在Web3中避免加密诈骗,确保你的资金安全:第二部分

  • cyfrin
  • 发布于 2024-10-31 13:22
  • 阅读 32

本文深入探讨了Web3领域的复杂加密诈骗,包括最大可提取价值(MEV)攻击、SIM卡交换及DNS攻击,并提供了实际的安全防护建议。文章从诈骗原理出发,详细解读各种攻击形式,以及针对每种攻击给出了切实可行的防范措施,旨在提升用户的网络安全意识。

如何避免加密诈骗并在 Web3 中不失去资金:第二部分

探索更高级的 Web3 诈骗,如 MEV 攻击、SIM 交换和 DNS 妥协,并提供可操作的 OPSEC 提示,以保护你的资产和避免成为受害者。

第一部分 中,我们了解了代币保管、恶意软件、审批钓鱼、鱼叉式钓鱼、排水器和地址投毒战术。

在这部分中,我们剖析了更复杂的诈骗攻击,如 SIM 交换、DNS 妥协和恶意 MEV 机器人。在整篇文章中,我们将为用户和项目提供操作安全(OPSEC)的解药,以避免成为另一个警示故事。

让我们首先看看加密剥削的一种更高级和隐秘的形式。

最大可提取价值 (MEV) 攻击

一只人眼与电路板结合的生动描绘,象征着人工智能或网络监控。

MEV 攻击 是恶意 MEV 机器人以用户交易为代价生成有利交易的结果。

MEV 机器人 是自动搜索者,查看公共 待处理交易池(mempools),寻找执行攻击的机会。当发现有利交易时,支付被发送给区块构建者,以在当前区块中以相对于目标用户交易的最有利位置包含它。

令人恐惧的是,MEV 攻击不要求你的 智能合约 或地址是知名或热门的。它们只要求交易在公共待处理交易池中是可见的。例如, 观看这里 Patrick 的例子,他在与新部署的合约交互时被诈骗直播。

任何一个允许区块构建者在最终区块生产期间识别交易的公共待处理交易池的区块链都有可能受到恶意 MEV 活动的影响。

有各种 MEV 攻击,但我们来探讨一下最流行的类型。

三明治攻击

三明治攻击涉及 MEV 机器人构建两个交易:一个前运行交易和一个后运行交易。

在目标用户交易之前的交易称为 前运行(frontrun),而在目标用户交易之后发生的交易称为 后运行(backrun)

MEV 机器人向区块构建者支付额外费用,以组织“夹层”,使得用户交易在前运行和后运行之间执行。

这些攻击通常针对在去中心化交易所(DEX)上交易代币的人,并几乎每分钟都会发生。要了解这些攻击的情况,你可以在这个 实时信息流 中观看它们发生。

当你在公开待处理交易池的 DEX 上执行交易时,MEV 机器人会嗅探你的交易,以查看是否可以被夹层攻击。

因此,一个简单的攻击看起来像这样:

  1. 用户 Alice 下达 市价单 以购买 X 价格的代币。
  2. MEV 机器人 Bob 前运行 该交易,以 X 价格购买代币并将其价格提高到 X+1。
  3. Alice 的订单接下来被处理,以现已上涨的价格 X+1 购买代币。
  4. Bob 后运行 Alice 的买入单,以 X+1 的价格出售代币获利。

jaredfromsubway.eth 是一个臭名昭著的三明治机器人,自 2023 年 4 月成立以来, siphoned 超过 2000 万美元。它在 2024 年 8 月被一个 升级版本 替代,该版本在运营的头三个月内产生了超过 200 万美元的利润。

同样,在 Solana 上,一个名为 2Fast 的恶意 MEV 机器人在一笔交易中通过对一个价值 900 万美元的买单进行三明治攻击,获得了超过 18000 SOL (当时价值超过 400 万美元)

那么我们可以做些什么来保护自己呢?

如何防止 MEV 攻击

  • 使用私人远程过程调用(RPCs),如 flashbots 或 CoW Swap 的 MEV 阻止 RPC,以确保你的交易从不接触公共待处理交易池。
  • 使用 DEX,如 Matcha.xyz1inch.io,以下达限价单。这些不能被夹层,因为它们在你设置的固定预定义价格下执行。
  • 对于构建者,考虑如何能保护用户免受 MEV 攻击。常见的坑包括缺乏最大用户控制滑点(在下单和成交之间发生的价格意外变化)、订单截止日期和易被前运行的签名。
  • 对于用户,在 DEX 交易时限制最大滑点参数。当通过夹层攻击突破最大阈值时,这将撤回你的订单。

从区块链级别的威胁转移下来,让我们探讨一种更加个人化和定向的攻击。

SIM 交换诈骗

在 SIM 交换诈骗中,你的移动运营商被欺骗,将你的电话号码转移到攻击者控制的新 SIM 卡上。诈骗者可能使用伪造文件或说服的方式成功执行攻击。

一旦执行,攻击者可以拦截基于 SMS(短信)的双因素身份验证(2FA)代码并重置密码,以访问与你的手机相关联的金融账户。

一堆散落的 SIM 卡置于黑色表面上,代表移动通讯或 SIM 交换诈骗。

如何防止 SIM 交换

  • 绝不要使用基于 SMS 的 2FA。SIM 交换确保攻击者可以直接访问你的手机。
  • 使用 app 基于的 2FA,其中密钥存储在设备上,没有 SMS 恢复选项。这样断开了手机号码与 2FA 的连接,但也使恢复变得困难。
  • 使用像 YubiKey 这样的硬件产品来存储你的 2FA 加密密钥。

从个人攻击转向,让我们探讨一些最隐秘和危险的威胁。

域名系统 (DNS) 妥协

也许最令人恐惧的攻击是 DNS 妥协。这些发生在攻击者直接控制某个网站的 DNS 时,允许他们将用户重定向到恶意服务器。

与钓鱼攻击不同,在这种情况下,已妥协的网站 URL 保持 相同。攻击完全在后台发生,当 DNS 服务器将网站域名解析为恶意 IP 地址。例如,在浏览器中输入 “website.com” 实际上将你发送到 “attackwebsite.com”。

此外,如果一个公司的服务器直接被公司内部人员劫持,也可以发生内部妥协,从而允许他们在合法网站上发布恶意软件。

虽然许多 DNS 攻击针对注册商和 DNS 托管服务提供商,但网站管理员可以通过定期检查其 DNS 记录来减少未授权更改的攻击。

让我们看看一些值得注意的最新示例,以了解 DNS 妥协的影响。

最近的 DNS 妥协攻击

在 2023 年,一次域名注册商妥协使得 多个域名 的劫持成为可能,包括热门 crypto 网站 Compound 和 Pendle。

这些域名最初归 Google 所有,后来被出售并迁移到 Squarespace。在迁移过程中,2FA 被移除,电子邮件验证流程被绕过。这使得攻击者能够在合法拥有人之前,为迁移的域名创建新账户。

控制这些域名后,攻击者修改了 DNS 记录,将用户重定向到恶意服务器,同时保持原始 URL 不变。

如何防止 DNS 妥协

  • 在与网站互动之前,请检查社交媒体帖子,了解有关内部妥协的警报。
  • 避免将具有重大意义的资产存放在任何单一域名中。

现在,让我们深入探讨一种更加心理和操控性质的诈骗。

猪肉屠宰诈骗

犯罪分子数百年来一直利用虚假的商业机会来欺骗脆弱的个人。采用猪肉屠宰策略的罪犯会建立长期关系以获取受害者的信任。信任建立后,目标是通过看似合法的投资机会从目标中榨取资金。这一攻击完全依赖于受害人自愿基于虚假承诺向罪犯交付资金。

攻击者可能会创建看起来是真的个人资料和网站,以展示初始投资的虚假利润,有时甚至允许小额提款。一旦攻击者榨取到足够的资金,他们将会毫无预警地消失。

如何防止猪肉屠宰诈骗

  • 使用知名的交易所、钱包和产品。
  • 忽略那些夸大利润和确保回报的陌生人。

除了个人诈骗之外,了解整个恶意项目带来的风险也很重要,这些项目旨在欺骗和剥削用户。

恶意诈骗项目

并非所有项目都是出于良好意图。市值较小和知名度较低的代币通常承载更高的诈骗风险。

Rug Pulls(拔地而起的骗局)Rugs 是一种诈骗项目,窃取用户的所有流动性,使代币毫无价值。

最常见的例子是在 DEX 中移除所有流动性。在这种情况下,创建初始流动性池的人(一个促进交易的代币储备)赎回所有流动性提供者(LP)代币。这完全耗尽了池的流动性,使所有其他用户的代币变得毫无价值,因为它们无法再被出售。

为了防止通过拔地而起的骗局,代币创建者选择“锁定”流动性,以诚信防止流动性被移除。流动性的锁定发生在所有 LP 代币被发送到销毁地址时,拒绝通过赎回 LP 代币进行流动性拔地而起。

泵和倾倒(Pump-and-dump)诈骗 产生的结果与拔地而起的骗局类似。内鬼首先人为抬高(泵)代币的价格以诱使买家。当代币价格足够上涨时,内鬼将所有代币以抬高后的价格出售(倾倒),从中提取利润并导致价格崩溃。

复杂的诈骗可能持续数月或数年,然后再进行最终的撤退,通常在此过程中使用合法的营销手段和社区建设。

另一方面,蜜罐(Honeypots) 是为从好奇用户那里窃取资金而设的诱人陷阱。

一根蜡烛图展示急剧的价格激增,通常与交易中的泵和倾倒计划相关联。

  • ERC-20 蜜罐代币 通常在 DEX 上交易并且有美丽的图表,因为用户无法出售代币。开发者修改转账功能以禁止卖出的交互。
  • 通用的 智能合约蜜罐使用微妙且诱人的代码来欺骗用户将代币发送到合约,以期获得正回报。事实上,受害者从未收到他们所期待的代币。如需了解更多,你可以查看这篇博客文章,深入研究 加密蜜罐

最后,名人币诈骗 包括由名人推广或推出的代币。在最近的一轮中,许多人看到价格因内部抛售或直接被拔地而起而跌幅超过 98%。一个恶意行为者 Sahil Arora,利用他的名气说服多位名人允许他不当管理他们的项目。

以下是保护自己免受这些欺诈计划的实用步骤。

如何避免加密泵和倾倒、拔地而起和蜜罐诈骗

  • 确保流动性无法被拔地而起,通过验证所有 LP 代币已发送至销毁地址来防范。不过,请注意:这并不能阻止抢进机器人(自动程序,旨在代币上市时立即购买代币)或内部人员抛售供应的大部分。
  • 蜜罐检查器 可以帮助识别恶意代币,但并不是一个万无一失的解决方案,因为代币的代码可以被模糊化或升级以规避检查工具。
  • 名气与信誉并不对应。始终对要投资的项目进行深入研究。

从针对个人和项目的诈骗转移开,让我们考察一个复杂的团体,利用 web3 生态系统。

高级持续性威胁 (APT)

一个插画化的牛仔举着左轮手枪,象征着恶棍或威胁,可能指与网络犯罪或黑客行为相关。

来自 BlockThreat 的图片,由 Peter Kacherginsky 提供。

大量臭名昭著的 web3 黑客攻击来自北韩的高级持续性威胁(APT)组,如 Lazarus、Kimsuky 和 Bluenoroff。

他们的主要战术涉及复杂的社交工程诈骗和鱼叉式钓鱼技术,以剥削协议和用户。然而,他们偶尔也利用零日漏洞和传统的 智能合约漏洞

让我们看看一些例子。

值得注意的 APT 黑客攻击

  • Ronin 桥的黑客事件造成了超过 5 亿美元的损失,因为 Lazarus 获得了该协议多签名钱包的多个私钥(5 个中的 9 个)。
    • 四个密钥是通过 SkyMavis 的验证节点获得的,当时 Axie Infinity 的一名高级工程师在 LinkedIn 上被伪造的工作机会诈骗。用于获取其密钥的 PDF 包含恶意软件。
    • 第五个密钥来自 Axie DAO Token持有者,在高需求期间暂时授权后仍在 SkyMavis 的基础设施中保持白名单。Lazarus 使用 SkyMavis 受损的 RPC 节点获取所需的最终签名。
  • Harmony 在 遭黑客攻击后损失了 1 亿美元,当时该桥的多签名的 5 个私钥中有 2 个被破坏。有关该案件的具体细节未公开披露。
  • Munchables NFT 游戏项目在经历 6700万美元的损失后被黑客攻击,当时他们聘请的四名开发者实际上是攻击者。这些资料很可能是一位单一的行为者,因为他们定期将付款存入相同的交易所存款地址。
  • Stake 大约损失了 $4000 万,CoinEX 则损失了 $5500 万,因为 Lazarus 窃取了他们热钱包的私钥。这些案件的具体细节同样未公开。

当前活动

在 2023 年和 2024 年,北韩的 APT 继续进行其钓鱼活动,比如 DEV#POPPER 来分发恶意软件如 KandyKorn

他们创建假个人资料,展示令人印象深刻的简历和无法抗拒的报价,包括在 Discord、Telegram、Skype、GitHub、WhatsApp、LinkedIn 和其他论坛。

他们可能表现得像是寻找工作的高级开发者,或者像是想要聘用远程工作人员的成功公司。

他们的目标是通过 PDF、ZIP 文件、伪造的节点包管理器(NPM)存储库以及其他方式,在假面试或项目展示期间不经意间分发间谍软件或 RAT。

如何保护自己免受高级持续性威胁

  • 对潜在员工或公司进行全面背景调查,确保他们是真实的且没有恶意意图。
  • 避免那些听起来太过美好的工作机会。
  • 对于项目,始终通过多签名钱包管理资金,将私钥以足够分散的方式储存,且管理员功能在离线专用设备上执行。

综上所述,我们看到的所有事情都表明,协议和开发者必须采用健全的项目管理实践,以确保长期的韧性和安全性。

协议和开发者的安全项目管理

在部署期间及之后保证你的项目安全至关重要。以下检查列表可以帮助防御常见漏洞:

  • 用有信誉的公司进行专门的 私人和公共审计,如 CyfrinGuardian AuditsTrail of Bits
  • 确保协议及团队能持续通过 The Rekt Test
  • 在你的代码和 GitHub 个人资料中包括容易获取的安全联系信息(例如:电子邮件)。 OpenZeppelin 提供了一个极好的范例,以提高善意白帽互动的机会。
  • 配备专用的离线设备执行管理操作。
  • 将管理员功能保护在一个足够分散的多签名钱包后。
  • 考虑在诸如 Immunefi 的平台上公开发布漏洞奖励计划,以使安全专家有一个引人注目的替代选项以防黑帽操作。
  • 通过模拟渗透和黑客入侵准备灾难场景。
  • 考虑使用类似 Forta、Pessimistic Spotter 和 OZ Defender 的后部署监控解决方案。或者创建你自己的脚本来监控项目不变量的违规行为,或按 Cyfrin Updraft 的 Forta 机器人指南 进行操作。
  • 如果你的项目遭到入侵,请立即与 Seal 911 联系。以便在紧急情况下轻松接触到高度可信任的安全专业人员。

至此,我们已经走到了这系列关于在 Web3 中保持安全的结尾。

当你在加密空间中导航时,请记得保持适度的步伐,并追随指导我们的北极星:“不要信任。验证。”

星空下的树朦胧轮廓,唤起探索和奇迹的感觉。

  • 原文链接: cyfrin.io/blog/how-to-av...
  • 登链社区 AI 助手,为大家转译优秀英文文章,如有翻译不通的地方,还请包涵~
点赞 0
收藏 0
分享
本文参与登链社区写作激励计划 ,好文好收益,欢迎正在阅读的你也加入。

0 条评论

请先 登录 后评论
cyfrin
cyfrin
Securing the blockchain and its users. Industry-leading smart contract audits, tools, and education.