加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads

慢霧:Discord私信釣魚手法分析_CHA:aptos幣去哪里買

Author:

Time:1900/1/1 0:00:00

原文來源:慢霧安全團隊

機器人"(Captcha.bot)發來私信要我進行人機驗證。這一切看起來相當的合理。我也點擊了這個驗證鏈接進行查看。

機器人"(Captcha.bot)發來的鏈接后,是有讓我進行人機驗證的,但是當我驗證通過后,發現它要求喚起我的小狐貍(MetaMask)錢包,喚起的錢包界面挺真實的,如下圖所示,但是我看到了錢包的地址欄顯示"about:blank"這引起了我的警惕,如果是插件喚起的就不會有這個"about:blank"的地址欄了。

接下來我隨意輸入了密碼,并且通過審查元素查看,確定這個小狐貍(MetaMask)界面是由虛假網站"https://captcha.fm/"彈出的,并不是真實的錢包界面,于是我開始調試這個錢包。

慢霧:發現BNB Chain上一惡意合約地址,建議用戶快速驗證并撤銷異常授權:8月20日消息,慢霧在推特發文提醒:請用戶檢查是否已將資產授權到BNB Chain上的一惡意合約地址:0x75117c9158f53998ce8689B64509EFf4FA10AD80。

該惡意合約尚未通過開源進行驗證,但反編譯顯示其存在針對授權資產的任意轉賬后門。這種類型的后門讓用戶錢包在很長一段時間內保持正常使用,但當某天轉移一筆金額稍大的資產時,它會突然被盜,而鏈上不會顯示任何最近的異常授權。

用戶可使用Revoke.cash和Rabby Wallet進行快速驗證并撤銷異常授權。以下是與上述合約相關的惡意地址:0xE2A178C2C5C4920C1b2B947A35edDb4f8EcBb7dD、0xB88457b62491CBcEc42203672cFcb4269d64c7e。請用戶保持警惕。[2023/8/20 18:11:40]

在隨意輸入密碼后,這個虛假的錢包界面進入到"SecurityCheck"界面,要求我輸入助記詞進行驗證。注意,輸入的密碼和和助記詞會被加密發送到惡意站點的服務端。

慢霧:已凍結部分BitKeep黑客轉移資金:12月26日消息,慢霧安全團隊在社交媒體上發文表示,正在對 BitKeep 錢包進行深入調查,并已凍結部分黑客轉移資金。[2022/12/26 22:08:58]

通過分析域名可以發現,這惡意域名captcha.fm解析到了172.67.184.152和104.21.59.223,但是都是托管在cloudflare上,只能是反手一個舉報了。

分析惡意賬號

下載保存好惡意站點的源碼后,我將情報發給了項目方團隊,并開始分析這次釣魚攻擊的賬號。由于我剛加入家人群,就收到了下面的這個地址發來的驗證消息。經過分析,這個賬號是一個偽裝成Captcha.bot機器人的普通賬號,當我加入到官方服務器后,這個假Captcha.bot機器人立刻從官方服務器私發我假的人機驗證鏈接,從而引導我輸入錢包密碼和助記詞。

慢霧:跨鏈互操作協議Nomad橋攻擊事件簡析:金色財經消息,據慢霧區消息,跨鏈互操作協議Nomad橋遭受黑客攻擊,導致資金被非預期的取出。慢霧安全團隊分析如下:

1. 在Nomad的Replica合約中,用戶可以通過send函數發起跨鏈交易,并在目標鏈上通過process函數進行執行。在進行process操作時會通過acceptableRoot檢查用戶提交的消息必須屬于是可接受的根,其會在prove中被設置。因此用戶必須提交有效的消息才可進行操作。

2. 項目方在進行Replica合約部署初始化時,先將可信根設置為0,隨后又通過update函數對可信根設置為正常非0數據。Replica合約中會通過confirmAt映射保存可信根開始生效的時間以便在acceptableRoot中檢查消息根是否有效。但在update新根時卻并未將舊的根的confirmAt設置為0,這將導致雖然合約中可信根改變了但舊的根仍然在生效狀態。

3. 因此攻擊者可以直接構造任意消息,由于未經過prove因此此消息映射返回的根是0,而項目方由于在初始化時將0設置為可信根且其并未隨著可信根的修改而失效,導致了攻擊者任意構造的消息可以正常執行,從而竊取Nomad橋的資產。

綜上,本次攻擊是由于Nomad橋Replica合約在初始化時可信根被設置為0x0,且在進行可信根修改時并未將舊根失效,導致了攻擊可以構造任意消息對橋進行資金竊取。[2022/8/2 2:52:59]

我在相關頻道里面搜索了Captcha.bot,發現有好幾個假Captcha.bot,于是將這幾個賬號也一并同步給了項目方團隊,項目方團隊很給力,也很及時地進行了處理,把這幾個假Captcha.bot刪除了,并一起討論了可能的防范方式。

這次釣魚者講的故事是在鏈接中導入助記詞進行身份驗證,然而不是采用假小狐貍(MetaMask)的界面來欺騙用戶,而是直接在頁面上引導用戶輸入助記詞了,這個釣魚手法就沒這么真。

釣魚網站的域名和?IP是app.importvalidator.org47.250.129.219,用的是阿里云的服務,同樣反手一個舉報。

釣魚防范方式

各種釣魚手法和事件層出不窮,用戶要學會自己識別各種釣魚手法避免被騙,項目方也要加強對用戶安全意識的教育。

用戶在加入Discord后要在隱私功能中禁止服務器中的用戶進行私聊。同時用戶也需要提高自己的安全意識,學會識別偽裝MetaMask的攻擊手法,網頁喚起MetaMask請求進行簽名的時候要識別簽名的內容,如果不能識別簽名是否是惡意的就拒絕網頁的請求。在參與Web3項目的時候無論何時何地都不要在網頁上導入私鑰/助記詞。盡可能地使用硬件錢包,由于硬件錢包一般不能直接導出助記詞或私鑰,所以可以提高助記詞私鑰被盜門檻。

項目方團隊也要時刻關注社區用戶的反饋,及時在社區Discord服務器中刪除惡意賬戶,并在用戶剛加入Discord服務器時進行防釣魚的安全教育。

Discord隱私設置和安全配置參考鏈接:

https://discord.com/safety/360043857751-Four-steps-to-a-super-safe-account

https://support.discord.com/hc/en-us/articles/217916488-Blocking-Privacy-Settings-

Tags:CHACAPTAPTTCHAStripchat10元等于多少代幣HBTC Captain Tokenaptos幣去哪里買adultchain

火必交易所
Hotcoin關於恢復UTG充提業務的公告_HOT:hotcoin global

尊敬的用戶:UTG主網升級已完成,Hotcoin現已恢復UTG的充值、提現業務。對您造成的不便深表歉意!感謝您對Hotcoin的支持與信任!HotcoinGlobal2022年5月20日Dapp.

1900/1/1 0:00:00
ZT創新板即將上線bECH_DIV:ASS

親愛的ZT用戶: ZT創新板即將上線</article><divclass="news_detail_footer-ozvx"><divclass="detail_top-ozvx"&.

1900/1/1 0:00:00
互聯網建設者為何應該奔赴 Web 3?_WEB:WEB3

互聯網正在發生重大變化。雖然占主導地位的大型平臺憑借掌控用戶數據和網絡效應幾乎立于不敗之地,但是Web3模式正在建立新的價值主張.

1900/1/1 0:00:00
SyndicateDAO創始人:熊市是Builder的巨大機會_SYN:銀行區塊鏈

撰寫:Lan 編譯:TechFlowintern上周,我們迎來了加密領域歷史性時刻之一,它帶來了新的長期性加密熊市,并且導致了更及時更成熟的監管誕生,并最終成為下一個牛市的基礎.

1900/1/1 0:00:00
ZT已完成GRBE新合約地址的更換_TMO:htmoon幣歸零了嗎

親愛的ZT用戶: ZT已完成GRBE新合約地址的更換,並按照官方置換比例1:1進行兌換新幣,現已恢復充值、提現功能;GRBE新合約地址:0x5Ca4e7294B14EA5745EE2A68899.

1900/1/1 0:00:00
Tally Labs 創始人:從令人振奮的種子輪融資聊起,細數Web3創業者融資準則_TAL:Mettalex

原文作者:JenkinstheValet,TallyLabs創始人 原文編譯:Amber 2021年5月22日,我們以0.4652ETH的價格買入了1798號無聊猿.

1900/1/1 0:00:00
ads