黑客大揭秘｜掃碼轉賬即可控制你的數字錢包_USDT:SDT

簡介

近期丟幣盜幣事件頻發，各種盜幣手法層出不窮，無所不用其極，不得不說這些攻擊者手段高明，零時科技安全團隊收到大量客戶的求助，稱其錢包資產被盜，這無疑給幣圈的朋友敲響了警鐘。

為了大家能清晰了解最近盜幣事件，并且加強防范，本篇總結了近期零時科技安全團隊收到協助的盜幣事件類型，大致可分為如下四類：

”偽裝客服騙取私鑰“

”掃描二維碼盜幣事件“

”獲取空投盜幣事件“

”交易所客服詐騙盜幣事件“

這里簡單介紹一下以上四類盜幣流程：

偽裝客服騙取私鑰

1.攻擊者偽裝為客戶潛伏在社群中

2.當有用戶出現轉賬或者提取收益求助時，攻擊者及時聯系用戶協助其處理

3.通過耐心的解答，發送偽裝成去中心化網橋的工單系統，讓用戶輸入助記詞解決其交易異常

4.攻擊者拿到私鑰后盜取資產，拉黑用戶

二維碼盜幣事件

1.攻擊者將預先準備好的惡意二維碼發送給用戶；

2.攻擊者誘導用戶使用錢包掃描二維碼進行轉賬；

3.用戶輸入指定金額后確認轉賬交易；

4.隨后用戶錢包大量USDT丟失。

Avalanche黑客松2023已啟動:7月24日消息，Avalanche發推稱，其黑客松2023正式啟動，旨在通過指導和研討會提升開發者技能水平，報名截止日期為8月21日11:59（UTC+8）。[2023/7/24 15:54:36]

獲取空投盜幣事件

1.攻擊者偽造成交易平臺或者DeFi項目；

2.攻擊者通過媒體社群發起可明顯薅羊毛的空投活動；

3.攻擊者誘導用戶使用錢包掃描二維碼領取空投；

4.用戶掃碼后點擊領取空投；

5.隨后受害者賬戶大量USDT被轉走

交易所客服詐騙盜幣事件

1.攻擊者偽造成幣安，火幣等交易所客服；

2.攻擊者告知用戶賬戶異常并觸發了風控，使用資金需要解除異常狀態；

3.攻擊者客服誘導用戶將資金轉至安全賬戶，并對受害者賬戶進行升級；

4.用戶將資金轉移至安全賬戶后，攻擊者隨即將用戶拉黑。

以上盜幣事件中，二維碼盜幣是目前發生頻率較高，客戶反饋最多的盜幣事件類型，所以本篇將對掃碼盜幣事件進行詳細分析及復現，讓讀者更清晰了解攻擊者盜幣過程，防止資金被盜。

掃描盜幣過程分析

二維碼盜幣事件復盤我們從攻擊者角度出發，完整復盤二維碼盜幣過程。

ParaSpace官推：此前從黑客攻擊中截流的資金實際被創始人Yubo控制:5月10日消息，Paraspace 團隊在推特上表示，通過鏈上數據分析顯示，此前在黑客攻擊中截留的 2909 枚以太坊被 ruanyubo.eth 和 paraspaceinsurance.eth 地址控制，而這兩個地址實際由 Paraspace 創始人 Yubo 控制，且黑客攻擊以來已有價值 100 萬美元的代幣流出到其他錢包以及 CEX 和 Circle。剩余資金已無法彌補協議此前因黑客攻擊導致的虧空。

團隊稱，此前在為 Paraspace 建立法人實體時因 Yubo 未正面回應財務方面問題而發現了資金被挪用。團隊目前將 Yubo 地址移出了項目多簽地址，并移除了 Yubo 的訪問權限。目前團隊要求 Yubo 將剩余的資金轉入協議多簽地址，但 Yubo 拒絕與之溝通。

Paraspace 團隊表示，目前團隊有能力填補協議的財務漏洞，將于今晚 20:00 進行直播分享事件的最新進展以及未來的恢復工作。[2023/5/10 14:55:04]

測試使用的攻擊地址為：

?TMmunHQsjSdUKZT1suksWBM7n6jVWkUGwL

測試使用的攻擊者歸集資產地址為：

TKjxdVUpyqwmqMGUh9kyRg196f1zesb3m9

Polygon黑客馬拉松前50項目瓜分50萬美元:9月16日消息，Polygon宣布了BUIDL IT Summer2022黑客馬拉松的獲勝者，其表示將有超50萬美元的資源來幫助前50的項目開發人員建立一個更加公平的網絡。據悉，今年提交的項目數量是去年的3.6倍，來自118個國家超過650個項目團隊參加。[2022/9/16 7:00:03]

測試使用的合約為TRON鏈上USDT合約：

TR7NHqjeKQxGTCi8q8ZY4pL8otSzgjLj6t

測試使用的受害者地址為：

THcDZSMmGdecaB2uAygPvHM7uzdE2Z4U9p

第一步：攻擊者制作掃碼盜幣二維碼

該步主要為攻擊者將代幣授權寫入二維碼，也是攻擊成功最重要的基礎功能，此步驟中，攻擊者需要創建自己的錢包地址，調用USDT合約API及approve()接口。

二維碼需要實現的功能：

//調用TRON鏈上USDT合約，并調用合約的approve方法，給攻擊者地址授權9000000000枚USDT.

USDTToken.approve(TMmunHQsjSdUKZT1suksWBM7n6jVWkUGwL,9000000000)

之后將該功能在Web端進行實現，最終得到的盜幣二維碼如下：

數字藝術家Beeple的Discord遭黑客攻擊，虛假NFT空投導致用戶損失約38 ETH:11月11日消息，數字藝術家Beeple的Discord中一位名叫“Multi”的管理員向該小組確認，盡管他們有2FA（雙因子驗證），但他們的賬戶還是被入侵了。肇事者冒充了Multi和Beeple公告機器人，在Nifty Gateway上宣傳Beeple的虛假NFT空投，時間與其第二次佳士得拍賣會相吻合。此前Beeple也開展過類似的抽獎活動，用戶可以1美元的價格搶購其NFT。事件發生一個多小時后，原管理員重新獲得了對其登錄的控制權。據Etherscan顯示，據稱黑客的錢包只剩下9121.54美元，有25個ETH被突然轉移。然而，用戶報告說損失了更多的ETH。（Cointelegraph）[2021/11/11 6:45:57]

第二步：攻擊者制作后臺提款功能

該步為攻擊者誘導用戶授權資金后的轉賬操作，此步驟中，攻擊者需要調用USDT合約API及transferfrom()接口。

后端提幣需要實現的功能如下：

//調用TRON鏈上USDT合約，并調用合約的transferFrom方法，給攻擊者地址轉賬大于0，并且小于9000000000枚USDT.

NEM基金會主席Lon Wong回應Coincheck黑客事件:今日NEM基金會主席Lon Wong對CoinCheck的黑客事件作出官方回應，Lon Wong表示，我們要代表NEM基金會感謝NEM社區的持續支持。Coincheck失敗對我們所有人都產生了影響，我們也體會到了挫折感、失落感。作為一個社區，這一事件提醒我們，我們仍然存在薄弱環節。作為基金會，我們將繼續支持和推廣優秀的區塊鏈。風雨無阻，我們將繼續在NEM區塊鏈上發力，使其越來越強大。XEM事件已經敲響了警鐘，要對安全措施進行雙重檢查，并部署所有必要的安全機制。攜手同心，我們可以繼續為未來創造一個強大的生態系統。[2018/3/13]

USDTToken.transferFrom(TMmunHQsjSdUKZT1suksWBM7n6jVWkUGwL,TKjxdVUpyqwmqMGUh9kyRg196f1zesb3m9,0<value<9000000000)

第三步：攻擊者給受害者用戶發送盜幣二維碼，并誘導用戶給該二維碼轉賬

該步為攻擊者成功最重要的一步，如果受害者掃描了盜幣二維碼并將進行了轉賬，則表示轉賬成功；反之受害者未掃描二維碼或者轉賬，則攻擊失敗。

所以這里攻擊者可能會采用多種方式誘導受害者進行掃碼轉賬，常見的誘導方式如下：

攻擊者在交易所進行交易時，將盜幣二維碼發送給用戶，防范不高的用戶就會進行轉賬；

惡意空投，偽造成可以獲取空投的二維碼，誘導用戶進行轉賬；

熟人作案，直接將二維碼發送給好友，在毫無防備的情況基本都會轉賬；

第四步：受害者用戶掃描二維碼進行轉賬

該步為受害者用戶進行的操作，在攻擊者誘導用戶同意掃碼二維碼轉賬后，會收到如下二維碼：

用戶使用TokenPocket錢包進行掃碼，會得到如下頁面：

這里用戶的初衷是給二維碼進行轉賬，但這里的需要注意的細節是，當用戶輸入轉賬數目進行發送時，這里執行的操作其實并不是轉賬transfer，而是授權approve，如下頁面：

我們可以在頁面端更清楚看到此步執行的交易詳情，如下圖：

這里可清楚看到，掃碼點擊發送交易后，這里請求方法為approve，授權的地址為TMmunHQsjSdUKZT1suksWBM7n6jVWkUGwL，授權的金額為9000000000，確定該筆交易后，攻擊者地址就可轉走用戶錢包中9000000000額度的USDT，當然前提是用戶錢包有這么多資金，只有用戶錢包有不超過9000000000枚USDT，均可以轉出。鏈上的這筆授權交易可查詢到：

第五步：攻擊者通過后臺提取受害者用戶資金

該步為攻擊者的最后一步，也就是將用戶授予的USDT取出，如下圖：

用戶掃碼進行轉賬后，攻擊者后臺會顯示用戶目前錢包授權的USDT數目，這里可以看到用戶錢包USDT余額為1枚，此時攻擊者進行歸集，也就是調用transferFrom將資金轉入自己的錢包，如下圖，進行3U和1U的兩筆測試，最終歸集回來會被平臺扣掉10%手續費：

至此，攻擊完成，攻擊者盜走受害者錢包中的其余USDT。這里只是對一個用戶進行測試，攻擊者實際詐騙金額遠遠比這個多。整個盜幣事件能成功的原因只是因為二維碼中的approve授權，而用戶如果轉賬時細心查看交易詳情，可能會及時發現此筆交易的貓膩，從而保護自己的資金安全。

通過調查，我們了解到，目前這種掃描二維碼進行盜幣的方法已經被規模化，不僅支持TRON鏈還支持ETH鏈，形成一個小型產業鏈：

技術專門負責開發程序并搭建自動化平臺，此平臺可自動生成釣魚二維碼，生成代理賬戶，管理員自動歸集受害者錢包資產；

代理專門負責推廣平臺生成的釣魚二維碼，然后讓更多人來掃描授權，成功后可獲得分紅；

管理員坐收漁利，將成功授權的錢包資產轉走，并分紅給代理；

管理員將盜走的資產轉移到其他交易平臺進行資產兌換洗白。

代碼分析

這里我們從代碼層面分析一下原理，其實很簡單：

首先用戶收到一個轉賬二維碼，掃描之后會到這個頁面：

在這個頁面中，輸入轉賬金額，當點擊這個發生按鈕時，會觸發一個js操作，如下：

這個js中就明顯發現，這里不是transfer而是一個approve操作。

當授權成功后，這個平臺后臺可自動進行歸集，也就是轉賬受害者錢包中的錢，通過transferfrom方法。

所以，整個過程，全自動化完成。

上面所有的過程都是針對USDT的盜幣過程分析，其實攻擊者可以針對任何合約Token進行攻擊，只需要修改合約Token的地址以及abi即可。

為了廣大幣圈用戶能切實保護好資金的資產，對于以上盜幣事件，零時科技安全團隊給出以下建議：

安全建議

不給不信任的二維碼掃描轉賬；

給他人轉賬時需注意轉賬操作是否為預期操作；

不要給未經審計的項目輕易授權錢包；

陌生電話要警惕，在不確定身份的前提下及時掛斷；

不要將私鑰導入未知的第三方網站；

領取空投需確認項目真實性。

Tags：USDTUSDSDTRAN泰達幣usdt官網下載ASUSD幣foin幣可以轉usdt嗎Transcodium

瑞波幣