃者は、これらの DaaS サービスを迅速かつ低しきい値で購入し、この業界に押し寄せる災難のように、数千のフィッシング Web サイトや詐欺アカウントなどを構築し、ユーザーの資産のセキュリティを脅かします。
たとえば、さまざまな Web サイトに悪意のあるスクリプトを埋め込む悪名高いフィッシング詐欺集団 Inferno Drainer を考えてみましょう。たとえば、seaport.js、coinbase.js、wallet-connect.js を普及させて、一般的な Web3 プロトコル機能 (Seaport、WalletConnect、Coinbase) を装って、ユーザーの統合またはクリックを誘導します。ユーザー資産を攻撃者のアドレスに自動的に転送します。悪意のある Seaport スクリプトを含む 14,000 以上の Web サイト、悪意のある WalletConnect スクリプトを含む 5,500 以上の Web サイト、悪意のある Coinbase スクリプトを含む 550 以上の Web サイト、Inferno Drainer に関連する 16,000 以上の悪意のあるドメイン、および 100 以上の暗号ブランド名が発見されています。影響を受ける。以下は、Inferno Drainer に関連したフィッシングサイトです。
Web サイトの先頭部分には、2 つの悪意のあるスクリプト seaport.js とwallet-connect.js が含まれています。 Inferno Drainer フィッシング Web サイトのもう 1 つの典型的な特徴は、ユーザーがマウスを右クリックしても Web サイトのソース コードを開くことができないことです。これにより、これらのフィッシング Web サイトはより隠蔽されます。
Phishing-as-a-Service フレームワークでは、通常、盗難された資産の 20% が Inferno Drainer 主催者のアドレスに自動的に転送され、残りの 80% がフィッシング加害者によって保持されます。さらに、Inferno Drainer は、フィッシング Web サイトを作成およびホストするための無料サービスを定期的に提供しています。場合によっては、これらのフィッシング Web サイトは、被害者を訪問させることはできるが、作成およびホストする能力がない人向けです。 Web サイトをホストする技術的能力を持っているか、単に自分自身でタスクを実行したくないフィッシング攻撃者によって設計されています。
では、この DaaS 詐欺はどのように機能するのでしょうか? Inferno Drainer の暗号詐欺スキームを段階的に説明します。
(1) Inferno Drainer は、Inferno Multichain Drainer と呼ばれる Telegram チャネルを通じてサービスを宣伝しており、場合によっては攻撃者が Inferno Drainer の Web サイトを通じてサービスにアクセスすることもあります。
(2) 攻撃者は、DaaSサービス機能を利用して独自のフィッシングサイトを開設・生成し、X(Twitter)やDiscordなどのソーシャルメディアを通じて拡散させます。
(3) 被害者は、これらのフィッシング Web サイトに含まれる QR コードまたはその他の方法をスキャンしてウォレットに接続するよう誘導されます。
(4) ドレイナーは、被害者の最も価値があり、簡単に譲渡できる資産をチェックし、悪意のある取引を開始します。
(5) 被害者は取引を確認しました。
(6) 犯罪者に資産が譲渡される。 盗まれた資産のうち、20% が Inferno Drainer 開発者に転送され、80% がフィッシング攻撃者に転送されました。
以下の写真は DaaS サービス ページです。ここで、Inferno Drainer は顧客に統計を表示します。接続数 (被害者がウォレットをフィッシング Web サイトに接続した場合)、成功したクリック数 (被害者がトランザクションを確認した場合)、および盗まれた資産。
DaaS サービスの各顧客は、独自の Drainer 機能をカスタマイズできます。
3. 安全に関する提案
(1) まず第一に、ユーザーは特典やエアドロップなどの良いニュースを装った未知のリンクをクリックしてはなりません。
(2)SNSの公式アカウントが盗まれる事件が増えており、公式情報もフィッシング情報の可能性があり、公式情報だから絶対安全というわけではない。
(3) ウォレット、DApps、その他のアプリケーションを使用する場合は、審査に注意し、偽サイトや偽アプリに注意してください。
(4) 確認が必要なトランザクションまたは署名メッセージは慎重に、対象、内容、その他の情報を相互確認するように努める必要があります。やみくもに署名することを拒否し、警戒を怠らず、すべてを疑い、操作のすべてのステップが明確かつ安全であることを確認してください。
(5) さらに、ユーザーは、この記事で説明されている一般的なフィッシング攻撃手法を理解し、フィッシングの特徴を積極的に特定する方法を学ぶ必要があります。マスター共通署名、認可関数とそのリスク、マスター Interactive (対話型 URL)、Owner (認可者のアドレス)、Spender (認可された当事者のアドレス)、Value (認可された番号)、Nonce (乱数)、Deadline (有効期限)、transfer/ transferFrom (転送) およびその他のフィールドの内容。
参考文献
https://x.com/evilcos/status/1661224434651529218
参考文献
https://x.com/evilcos/status/1661224434651529218
https://x.com/RevokeCash/status/1648694185942450177
https://web3caff.com/zh/archives/63069
https://www.group-ib.com/blog/inferno-drainer/
https://blocksec.com/blog/how-phishing-websites-bypass-wallet-security-alerts-strategies-unveiled
私たちについて
SharkTeam のビジョンは、Web3 の世界を保護することです。このチームは、ブロックチェーンとスマート コントラクトの基礎理論に精通した、世界中から集まった経験豊富なセキュリティ専門家と上級研究者で構成されています。リスクの特定とブロック、スマートコントラクト監査、KYT/AML、オンチェーン分析などのサービスを提供し、高度な持続的脅威(高度な持続的脅威)に効果的に対抗できるオンチェーンのインテリジェントなリスク特定とブロックプラットフォームChainAegisを作成しました。 Web3 の世界では持続的脅威、APT)。 Polkadot、Moonbeam、polygon、Sui、OKX、imToken、Collab.Land、TinTinLand など、Web3 エコシステムのさまざまな分野の主要企業と長期的な協力関係を確立しています。
公式ウェブサイト:https://www.sharkteam.org
Twitter: https://twitter.com/sharkteamorg
電報: https://t.me/sharkteamorg
ディスコード: https://discord.gg/jGH9xXCjDZ
全てのコメント