安全分析

Scam Sniffer 2024: 钓鱼攻击致 4.94 亿美元损失

2024年,Web3生态系统遭遇了大量钓鱼攻击,造成约4.94亿美元损失。 本报告分析Wallet Drainer攻击的最新趋势和防护方法,帮助行业从业者和用户更好地保护资产安全。 概述 Wallet Drainer是一种恶意软件部署在钓鱼网站上,通过诱导用户签署恶意交易来盗取加密资产。2024年,此类攻击造成约4.94亿美元损失,同比增长67%。 虽然受害者数量仅增长3.7%(达到33.2万地址),但单次攻击损失显著增加,最大单笔被盗金额达5548万美金。 本报告专注EVM兼容链。 关键数据对比 2024年关键指标 总损失: $494M USD,增长67% 受害者数量: 33.2万地址,增长3.7% 最大单笔被盗: $55.48M USD 大额被盗数量: 30 年度重大事件 Q1: 比特币价格创历史新高,链上活动增加,钓鱼同步上升 Q2: Pink Drainer宣布退出 Q3: 行情调整,钓鱼活动降温,但偶有超大额受害事件 Q4: Inferno Drainer声称退出,由Angel接管 接下来,我们将详细分析这些事件背后的损失数据,以揭示趋势和潜在的风险。 损失分析 按月总体损失趋势 全年攻击活动分为三个阶段:第一季度损失最重,达到1.87亿美元,受害者17.5万。3月损失最高,7500美元。第二、三季度损失合计2.57亿美元,受害者降至9万人。第四季度损失降至5100美元,受害者降至3万人,表明安全性提升。 大额案件分析 全年发生30起超100万美元案件,总损失1.71亿美元,平均每个受害者损失570万美金,最大单笔被盗$55.48M。 大额被盗月度趋势分析 大额被盗案件在2024年呈现明显的阶段性变化。上半年(1-6月)频发但规模较小,单笔金额多在100-800万美元区间。7-9月进入高发期,8月和9月分别出现5548万和3251万美元的重大损失,这两个月占全年大额案件总损失的52%。最后一个季度攻击频率和规模明显收缩,单笔金额多降至200-600万美元区间,显示出市场安全意识的整体提升。 损失分布特征: 链分布: 以太坊(25起,占85.3%),损失1.52亿美元 Arbitrum(2起,3.55M) Blast(1起,5.87M) Base(1起,1.2M) BNB Chain(1起,7.88M) 资产类型: Staking & Restaking (40.9%) Stablecoin (33.5%) Aave Collateral (10.7%) Pendle Yield (9.3%) 其他...

Scam Sniffer 年度报告:32万用户的3亿美元资产因恶意钓鱼被盗

过去这年的钓鱼活动每月都在逐步增长,恶意钓鱼者操作手法更加老练,更隐蔽地逃避安全验证,Scam Sniffer 有这些关于「Wallet Drainer」的发现,值得全行业重视。 介绍 Wallet Drainer作为一种加密货币相关的恶意软件,在过去的一年里取得了显著的"成功"。这些软件被部署在钓鱼网站上,骗取用户签署恶意交易,进而盗取其加密货币钱包中的资产。这些钓鱼活动以多种形式不断地攻击普通用户,导致许多人在无意识地签署恶意交易后遭受了重大财产损失。 被盗统计 在过去一年,Scam Sniffer监控到这些Wallet Drainers已经从大约324K受害者中盗取了将近2.95亿美金的资产。 被盗趋势 值得一提的是,3月11号这一天有接近700万美金被盗。大部分是因为USDC汇率波动,遭遇了假冒Circle的钓鱼网站。也有大量的被盗临近3月24号Arbitrum的Discord被黑以及后续的空投。 每次波峰都伴随着关联群体性事件。可能是空投,也可能是黑客事件。 值得注意的Wallet Drainers DrainerTotal StolenVictimsStart DateInferno Drainer$81 million134kMarch, 2023MS Drainer$59 million63kMarch, 2023Angel Drainer$20 million30kMarch, 2023Monkey Drainer$16 million18kAugust, 2022Venom Drainer$27 million15kJanuary,...

新Scam as a Service供应商: Venom Drainer

概览 迄今已经损失了2700万美元,约有15,000名受害者。前5名受害者损失了1400万美元。 创建了约530个钓鱼网站,针对约170个品牌。 Dune: https://dune.com/scamsniffer/venom-drainer-stats 关于Venom Drainer Venom Drainer首次出现在Monkey Drainer声称下线的公告中。Scam Sniffer在02-18发现了他们的踪迹 Blur Module 在Scam Sniffer发布有关使用Blur批量Listing签名存在钓鱼攻击风险的警告2天后,他们声称已经实现了基于Blur批量签名的钓鱼模块 招募人员 从 3 月 20 日开始,他们提供15%的分成试图招募可以向知名加密项目 Discord 的管理员发送私信或 Ticket 的人参与发起钓鱼活动。 更新 3月31日,他们声称已经获得1000万美元的利润。 钓鱼网站 Scam Sniffer监测到自02-17以来,Venom创建了超过540个钓鱼网站。 这些钓鱼网站针对超过170个品牌,例如Arbitrum,Blur,zkSync,Optimism和MetaMask,这些品牌最近都有相关的空投。另外,Circle的USDC在3月11日经历了短暂的下跌。这些都是他们的潜在欺诈机会。 目标品牌钓鱼网站Arbitrum148Circle54Blur36zkSync31Optimism22Shibarium21GPT18Trust Wallet16Collab.Land11MetaMask10Memes 652910Doodles9Aptos8adidas Originals8Rocket Pool6Uniswap6Layer Zero6NFT Paris5RTFKT5Sui5Floki5Lens Protocol5Mask...

空投钓鱼分析: 黑客目标精准指向这些人

最近精准定向的钓鱼活动频发!这不周末,又是14个BAYC被盗! 回到上周,我照常扫了一眼我们的被盗NFT Alert Bot,结果看到这一条推文。有21个CloneX被盗,发到群里跟余弦经过一段时间分析后,定位到了原始的异常交易: https://etherscan.io/tx/0xbf2542540ce22abe7a1822e15d67a50b73a7ba18e036bb305103e51606122b69 这笔交易发生在12-08号,NFT资产流向到了一个我们曾经收录过的钓鱼地址0xa0b2ebf28b621fd925a2f809378a3dbc066c28f6。随后这些NFT在交易市场陆续被售出,最终触发了Alert 异常交易 这是一笔Seaport的交易,在这笔交易中134个NFT以0 ETH的价格被卖出。让我们看一看这里面的相关地址: 0xabeaa3375534d2931b2149067af3e7b8458d2f0c 受害者 0x4574043b6423953723356237042bf6df2304f297 交易发起人 0xc0fdf4fa92f88b82ccbebfc80fbe4eb7e5a8e0ca 接收受害者资产的地址 受害者在钱包中对这笔恶意订单进行了签名,攻击者拿到签名后,使用交易发起人地址发起了交易,在这笔恶意订单中指定了taker是0xc0fdf4fa92f88b82ccbebfc80fbe4eb7e5a8e0ca 恶意Seaport订单 作为NFT交易者,大家对这样Opensea的Seaport挂单签名可能习以为常了。首先这是一笔正常的挂单订单签名,尽管Metamask特地加了箭头按钮必须点击才能签名, 但我可以确定的是,几乎很少有人会对Message里面的内容进行仔细的阅读和理解。 比如在这个截图里: consideration的startAmount是92500000000000000, token是 0x0000000000000000000000000000000000000000也就是ETH 也就是说这个挂单,期望要收到0.0925 ETH(扣除版税),才能拿到我要挂单的这个NFT 但估计很多不敏感的人可能都没仔细去理解过里面的内容,而这里面的内容,可以成为攻击者利用的点。 在MetaMask7月份对NFT资产的Approve也加上了巨大醒目的安全提醒之后,很多钓鱼网站转向了新的利用方式,而Seaport作为一个交易协议,在5月份上线后,几乎所有的NFT交易用户的NFT资产都对其授权过。 于是攻击者开始尝试构造Seaport的恶意订单,我们在7月底陆续发现了这一新的利用形式,效果很明显! 因为这一类的签名在MetaMask里是没有任何安全提醒的,而且大部分用户对这样的签名请求并没有任何概念。 但这样的签名也是有特征的,用户只需要关注下签名内容中的consideration : 如果token不是ETH startAmount是1或异常小 对于这些签名,MetaMask针对在这些交易协议类的EIP-712签名时,也应该加上足够的数据可读,确保用户知道相关风险。 如何发生的? 尽管知道了受害者是签名了恶意Seaport订单,但这一切是如何发生的呢?抱着这个疑问,突然想到了前两天余弦说过Polygon 上多了不少恶意空投NFT。 于是我立马打开了0xabeaa3375534d2931b2149067af3e7b8458d2f0c受害者在polygon上最近收到的交易 很明显这里面有几笔RTFKT相关的NFT空投!https://polygonscan.com/tx/0xcf2f993113a4d558801e60f8790390c1c45085bcee717e7ed8b4a67e2e8c705d 点开一看,好家伙!通过对Seaport合约发起了冒充交易空投的,这种方式应该可以逃过NFT平台的反垃圾空投的检测。再仔细看这笔交易,除了受害者外,还有其他几个地址也收到了。 看来一共定向了883个地址 恶意网站 试着在我们库里找了下rtfkt相关的恶意网站, 还有活着的钓鱼网站! 抱着好奇我又试着检索了下RTFKT - MNLTH LRI X 原来12-07号有过官方的空投消息,那么很明显了。用户被截胡了! 时间线 让我们来重新梳理一下时间线 12-07 06:50 RTFKT官方发布消息空投会在一周内 钓鱼攻击者,看到这个消息,整理了目标NFT的持仓大户地址,开始在Polygon发起恶意NFT空投 受害者也看到了官方空投的消息 12-07 20:00 受害者钱包,收到了空投到的钓鱼NFT 12-08 18:58 受害者点进了NFT中的钓鱼网站,以为是领取空投,结果签名了恶意的Seaport挂单! 12-08 18:59 攻击者拿到挂单签名后,快速在链上发起交易,用户137个NFT资产被盗 12-09到12-11...

Premint恶意代码注入攻击细节分析

攻击细节 打开任意Premint项目页面,可以看到有个cdn.min.js注入到了页面中,看调用栈该js是由boomerang.min.js注入, 目前该s3-redwood-labs-premint-xyz.com域名已经停止解析,无法正常访问了 查询Whois, 该域名在2022-07-16注册于Tucows Domains Inc. 打开virustotal.com 可以看到该域名之前曾解析到CloudFlare 打开源代码可以看到boomerang.min.js 是Premint用到的一个UI库 该js是在s3-redwood-labs.premint.xyz域名下,猜测: 上传文件接口有漏洞可以上传任意文件到任意Path(比较常见的Web漏洞) 黑客拿到了他们这个Amazon S3的权限,从而可以注入恶意代码, 这个第三方库被供应链攻击污染了 把boomerang.min.js代码下载下来,前面都是正常的代码,但是末尾有一段经过加密的代码 这段代码负责把代码 s3-redwood-labs-premint-xyz.com/cdn.min.js注入到页面 恶意代码cdn.min.js 根据代码内容,可以看到大致有通过调用dappradar.com的接口来查询用户的NFT资产列表(此前我们也有看恶意网站到通过debank,opensea的API来查询用户资产等) 如果用户持有相关NFT资产: 恶意代码会以Two-step wallet验证的借口,发起setApprovalForAll让用户授权给他们后端接口返回的地址(攻击者一般为了提高封禁成本,基本上会分流并且每个地址控制在200个交易内) 如果用户点了approve,攻击者还会调用监测代码通知自己有人点击了 当如果用户地址没有NFT资产,还会尝试直接发起转移钱包里的ETH的资产请求: 另外这种代码变量名加密成_0xd289 _0x开头的方式,我们曾经在play-otherside.org,thesaudisnfts.xyz这些钓鱼网站也见到过 根据用户资产发起setApprovalForAll或者直接转移ETH,并且阻止用户使用开发者工具debug。 如何预防 那么作为普通用户如何预防?现阶段MetaMask对ERC 721的setApprovalForAll的风险提示,远没有ERC20的approve做的好 很多新用户并无法感知到这个行为的风险,但我们作为普通用户看到带approve之类的交易一定要仔细打开授权给相关地址,看看这些地址最近的交易是否异常(比如清一色的safeTransferFrom),避免误授权! 这种攻击和上次Etherscan上Coinzilla利用广告注入恶意的攻击方式挺相似的,那么在技术上有没有可能预防? 理论上如果已知一些恶意js代码的行为和特征: 比如说代码的加密方式 恶意代码关键特征 代码会反debug 会调用opensea, debank, dappradar等API查询用户资产 根据这些恶意代码的行为特征库,那么我们可以尝试在客户端网页发起交易前,检测页面有没有包含已知恶意特征的代码来探测风险? 或者直接更简单一点,对常见的网站设立白名单机制,不是交易类网站发起授权,给到足够的风险提醒等? 接下来我们(Scam Sniffer)也会尝试探索一下如何在客户端来预防此类的攻击发生!

Recent Articles