Xem lại trường hợp ví bị đánh cắp và thảo luận cách đạt được bảo mật tài sản trong Web3.0?

Nguồn gốc: Ghi chú nghiên cứu thỏ Alpha

Nguồn gốc: Ghi chú nghiên cứu thỏ Alpha

sự kiện

sự kiện

Vào một buổi sáng trong kỳ nghỉ Tết Dương lịch năm 2022, Little C đang chuẩn bị viết mã và tiếp tục thử nghiệm các giao dịch hợp đồng trực tuyến của Web3js. Đột nhiên phát hiện ra rằng tài khoản thử nghiệm của tôi (chuỗi Bsc) đã được đặt lại về 0 trong MetaMask và vẫn còn 100 đô la Mỹ trong tài khoản vào đêm hôm trước và sau khi kiểm tra chuyển khoản, tôi thấy:

lý lịch

lý lịch

tiêu đề phụ

Làm thế nào là mất mát gây ra?

Vào ngày cuối cùng của năm 2021, Little C tình cờ nhìn thấy một tài khoản thú vị (tài khoản này có nhiều giao dịch đang hoạt động), theo dõi một số giao dịch trực tuyến của anh ấy và thấy một dự án rất thú vị (tỷ lệ hoàn vốn hàng năm cao), sau đó vô tình kết nối với MetaMask của chính mình, và sau đó được phê duyệt một cách tình cờ, bởi vì dự án Web3 nói chung là quá trình này, phê duyệt và sau đó chuyển nhượng kết thúc.

Nhưng một cảnh kinh hoàng xuất hiện: sau khi nhấp vào, toàn bộ trang web đột nhiên bị đóng băng (thực tế là trong thời gian đóng băng, kẻ trộm đã chuyển tiền đi), không có phản hồi và Xiao C đã không lấy lại nó vào thời điểm đó. đóng cửa trang web và đi làm những việc khác.

tiêu đề cấp đầu tiên

tiêu đề phụ

Làm cách nào tên trộm chuyển hết số tiền trong tài khoản của Little C?

Hiện tượng: Miễn là bạn chấp thuận, về mặt lý thuyết, bạn có thể chuyển tất cả số tiền tương ứng mà không cần khóa riêng.

Little C đã lần ra nguồn gốc, có thể là do việc phê duyệt một trang web lừa đảo có vấn đề nên cậu ấy đã lần ra hồ sơ chuyển khoản.

Như trong hình, có thể thấy rằng đầu tiên hợp đồng được phê duyệt (được ủy quyền) và hợp đồng lừa đảo được phép hoạt động trên BUSD trong tài khoản và không có giới hạn về số lượng.

Tại sao lại là BUSD? Little C kể lại rằng khi vào trang web lừa đảo này, anh ấy đã mặc định chọn BUSD, ước tính sau khi duyệt ví liên kết trang web, kẻ trộm đã sàng lọc ra token có nhiều tiền nhất trong tài khoản.

Sau đó, khi Little C nghĩ rằng đó là một hợp đồng hoán đổi mới với lợi nhuận hàng năm cao và sẽ thử nó trước, cậu ấy đã tiến hành phê duyệt theo quy trình thông thường. Sau khi phê duyệt xong, trang web bị kẹt trực tiếp.

Sau đó, sau khi lần ngược lại, khoảng vài chục giây sau khi ủy quyền, hợp đồng đã trực tiếp kích hoạt hoạt động chuyển tiền và chuyển trực tiếp mã thông báo BUSD đi.

Sau đó, tôi đã kiểm tra thông tin ủy quyền.

Về cơ bản, ủy quyền mặc định của MetaMask là:

Chuyển đổi thành số, những gì chúng ta biết là 1.157920892373162 nhân với 10 mũ 59. Về cơ bản, nó có thể được hiểu là chuyển khoản không giới hạn, nghĩa là hoạt động được ủy quyền này cho phép hợp đồng thao túng mã thông báo tài khoản của tôi vô thời hạn. Tôi nhìn thấy cái này mà cảm thấy ớn lạnh sống lưng, vì trước đó tôi đã bấm đồng ý rất nhiều lần nhưng không chịu vào xem.

Sau đó, tin tặc thao túng một địa chỉ ví có thể kiểm soát phương thức hợp đồng, bắt đầu phương thức chuyển hợp đồng và chuyển tiền đi. Vì vậy, các bạn sauHãy cẩn thận khi bạn nhấp vào ủy quyền metamask。

tiêu đề cấp đầu tiên

tiêu đề phụ

Vấn đề ở đâu?

Bởi vì tôi đang học blockchain gần đây. Little C đã đại khái sắp xếp logic của phương pháp câu cá này, nhất thiết phải có tâm hãm hại người khác và tâm ngăn cản người khác. Nếu quan tâm, bạn có thể tìm hiểu:

chuyển bình thường

Trường hợp 1: Chuyển trực tiếp giữa những người dùng Người dùng A chuyển BUSD cho người dùng B

Hợp đồng thường kiểm tra logic sau

1) Xác định xem có đủ tiền trong số dư tài khoản của người dùng A hay không; 2) Liệu đó có phải là chuyển khoản do người dùng A thực hiện hay không

Quá trình này được thể hiện trong hình bên dưới

Trao đổi hợp đồng thông thường

Đó là quá trình chúng ta thường sử dụng pancakeswap, uniswap, v.v. để trao đổi

Trường hợp 2: Trao đổi mã thông báo thông qua hoán đổi Một người dùng thực hiện hợp đồng quy trình trao đổi mã thông báo (BUSD sang WBNB) để đánh giá:

1) Liệu có đủ BUSD trong số dư tài khoản của người dùng A hay không (giả sử rằng hợp đồng hoán đổi đã được ủy quyền để vận hành mã thông báo BUSD của tài khoản A)

2) Hợp đồng hoán đổi lấy 500BUSD từ tài khoản A và đưa vào nhóm hợp đồng hoán đổi (giả sử tỷ giá hối đoái là 1:500)

3) Sau khi hợp đồng thành công, hãy chuyển 1BNB vào tài khoản A

Lưu ý rằng điểm 2 và 3 được vận hành bởi mã thông báo kiểm soát hợp đồng. Nói cách khác, hợp đồng có thể bỏ qua chúng tôi và trực tiếp bắt đầu hoạt động trên các mã thông báo trong tài khoản của chúng tôi.

hợp đồng câu cá

Trước tiên hãy xem sơ đồ truy xuất nguồn gốc này

Đối với chuyển nhượng thông thường, bên chuyển nhượng và bên thực hiện hợp đồng phải là cùng một người, nghĩa là (1) và (2) trong hình trên phải do cùng một người khởi xướng. Đối với giao dịch tôi được chuyển đến, hai địa chỉ này không giống nhau. Người ta suy đoán rằng một địa chỉ ví có thể thực hiện hợp đồng lừa đảo sẽ kiểm soát việc thực hiện hợp đồng, sau đó chuyển BUSD mà tôi đã ủy quyền cho hợp đồng lừa đảo.

Để kiểm tra hợp đồng lừa đảo, không có gì ngạc nhiên khi hợp đồng lừa đảo là một hợp đồng được mã hóa. Nhưng nghĩ cũng không khó, ai đã từng học qua Solidity một chút đều biết khi xác định hợp đồng chỉ cần đặt thêm một vài Admin hoặc Owner là đủ.

Lời khuyên an toàn

Lời khuyên an toàn

Vì sự cố này, Xiao C đã tìm kiếm một số gợi ý và phương pháp hữu ích, đồng thời rút ra được rất nhiều bài học xương máu.

Dưới đây là một số phương pháp mà bạn có thể lựa chọn theo nhu cầu của mình.

1) Không chia sẻ khóa

Tôi đã xem một bài đăng trước đó nói rằng một cụm từ dễ nhớ sẽ tạo ra nhiều tài khoản. Tôi không khuyến nghị loại tài khoản này vì nó có khả năng được sử dụng trong một nồi.

2) Khóa được lưu ngoại tuyến

Vì có nhiều phương thức nhập của công cụ khay nhớ tạm sẽ tải các bản ghi trong khay nhớ tạm của bạn lên đám mây, nếu bạn sao chép trực tiếp, nếu đám mây bị rò rỉ, khóa của bạn sẽ bị mất trực tiếp.

Đề xuất của tôi là sao chép nó vào sổ ghi chép càng sớm càng tốt sau khi nó được tạo. Tất nhiên, bạn có thể sao chép nó vào sổ ghi chép và bạn cũng có thể tham khảo cách mã hóa khóa trong từ điển của riêng tôi. Ví dụ: a được thay thế bằng 1, b được thay thế bằng 2 và 1 được thay thế bằng a. Điều này đảm bảo rằng ngay cả khi ai đó nhìn thấy khóa giấy của bạn, Bạn cũng không thể di chuyển tài sản kỹ thuật số của mình.

3) Phát triển và thử nghiệm riêng biệt (cách ly airdrop và tài khoản chính)

Cài 2 trình duyệt, 1 cái có thể là chrome và 1 cái là Brave. Một để quản lý ví chính của bạn. Người còn lại có thể tham gia nhận airdrop, các hoạt động trên chuỗi khác nhau, v.v.

4) Không tải phần mềm không rõ nguồn gốc

Không sử dụng baidu để tải xuống phần mềm từ các nguồn không xác định, tôi đã thấy các trường hợp tải xuống metamask vi phạm bản quyền, trường hợp này đã bị phá sản trực tiếp. Hãy nhớ đến địa chỉ chính thức để tải xuống và bạn có thể tham khảo Google Play nếu có điều kiện. cửa hàng web chrome, v.v.

5) Kiểm tra ủy quyền của bạn ngay bây giờ

Các URL cần kiểm tra như sau. Debank không phải là mã nguồn mở, nhưng tương tác với giao diện người dùng tốt hơn. Có những mã nguồn mở trong tương lai. Bạn có thể tự chọn.

https://debank.com/

https://approved.zone/

https://tac.dappstar.io/

https://ethallowance.com/

Như trong hình, về cơ bản là vô hạn.

Mỗi lần bật MetaMask lên là phải xem xét cấp quyền nhiều hơn, đừng có não tàn như tôi bây giờ để cấp quyền bước tiếp theo.

6) Trước khi ủy quyền, xác nhận tính bảo mật của hợp đồng

https://www.slowmist.com/service-smart-contract-security-audit.html

Bạn có thể sử dụng chức năng kiểm tra hợp đồng của SlowMist.

Bạn cũng có thể kiểm tra xem hợp đồng có phải là mã nguồn mở hay không, nếu là mã nguồn mở thì bạn cần xác nhận xem hợp đồng đó có phải là hợp đồng có thể nâng cấp hay không, v.v.

7) Chú ý đến an toàn khi sử dụng airdrop và lợi ích

Sử dụng tài khoản nhỏ để thu thập, không sử dụng tài khoản lớn, bạn có thể đặt số tiền khi ủy quyền! ! !

8) Cảnh giác với sự xâm nhập của nhân viên xã hội và cẩn thận với những người lạ trò chuyện riêng với bạn trên Discord

Ví dụ: Discord hoặc Telegram, ai đó đã biết bạn được vài ngày và nói rằng anh ta sẽ mang tiền cho bạn để lấy airdrop, để bạn cài đặt phần mềm mà anh ta gửi cho bạn và đăng nhập. Loại tiền này 99,99% bạn sẽ mất tiền bạc. Tài khoản bị đánh cắp.

Đặc biệt, trong Discord, hãy nhập Discord chính thức của NFT và ai đó sẽ trò chuyện riêng với bạn, cho bạn biết rằng bạn đã có được danh sách trắng, kèm theo một liên kết đúc tiền. Kẻ nói dối sẽ thay đổi ảnh hồ sơ và tên thành tên chính thức, điều này thực sự đạt được bằng cách kéo anh ta vào một nhóm với bạn.

Trên thực tế, chỉ cần bạn không tham lam, loại lừa đảo này khá dễ nhìn ra, thông thường, bạn sẽ được yêu cầu đúc trong vòng vài giờ, và con số là 1-10. Nhiều dự án phổ biến có một danh sách trắng các lần đúc và một hoặc hai lần đúc, nhưng dự án này có giới hạn thời gian là 10.

Ngoài ra, sẽ có những kẻ lừa đảo bắt chước trang web chính thức của dự án để tạo một trang web giả mạo, nhắn tin riêng cho những người trong máy chủ của dự án và yêu cầu họ đến đúc.

Cũng có bạn mua phải NFT giả trên opensea và phát hiện ra nó không phải chính chủ, vài ngày sau NFT biến mất khỏi tài khoản nhưng đã bị trừ... (bạn tìm thế nào? Nhìn vào chuỗi và sự bất hòa chính thức đã đăng URL chính thức của Opensea)

Ngoài ra còn có một collab.land giả mạo lừa đảo mật khẩu ví, airdrop cho big v và sau đó tuyên bố rằng big v đã mua NFT/token.

Năm mới sắp đến, mọi người nhất định phải chú ý an toàn, mong rằng bằng hữu đọc được bài viết này sẽ bình an vô sự!

Bài viết này cảm ơn tác giả Chris