引言
假充值攻擊,是指攻擊者通過利用交易所在處理充值過程中的漏洞或系統錯誤,發送偽造的交易信息到交易所錢包地址,這些偽造的交易信息被交易所誤認為是真實的充值請求,并將對應的數字資產或貨幣添加到攻擊者的賬戶中。攻擊者利用這種方式,可以獲得未經支付的數字資產,導致交易所的資產損失。
本文旨在深入探討假充值攻擊如何突破交易所的防御機制。我們將分析假充值攻擊的原理,揭示攻擊者利用的漏洞和策略。同時,我們將通過實例分析假充值攻擊,以便更好地理解攻擊方式和影響。此外,我們還將討論交易所應對假充值攻擊的應急措施和預防措施,以提供相關保護資產和應對類似攻擊的建議。
在了解假充值之前,我們需要先了解交易所的充值原理。
一個典型的流程如下:
1. 錢包地址生成
交易所為每個用戶分配一個唯一的錢包地址,用于接收用戶的充值。這些地址通常由交易所的系統自動生成。用戶在進行充值時,需要將數字資產發送到交易所賬戶中的特定錢包地址。
2. 區塊鏈賬本掃描
交易所的節點會與區塊鏈網絡中的其它節點同步,以獲取最新的區塊鏈狀態和交易信息。當交易所節點收到新的區塊時,它會從區塊包含的交易內容,或者區塊觸發的交易執行事件中,提取出用戶的充值交易 ID 及對應的金額,加入待充值列表。
3. 確認入賬
慢霧:V神相關地址近日于Uniswap賣出3000枚以太坊:11月14日消息,據慢霧監測顯示,以太坊創始人Vitalik Buterin地址(0xe692開頭)近日在Uniswap V3上分三筆將3000枚以太坊(約400萬美元)兌換成了USDC。[2022/11/14 13:03:22]
交易所通常要求交易在區塊鏈網絡中獲得一定數量的確認后才被視為有效。確認是指交易所在區塊被一定數量的區塊所引用,并被其他礦工驗證和確認。交易所設定的確認數目可以根據不同的數字資產和網絡而有所不同。
如圖所示:
(假充值攻擊發生在步驟 5 和 6)
交易所是黑客攻擊的重災區,因此交易所通常會把服務器置于重重防御系統的背后,對于管理資金的核心服務,甚至要離線托管。然而由于區塊鏈系統對數據完整上的要求,惡意交易并不會被外圍安全系統攔截。
需要說明的是,假充值攻擊并非區塊鏈的漏洞,而是攻擊者利用區塊鏈的一些特性,構造出特殊的交易。這些惡意交易會讓交易所誤認為是真實的充值請求,或者多次處理同一筆充值請求。慢霧安全團隊經過長期的實戰,總結出了幾種常見的假充值攻擊手法:
慢霧:Harmony Horizon bridge遭攻擊簡析:據慢霧安全團隊消息,Harmony Horizon bridge 遭到黑客攻擊。經慢霧 MistTrack 分析,攻擊者(0x0d0...D00)獲利超 1 億美元,包括 11 種 ERC20 代幣、13,100 ETH、5,000 BNB 以及 640,000 BUSD,在以太坊鏈攻擊者將大部分代幣轉移到兩個新錢包地址,并將代幣兌換為 ETH,接著將 ETH 均轉回初始地址(0x0d0...D00),目前地址(0x0d0...D00)約 85,837 ETH 暫無轉移,同時,攻擊者在 BNB 鏈暫無資金轉移操作。慢霧 MistTrack 將持續監控被盜資金的轉移。[2022/6/24 1:28:30]
自 2018 年以來,慢霧安全團隊多次首發披露過多個假充值攻擊,包括:
USDT 虛假轉賬安全?險分析
EOS 假充值(hard_fail 狀態攻擊)紅色預警細節披露與修復方案
以太坊代幣“假充值”漏洞細節披露及修復方案
比特幣 RBF 假充值風險分析
除了這些已經公開的假充值攻擊,還有多個我們未曾公開的經典攻擊手法,以及一些普適性的攻擊手法。例如:
Bitcoin 多簽假充值
Ripple 部分支付假充值
聲音 | 慢霧:99%以上的勒索病使用BTC進行交易:據慢霧消息,勒索病已經成為全球最大的安全威脅之一,99%以上的勒索病使用BTC進行交易,到目前為止BTC的價格已經漲到了一萬多美元,最近一兩年針對企業的勒索病攻擊也越來越多,根據Malwarebytes統計的數據,全球TO B的勒索病攻擊,從2018年6月以來已經增加了363%,同時BTC的價格也直線上漲,黑客現在看準了數字貨幣市場,主要通過以下幾個方式對數字貨幣進行攻擊:
1.通過勒索病進行攻擊,直接勒索BTC。
2.通過惡意程序,盜取受害者數字貨幣錢包。
3.通過數字貨幣網站漏洞進行攻擊,盜取數字貨幣。[2019/8/25]
Filecoin 雙花假充值
TON 反彈假充值
如果要了解更多詳情,歡迎和我們聯系以深入探討。
幾乎所有的區塊鏈都存在假充值問題,只是有的攻擊很容易避免,有的卻要對區塊鏈的特性有十分深入的研究才能免受其害。
以 TON 的假充值為例,我們將向大家展示狡猾的攻擊者如何利用 TON 的特性攻擊交易所。
TON(The Open Network)是知名通訊軟件 Telegram 發起的一個區塊鏈項目,支持在用戶的賬號上部署智能合約。
交易所在對接 TON 充值時,按之前描述的方法,它首先會為用戶生成一個充值地址,然后用戶將資產轉移到充值地址,最后確認入賬。
聲音 | 慢霧:使用中心化數字貨幣交易所及錢包的用戶注意撞庫攻擊:據慢霧消息,近日,注意到撞庫攻擊導致用戶數字貨幣被盜的情況,具體原因在于用戶重復使用了已泄露的密碼或密碼通過撞庫攻擊的“密碼生成基本算法”可以被輕易猜測,同時用戶在這些中心化服務里并未開啟雙因素認證。分析認為,被盜用戶之所以沒開啟雙因素認證是以為設置了獨立的資金密碼就很安全,但實際上依賴密碼的認證體系本身就不是個足夠靠譜的安全體系,且各大中心化數字貨幣交易所及錢包在用戶賬號風控體系的策略不一定都一致,這種不一致可能導致用戶由于“慣性思維”而出現安全問題。[2019/3/10]
交易所如何確認一筆交易是它的用戶的呢?我們通過 RPC 接口來查看一筆正常的轉賬:
通常交易所會判斷 in_msg 里的 destination 是否為用戶的充值地址,如果是,那么把金額 value 按照精度換算后為用戶入賬。但這樣安全嗎?
TON 交易有一個特性,幾乎所有在智能合約之間發送的內部消息都應該是可反彈的,即應該設置它們的 bounce 標志位。這樣,如果目標智能合約不存在,或者在處理這條消息時拋出未處理的異常,該消息將被“反彈”回來,并攜帶原始值的余額(減去所有的消息轉賬和燃氣費用)。
聲音 | 慢霧:采用鏈上隨機數方案的 DApp 需緊急暫停:根據近期針對EOS DApp遭遇“交易排擠攻擊”的持續性威脅情報監測:EOS.WIN、FarmEOS、影骰、LuckBet、GameBet、Fishing、EOSDice、STACK DICE、ggeos等知名DAPP陸續被攻破,該攻擊團伙(floatingsnow等)的攻擊行為還在持續。在EOS主網從根本上解決這類缺陷之前,慢霧建議所有采用鏈上隨機數方案的DAPP緊急暫停并做好風控機制升級。為了安全起見,強烈建議所有競技類DAPP采用EOS官方很早就推薦的鏈下隨機種子的隨機數生成方案[2019/1/16]
也就是說,如果一個惡意攻擊者通過設置 bounce 標志位,給一個未部署過合約的賬號轉賬,那么充值金額在扣掉手續費以后會被反彈回原賬號。交易所檢測到了用戶的充值記錄,但沒想到充值的幣居然還會原路返回“反彈”到攻擊者的賬號上。
我們來看這一筆交易,對比正常交易可以發現,多了一個 out_msg,這個 out_msg 就是資金被反彈回原賬號的操作。
交易所如果只檢驗了 in_msg,那么就會錯誤地為攻擊者入賬,造成平臺資產損失。
防范假充值攻擊的一些基本策略有:
1. 多重確認機制:設定充值的多重確認要求,確保交易在區塊鏈上得到足夠的確認后才被視為有效。確認數目應根據不同數字資產的安全性和區塊鏈的確認速度來設定;
2. 嚴謹的交易匹配:從區塊中篩選用戶交易時,只有完全匹配正常轉賬模式的交易才能自動設置為到賬,最后還要檢查余額變化;
3. 風險控制系統:建立完善的風險控制系統,監測和檢測異常交易活動。該系統可以通過分析充值模式、交易頻率、交易規模等因素來識別潛在的風險和異常行為;
4. 人工審核:對于較大金額或高風險交易,采用人工審核機制進行額外的審核。人工審核可以增加交易的可信度,發現異常交易,并防止惡意充值;
5. API 安全:對外部 API 接口進行安全認證和授權,避免未經授權的訪問和潛在的漏洞。定期審查 API 接口的安全性,并進行及時的安全更新和修復;
6. 限制提款:充值發生后,暫時限制用戶對充值資產的提款操作。這樣可以給交易所足夠的時間來確認充值的有效性和防范潛在的假充值攻擊;
7. 安全更新:及時更新交易所軟件和系統,修復可能存在的安全漏洞。持續監控交易所的安全狀態,并與網絡安全專家合作,定期進行安全審計和滲透測試。
對于特定區塊鏈的假充值防范,則需要通讀官方說明文檔,了解交易中存在的特征。
慢霧安全團隊在長期的攻防實踐中開發出 Badwhale 假充值測試系統,專門為數字資產管理平臺開發。該系統旨在幫助它們檢測和評估其防范假充值攻擊的能力,優化其防御機制,以保障用戶資產的安全和數字資產管理平臺的可靠性。
Badwhale 是慢霧安全團隊獨家且沉淀多年的商業系統,為數十個平臺持續服務多年,已避免了預估幾十億美金資產的假充值風險。
特色功能:
1. 模擬假充值攻擊:Badwhale 能夠模擬各種類型的假充值攻擊,并自動發送虛假的充值請求到被測試的數字資產管理平臺。這有助于評估數字資產管理平臺的弱點,發現潛在的漏洞和安全隱患;
2. 多樣化的測試場景:系統提供多樣化的測試場景和攻擊模式,可以根據實際情況對數字資產管理平臺的假充值防御進行全面測試;
3. 高度可擴展性:Badwhale 設計為高度可擴展的測試系統,支持為不同數字資產管理平臺和區塊鏈平臺提供測試,可以靈活適應不同系統架構和技術環境的需求。
Badwhale 目前已經支持數百條公鏈、數萬代幣的假充值測試,包括:
Bitcoin Families (BTC/LTC/DOGE/QTUM...)
BitcoinCash
Ethereum Families
(ETH/BSC/HECO/RON/CFX-evm/FIL-evm/AVAX-evm/FTM-evm/RSK/GNO/MOVR-evm/GLMR-evm/KLAY/FSN/CELO/CANTO/EGLD/AURORA-evm/TLC/WEMIX/CORE/VS/WAN/KCCL/OKX...)
ERC20 Tokens (USDT...)
Ethereum L2 (ARB/OP/METIS...)
Polygon
Polygon Tokens
Cosmos Families (ATOM/LUNA/KAVA/IRIS/OSMO...)
EOS Families and EOS Tokens (EOS/WAX/XPR/FIO/TLOS...)
Ripple
Flow
Aptos
Solana
Solana SPL-Tokens
Conflux
Polkadot Families (DOT/ASTR/PARA/MOVR/GLMR...)
Tron
Filecoin
Ton
Mina
Sui
Ordinals (ORDI...)
…
借助 Badwhale 的強大功能,數字資產管理平臺可以進行全面的假充值防御測試,了解其在面對假充值攻擊時的表現,并優化其防御機制,提升用戶資產的安全保障。Badwhale 的引入將幫助數字資產管理平臺加強安全防護,提高對抗假充值攻擊的能力,確保數字資產交易的可靠性和用戶信任度。
通過深入研究假充值攻擊的突破方式,我們可以更好地認識到數字資產管理平臺在保護用戶資產和維護安全的重要性。只有通過增強安全防御措施、持續監測漏洞并采取適當的應對措施,數字資產管理平臺才能有效地應對假充值攻擊和其他安全威脅,確保數字資產交易的可信度和可靠性。
慢霧科技
個人專欄
閱讀更多
Foresight News
金色財經 Jason.
白話區塊鏈
金色早8點
LD Capital
-R3PO
MarsBit
深潮TechFlow
作者:0xhhh,EthStorage;編譯:Faust,《極客web3》導語:自Rollup成為顯學以來,定序器Sequencer去中心化始終是以太坊/Celestia社區的關注焦點.
1900/1/1 0:00:00作者:TOM MITCHELHILL,COINTELEGRAPH;編譯:松雪,金色財經比特幣 Ordinals 協議背后的團隊成立了一個非營利組織,致力于發展比特幣上的非同質代幣(NFT).
1900/1/1 0:00:00作者:MetaEra, 2372023年7月29日凌晨,夜晚平靜的一如往常。但就在這么一個本應愜意安睡的時刻,加密世界卻彌漫著一些異常的躁動……據Nansen數據顯示,7月29日凌晨,以太坊區塊.
1900/1/1 0:00:00金色財經 區塊鏈8月6日訊 盡管Curve漏洞在7月末給加密市場帶來不少痛苦,但整個行業依然表現出了十足的韌性,數據描繪了不一樣的微妙畫面——加密用戶參與度并沒有減少.
1900/1/1 0:00:00Rollup 是眾多基礎設施中一個好的投資類別嗎?Rollup 的投資邏輯從早期的 ZK/OP 敘事之爭,到后來實踐中的 TPS 和用戶體驗比拼.
1900/1/1 0:00:00作者 :Gavin Wood,PolkaWorld 6 月 28 日,波卡的年度旗艦活動 Polkadot Decoded 大會在丹麥哥本哈根舉行.
1900/1/1 0:00:00