BTC/HKD+0.57%
ETH/HKD+2.31%
LTC/HKD+1.47%
DOT/HKD+4.29%
ADA/HKD+4.58%
SOL/HKD+4.98%
XRP/HKD+0.32%
DOGE/US+0.89%作者:GoPlusSecurity
受FTX事件影響,近期大量用戶將數字資產從中心化交易所向去中心化錢包轉移,導致鏈上活躍用戶激增,DEX用戶數及交易量均達到六個月內高點。
同時活躍的還有Honeypot攻擊者。截至2022年11月21日,GoPlusSecurity近一周監測到的新增攻擊方式超過120種,攻擊次數增長6倍。這些數據表明,近期鏈上用戶數量增長的同時,攻擊者也更加活躍。初到去中心化“黑暗森林”的新增用戶對陌生環境的安全意識、攻擊手段缺乏認知,被攻擊者屢屢得手。
GoPlusSecurity對Honeypot新增攻擊方式的分析表明,隨著資產發行合約攻防的加劇,攻擊方式愈加呈現復雜化和動態化的趨勢,我們梳理了幾種常用的攻擊方式:
安全團隊:Shonen Junk項目Discord服務器已被入侵:金色財經消息,安全團隊CertiK表示,Shonen Junk項目Discord服務器已被入侵。目前聊天已被鎖定。請社區用戶不要點擊、鑄造或批準任何交易。[2022/9/27 22:33:03]
混淆代碼
通過降低代碼可讀性,增加無效邏輯或混亂的調用關系,通過復雜的實現邏輯,增加安全引擎的分析難度。
偽造知名合約
把攻擊合約偽造成知名項目的合約,通過偽造合約名稱、偽造合約實現過程,誤導引擎,增加誤判概率。
隱蔽的觸發方式
上市礦企Marathon Patent以2200萬美元股票收購Fastblock Mining:8月26日消息,在納斯達克上市的加密貨幣礦業公司Marathon Patent Group簽署了一份意向書,將以全股票交易的方式收購2014年成立的礦業服務公司Fastblock mining,交易總價值約為2200萬美元。(Coindesk)[2020/8/27]
把觸發條件隱藏在用戶交易行為里,交易行為再做復雜化處理,往往通過嵌套幾層判斷條件,才觸發交易中斷、增發或轉移等風險行為,達到實時修改合約狀態,盜取用戶資產的目的。
偽造交易數據
動態 | BCH所支持平臺Honest Cash與加密眾籌平臺Bitbacker.io達成合作:據Bitcoin消息,近期,由BCH支持的Honest Cash發布平臺與類比眾籌平臺Patreon的加密項目Bitbacker.io達成合作,旨在通過為個人提供眾籌項目的途徑,同時通過BCH激勵共享特定內容來加強Honest Cash和Bitbacker用戶群。[2019/2/8]
為了讓交易看起來更真實,攻擊者還會隨機觸發空投、對敲等行為,這樣一是可以引誘更多用戶上鉤,二是可以讓交易行為看起來更自然。
代碼示例
此示例中攻擊者使用多種方式掩蓋自己的攻擊意圖,最終達到兩個主要目標:
交易暫停
241行返回的lpTotalSupply不能減少,否則不滿足245行的require判斷導致交易失敗,達到交易暫停的目的。
_uniswapV2Pair不一定是UniswapPair合約,也有可能是項目方自己部署的其他實現了totalSupply方法的合約,只要這個方法的返回值小于上次交易的值,就能暫停交易。
先增發再轉賬
滿足257行的判斷條件from為特定地址,并且amount大于totalSupply,則會憑空給from增加大于totalSupply的余額,實現先增發再轉賬的效果。
GoPlusSecurity提醒用戶,Honeypot攻擊往往還會設計前置場景,比如通過錢包空投、在行情網站上線交易數據,或在社群散布虛假信息、碰瓷知名項目等方式引導用戶上鉤。市場恐慌情緒甚囂塵上、假信息橫飛、用戶操作變形等都會給攻擊者更可多趁之機。GoPlusSecurity會實時關注攻擊者動向,并對新型攻擊方式進行及時播報。
GoPlusSecurityAPI提供實時、準確的Honeypot識別。用戶可以在GoPlus合作伙伴的產品中使用安全檢測功能,調取GoPlus實時更新的安全數據,規避風險。
去中心化錢包:
TokenPocket—內置Token安全檢測及授權合約安全檢測功能。
ONTOWallet—內置Token安全檢測功能。
HyperPay—內置Token安全檢測功能。
BitKeep—內置Token安全檢測功能。
插件錢包:
MaskNetwork—可查詢Token及NFT的安全信息,同時具備授權合約安全檢測功能。
行情軟件:
AVE—可查詢Token的安全信息。
ApeSpace—可查詢Token的安全信息。
瀏覽器:
GoPlusEco—可直接輸入安全相關問題,搜索解決方案。
Tags:HONPLUSONELUSMedal of HonourMDB PlusBitCoin OneFame Reward Plus
Web3影視社區和電影工作室ATTA完成200萬美元追加融資,參投方包括GuildFi、Hashed、ShimaCapital.
1900/1/1 0:00:00作者:BlessGlobal最新消息,韓國上市公司LongtuKorea子公司TigonMobile在18日表示.
1900/1/1 0:00:00加密投資基金Multicoin兩位合伙人KyleSamani和TusharJain于周四發布了致投資者信,披露了基金情況以及對市場的觀點和看法.
1900/1/1 0:00:00受訪者:臺灣傷澄法律事務所 采訪者:吳說區塊鏈 截止到目前為止,我們接受的客戶中,臺灣大概是九百五十個人左右,損失在500萬元美元以上的,大概是四位,整體受害金額可能超過一億五千萬美元.
1900/1/1 0:00:00來源:香港特別行政區財經事務及庫務局10月31日,香港財政司正式發布《有關香港虛擬資產發展的政策宣言》就在香港發展蓬勃的虛擬資產行業和生態圈,闡明政府的政策立場和方針.
1900/1/1 0:00:00據Coindesk報道,烏克蘭數字化轉型部的一位發言人表示,她沒有收到Celsius捐贈的ETH,目前尚不清楚Celsius是否通過其他方式進行了現金捐贈.
1900/1/1 0:00:00
以太坊交易所
