2024年開年以來,行情漲勢良好、市場表現火熱,廣大Web3使用者在一片樂觀情緒下,可能對潛在的黑客攻擊事件放松警惕,致使個人資產遭受損失。隨著Web3技術的發展,加密資產圈詐騙手段也在不斷地升級,「釣魚」也成為黑客們慣用的伎倆。
PeckShieldAlert監測:3月15日,某地址被網路釣魚攻擊損失價值共46.7萬美元的SHIB和HOGE
那麽,釣魚攻擊究竟是什麽?黑客為何能透過釣魚攻擊手段竊取資產同時嫁禍其他平台?此次DeGame的釣魚攻擊事件的具體經過是什麽?攻擊者究竟是誰?任由釣魚攻擊泛濫會否對行業造成重創?下文為讀者做全面的解讀。
讓黑客樂此不疲的釣魚攻擊:順手牽羊拿走資產,鍋全部由計畫方來背
簡單來說,「釣魚」是一種針對加密使用者的網路欺騙手段,該手段透過建立偽裝成正式網站的假網站來竊取使用者的授權、簽名和加密資產。釣魚攻擊的路徑大多為計畫的官推被盜之後,黑客在其官推上釋出具有誘導性的釣魚連結,誘使使用者點選連結、交付錢包之後直接竊取其資產。
自去年12月份以來,一眾證明的Web3計畫遭遇釣魚攻擊,包括去中心化金融協定Set Protocol、DeFi借貸平台Compound、安全審計公司CertiK以及Solana生態NFT借貸協定Sharky;3月15日,遊戲發行商動視暴雪X平台帳號被盜,並且釋出一個Solana生態代幣的加密騙局連結;3月19日,TON官方推特帳號疑似被盜,並釋出Meme幣預售地址。
釣魚攻擊事件發生後,動視暴雪在X平台澄清帳號被盜事件
與以往的黑客攻擊手段不同的是,攻擊者一旦透過「釣魚」方式行竊得手,受害者和廣大不知情的使用者會誤以為這是平台監守自盜,從而采取各種方式向平台維權。
使用者追回損失的心理和行為值得同情和理解,但是在這個過程中無故莫名躺槍背鍋的平台也是受害者,在有口難辯的情況下,同為受害者的平台需要耗費更高的精力和成本自證清白,同時也需要全力安撫受害使用者並協助調查追回損失。
如果任由釣魚手段泛濫盛行,行業的信任基礎將不斷崩塌,任何致力於Web3生態建設的計畫團隊都將遭遇巨大的沖擊。
近期DeGame在遭遇釣魚攻擊後快速積極地處理危機,並邀請慢霧介入調查
近期,Web3遊戲聚合平台DeGame也遭受了一次嚴重的釣魚攻擊。一名使用者在不知情的情況下點選了被盜號的DeGame官推釋出的釣魚連結並遭受損失。
事後,該使用者誤以為DeGame在此過程中監守自盜所以在推特上公開了這一事件,一眾KOL和媒體及相當一部份使用者在不知情的情況下將此事持續擴散,這對DeGame的品牌形象和平台口碑造成了消極的影響。在這種情況下,DeGame仍主動聯系受害者並與其協商賠償事宜。
事發後,DeGame啟動了緊急預案並向使用者提示風險,並全面強化了平台的網路安全技術。為了自證清白並幫助受害使用者追回資產,DeGame主動邀請了行業第三方安全審計機構慢霧對此事進行調查。調查結果顯示,此次事件系一次第三方黑客惡意發起的攻擊事件,DeGame本身也是受害者。
慢霧釋出DeGame被釣魚攻擊事件的報告
根據慢霧的調查結果,DeGame遭到釣魚攻擊事件的前後經過大致如下:
1、3月14日4:00 AM至9:30 AM期間,DeGame官方X帳號 ( @degame_l2y ) 日發送4條空投推文,推文中空投連結為均為仿制DeGame官方的釣魚網站。一名使用者反饋,自己點選該空投連結後損失約57 PufETH;
2、DeGame官方推特營運人員在9:30 AM之後發現了平台上的釣魚連結,並第一時間刪除。同時DeGame透過官方社媒和社群向全體使用者同步這一訊息,並釋出了提示公告,目前並未有其他使用者反映資產被盜的情況;
3、受害使用者在DeGame官方推特帳戶異常的時間段內,瀏覽到了釣魚網站連結及攻擊者釋出的說明文字,他在不知情的情況下以為該連結確實系DeGame官方聯合其他計畫方舉辦的代幣空投活動,點選連結後按照攻擊者預設的提示進行操作,後遺失了資產;
4、慢霧的報告顯示,使用者點選釣魚網站連線錢包後,網站會自動檢測錢包地址中有無資產。若有資產,將直接彈出Permit Token Approval交易簽名。與常規的交易簽名所不同的是,該簽名完全不上鏈,完全匿名,很可能被用於非正當途徑。另外使用者也不需要事先授權,就能透過附加一個授權簽名(Permit)與套用合約互動。
5、在此次被盜事件中,釣魚黑客獲取到了被盜使用者授權給釣魚合約地址0xd560b5325d6669aab86f6d42e156133c534cde90的Permit Token Approval交易簽名,並在攻擊交易中送出Permit呼叫Approve獲取代幣授權後轉移被盜資金。與之對比,DeGame聯合計畫方舉辦的空投活動中,所有的交易都會上鏈,並且資產交易授權環節嚴格把關,在常規情況下不可能出現這一情形。
慢霧查證:慣犯Pink Drainer為釣魚攻擊者提供工具並得到25%的提成
慢霧方面出具的報告結果顯示,這是一次帶有鮮明目的性和計劃性的惡意攻擊事件,DeGame並無監守自盜的嫌疑。慢霧的報告結果如下:
A. 釣魚連結工具的提供者為黑客詐騙團伙Pink Drainer,系行業中的慣犯。根據ETH鏈的區塊瀏覽器Etherscan,可以看到被盜交易的發起地址被標記為PinkDrainer: Wallet 1,即釣魚團伙PinkDrainer的編號1錢包地址;
B. 在這筆被盜交易中約有25%左右的被盜資金轉移到了PinkDrainer: Wallet 2,即釣魚團伙PinkDrainer的編號2錢包地址。根據SlowMist AML團隊對釣魚團伙PinkDrainer的情報,疑似釣魚實施方黑客在使用釣魚團伙PinkDrainer 的釣魚工具後給PinkDrainer的分成;
慢霧釋出:釣魚攻擊事件中DeGame被盜交易呼叫棧詳情
C. 被盜使用者授權給的釣魚合約地址 0xd560b5325d6669aab86f6d42e156133c534cde90 的合約建立者同樣為 PinkDrainer: Wallet 1。
需註意的是,Pink Drainer是一款惡意軟體即服務(Malware-as-a-Service,MaaS),能夠讓使用者快速建立惡意網站,透過該惡意軟體獲取非法資產。區塊鏈安全公司Beosin指出,該釣魚網址使用一種加密錢包竊取工具,誘使使用者簽署請求。一旦請求被簽署,攻擊者將能夠從受害者的錢包中轉移NFT和ERC-20代幣。Pink Drainer會向使用者收取被盜資產作為費用,據報道可能高達被盜資產的30%。Pink Drainer團隊因在Twitter和Discord等平台上的高調攻擊而臭名昭著,涉及Evomos、Pika Protocol 和 Orbiter Finance等事件。
基於上述資訊,可以得出如下結論:
在這次釣魚事件中,PinkDrainer是工具提供方,0xe5621a995c80387a4f87978477be0dcf85cd3289是釣魚實施方黑客地址,並在釣魚得手後,釣魚實施方分給工具提供方約25%的分成。
隨著行情回暖釣魚回擊事件或更加泛濫,廣大計畫和使用者需對此慎之又慎
目前,此次惡性攻擊的實施方和幫兇仍然逍遙法外,巨大的利益誘導下其作惡行徑還將繼續,但是DeGame和慢霧方面均表示仍將追查到底,絕不向黑客妥協。
尤其是2024年以來,美國降息和位元幣現貨ETF等重磅利好的作用下,加密圈的行情不斷回暖,鏈上互動活動也在持續走熱,這很可能會給類似PinkDrainer之流的攻擊方可乘之機。若不加防範,更嚴重的慘劇可能會接連發生。
在此,筆者提醒廣大計畫方註意一切帳號資訊的安全,而使用者在參與計畫時也要對網站連結和互動過程等資訊多加甄別,一旦資產遺失追溯過程極其繁瑣。Web3行業資產安全是一切的前提,務必慎之又慎。
