Share this page!

Cos(余弦)😶‍🌫️ Profile picture
Twitter logo
Nov 13 7 tweets 1 min read
为了缓解大家的紧张…给大家分享个 Crypto 钓鱼新技巧吧(相对新,没什么人提)…

如截图,首先这个是盗 USDT,当你的钱包确认后,你的 USDT 会被兑换成 WETH 到黑客的地址。

这里的关键点是:注意下 data 数据,许多猫腻都在这里面,当你学会看 data,还能踩坑?

1/n
我简单解析下 data,0x472b43f3 开头的这串其实代表的是:

swapExactTokensForTokens

当然也可以代表其它函数,细节不表,自行参考如:
4byte.directory/signatures/?by…

看不懂也无所谓,你注意下上图这段签名操作的合约地址,to 的值:

0x68b3465833fb72a70ecdf485e0e4c7bd8665fc45

2/n
0x68b3465833fb72a70ecdf485e0e4c7bd8665fc45

这实际上是 Uniswap V3: Router 2 的智能合约地址,点击 Write as Proxy 你会注意到上图顶部红框的一串内容:

swapExactTokensForTokens (0x472b43f3)

正好这里也备注了 0x472b43f3 是 swapExactTokensForTokens。
这个技巧掌握了吧?

当进行智能合约交互时,待签名的数据,data 开头的一串十六进制内容(包含 0x 总共十位长)实际上对应了目标合约里的相关函数。

知道是什么函数,也就知道钓鱼的意图了…

swapExactTokensForTokens

这个函数你一眼感觉是做什么的?

4/n
swapExactTokensForTokens

Token 换 Token,在这里,钓鱼网站会把你的 USDT 换成 WETH,然后转给钓鱼者的地址:

0x75e44f7541d5ce46f4d21075b45760f109c14b51

这个地址、USDT 合约地址、WETH 合约地址实际上都在 data 里。到这就不必啰嗦了。

5/n
到这,其实需要特别强调一点,不管你用什么钱包,软件钱包、硬件钱包、MPC 钱包、AA 钱包等等,如果千奇百怪的签名没很好地给用户展示出来,想让用户都像我这样去理解签名的内容,那简直抓狂…

钓鱼技巧是领先钱包安全设计的,钱包们务必紧跟。

6/n
最后,想了解那些千奇百怪的 Crypto 钓鱼可以回顾下面这个 Thread,如果你感觉我的安全分享帮到你了,分享给 Web3 更多新人吧;-)

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Cos(余弦)😶‍🌫️

Cos(余弦)😶‍🌫️ Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @evilcos

Cos(余弦)😶‍🌫️ Profile picture
Nov 2
最近 @Dropbox@github 都披露了自己企业遭遇了钓鱼攻击,CircleCI 相关账号密码+2FA一起被钓:
dropbox.tech/security/a-rec…
github.blog/2022-09-21-sec…

这件事,Web3 行业的你需要关注吗?那必然是需要的...我简单提下其中一个关注点是:双因素认证(2FA)安全的话题...
双因素认证(2FA) 或 MFA,是认证的第二层保障,第一层经常都是账号密码这种,加个 2FA,那自然是安全了许多。但是不是所有的 2FA 安全等级都一样的。

比如常见的:
- 短信(SMS)
- 邮件
- Google Authenticator 这类

你觉得安全等级排序是怎样的?
通常来说,安全等级排序是:

Google Authenticator > 知名邮箱 > 短信,原因大体有:

- 被直接入侵难度
- 被中间人劫持 2FA 码的难度,邮件与短信的 2FA 码经常都来自第三方下方的,但 Google Authenticator 不是
- 短信还有经典的 SIM Swap 攻击可能性

细节不展开。
Read 7 tweets
Cos(余弦)😶‍🌫️ Profile picture
Oct 9
最近收到不少人反馈自己的加密资产被钓鱼走了,许多姿势我在黑手册(darkhandbook.io)里写过。这里再更新点内容吧。

Crypto/Web3 钓鱼常用的这几种签名能看出区别吗?

你先仔细看看,思考下,再看我的解析就会记忆深刻了:)

👇 ImageImageImageImage
图1:是用了 eth_sign 这个要废弃且危险的签名函数,一旦你点击确认,包括 ETH 在内的原生资产都可以被直接转走(技术细节这里都不展开)。

所以 MetaMask 有段红色文字提醒,可即使如此,还是会有中招的用户...我建议 @MetaMask 直接不支持 eth_sign。 Image
图2:是用了 personal_sign,但这里被用于盲签了,消息:

0x62dc3e93b0f40fd8ee6bf3b9b1f15264040c3b1782a24a345b7cb93c9dafb7d8

66 长,是目标明文内容被 keccak256 哈希后的结果。对于用户来说,看不到目标明文内容到底是什么,于是这里就是风险之处。比如用于 NFT 交易市场的挂单零元购。 Image
Read 6 tweets
Cos(余弦)😶‍🌫️ Profile picture
Aug 20
破案,又见 BGP 劫持!

中文见:
Celer Network cBridge 跨链桥事故真相:BGP 劫持
mp.weixin.qq.com/s/SInU_o3Ct-7A…
有人好奇 BGP 劫持这种手法。我这简单说下:BGP 是边界网关协议,是上古时期就存在至今且很难被替换的互联网基础协议,类似“邮局”。BGP 劫持带来的直接现象是:一旦劫持发生,你以为你控制的服务器 IP,实际上变成黑客控制的了。
既然拥有了本属于你的服务器 IP,黑客就可以部署另一个服务器,“绑定”这个 IP。然后再重新申请一个合法的 HTTPS 证书(毕竟从端来看,域名与 IP 都没变化)。

这样一来,一切后续的攻击都可以静默发生了。比如在目标项目域名的前端页面植入恶意 JavaScript 代码,以实施后续盗币行动。
Read 7 tweets
Cos(余弦)😶‍🌫️ Profile picture
Aug 10
DNS Hijacking(劫持) 大家应该都耳濡目染了,历史上 MyEtherWallet、PancakeSwap、SpiritSwap、KLAYswap、Convex Finance 等等以及今天的 @CurveFinance,十来个知名加密货币项目都遭遇过。但很多人可能不一定知道其劫持的根本原因,更重要的是如何防御(项目方角度及用户角度),我这里做个简单分享👇
DNS 可以让我们访问目标域名时找到对应的 IP:

Domain -> IP_REAL

如果这种指向关系被攻击者替换了:

Domain -> IP_BAD(攻击者控制)

那这个 IP_BAD 所在服务器响应的内容,攻击者就可以任意伪造了。最终对于用户来说,在浏览器里目标域名下的任何内容都可能有问题。
DNS 劫持其实分为好几种可能性,比如常见的有两大类:

1. 域名控制台被黑,攻击者可以任意修改其中的 DNS A 记录(把 IP 指向攻击者控制的 IP_BAD),或者直接修改 Nameservers 为攻击者控制的 DNS 服务器;

2. 在网络上做粗暴的中间人劫持,强制把目标域名指向 IP_BAD。
Read 14 tweets
Cos(余弦)😶‍🌫️ Profile picture
Jun 5
各位需要特别警惕下这种钓鱼(普通的方式是直接钱包弹框让你授权或转账),这种是让你签名,注意看,第一个截图还好,第二个截图实际上是盲签,这种利用曾经@opensea 用户中招过,现在其他一些 NFT 交易平台的用户也可能中招。
继续,第二个截图的一串内容是钓鱼特别构造的内容(比如其中包括 NFT 交易市场里的挂卖单价格这种非常重要的信息),然后通过 keccak256 哈希后,给用户看到的就是一串包括 0x 的66 个字符。
钓鱼拿到用户针对这串 66 个字符的签名结果后,实际上就等于拿到签名结果中最关键的 RSV 三个值。之后就可以自动利用 RSV 值发起 NFT 盗窃攻击,此时撮合价格可能极低。
Read 5 tweets
Cos(余弦)😶‍🌫️ Profile picture
Jun 5
⚠️被盗了怎么办?🆘
尤其是最近的 NFT 如此火热,安全意识谈再多也比不上被盗一次来的记忆深刻。当然我不希望大家被盗,只是很多时候看到很多人被盗后非常紧张、迷茫、甚至可能着急导致第二次伤害。这里我特别来个 thread 讲解下。
⭕️止损第一
止损就是让损失不要放大了。这分为至少两个阶段:1. 眼前着急阶段。眼前的绝对是当务之急的,比如你都看到黑客正在陆续转移你的资产,你还想什么呢?赶紧抢着把剩余资产安全转移呀。
有交易抢跑经验的,就抢跑。看资产类型,如果是那种可以链上冻结的,就尽可能联系冻结。有能力做链上追踪分析的发现资金转移进中心化平台,就可以联系做必要风控。
Read 18 tweets

Did Thread Reader help you today?

Support us! We are indie developers!

This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Don't want to be a Premium member but still want to support us?

Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal

Or Donate anonymously using crypto!

Ethereum

0xfe58350B80634f60Fa6Dc149a72b4DFbc17D341E copy

Bitcoin

3ATGMxNzCUFzxpMCHL5sWSt4DVtS8UqXpi copy

Thank you for your support!

Follow Us on Twitter!

Send Email!

:(