区块链技术博客
www.b2bchain.cn

SharkTeam独家分析 | 私钥泄露:Bondly Finance被攻击事件分析

第20856篇文章SharkTeam独家分析 | 私钥泄露:Bondly Finance被攻击事件分析,说明解释了SharkTeam独家分析 | 私钥泄露:Bondly Finance被攻击事件分析,是很好的区块链入门技术文章网站,提供了相应的代码的进行解释,并且把原理说的很清晰

北京时间2021年7月15日:数字收藏品市场平台 Bondly Finance (BONDLY)遭到攻击。BONDLY 价格在 1 小时内跌逾 50%。

SharkTeam独家分析 | 私钥泄露:Bondly Finance被攻击事件分析

SharkTeam第一时间对此事件进行了分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。

一、 事件分析

(1)此事件发生在以太坊,盗取BONDLY的账户为0x58a058ca4b1b2b183077e830bc929b5eb0d3330c,交易为0xc2b339468b23cc8b98d6d4534e87d8ec3b85a0d26f8c169a22efe14d221cfaae,交易详细信息如下:

SharkTeam独家分析 | 私钥泄露:Bondly Finance被攻击事件分析

SharkTeam独家分析 | 私钥泄露:Bondly Finance被攻击事件分析

查看调用的send函数源代码,如下:

SharkTeam独家分析 | 私钥泄露:Bondly Finance被攻击事件分析

函数中添加了onlyOwner的权限,而交易的发起地址0x58a058ca4b1b2b183077e830bc929b5eb0d3330c 恰好是owner地址

SharkTeam独家分析 | 私钥泄露:Bondly Finance被攻击事件分析

因此,该攻击事件发生的根本原因在于Owner账号的私钥泄漏。

二、 安全分析

根据整个攻击过程的分析,根本原因在于攻击者可以利用被攻击者的账户地址调用合约,窃取受害者私钥授权合约执行并向攻击者地址进行大额数字资产的转账。在之前《黑暗森林中的身份危机:区块链密钥保护的重要性》的分析中,SharkTeam就向大家进行了风险提示并提醒大家进一步重视密钥保护,做好自身安全防护。

SharkTeam独家分析 | 私钥泄露:Bondly Finance被攻击事件分析

攻击画像:窃取用户密钥

第一步:攻击者窃取用户私钥(钓鱼或渗透钱包)

第二步:使用被攻击者账户部署攻击合约,攻击合约是整个自动化攻击的核心。

第三步:使用被攻击者账号进行交易,将所有资产转到攻击合约中。

第四步:攻击合约自动执行,通过Uniswap等去中心化交易所将资产转出,防止项目方启动应急机制锁定被盗资产。

第五步:被盗资产进一步被转移到匿名性更强的混币平台,对抗AML等安全机制。

攻击分为5步,却有极强的目的性,一旦私钥丢失将非常难以进行防范。未知攻焉知防,私钥通常面临社会工程学攻击和漏洞利用攻击两种类型。社会工程是基于欺骗和随后受害者的错误行为,而漏洞利用则是利用漏洞以及软件架构缺陷实施攻击的专业技术。

1.社会工程

社会工程调用方案的特点在于网络用户直接参与其中。攻击是向用户发送虚假信息,并在用户执行某些操作(打开邮件,移动链接或下载恶意附件)后激活。研究表明,有4%的用户会单击网络钓鱼链接。用户只要单击一下网络钓鱼链接,攻击者就可以进入系统。社会工程调用方案包含以下攻击手段:

(1)克隆网络钓鱼

攻击者会在官方网站上创建网站的副本,具有类似名称的网站或伪造的页面,然后将包含伪造资源链接的链接发送给地址中的潜在受害者。

(2)社交网络钓鱼

黑客入侵知名人物的帐户并代表他们发布包含网络钓鱼链接的帖子,创建克隆的知名人物、社区等的页面的情况越来越普遍。攻击者利用Facebook允许使用任何名称创建页面从假克隆页面进行活动,这些假克隆页面的名称与真实社区页面非常相似。

(3)针对性网络钓鱼

网络钓鱼的对象是大型投资者、钱包所有者、公司一把手、加密货币所有者。攻击者清楚地知道他们到底想攻击多少人。攻击者计算受害者在其他领域中的活动,并窃取模仿这些领域的必要数据,与受害者进行接触。

(4)虚假钱包

攻击者发布虚假钱包。虚假钱包分为两类。

第一类:虚假钱包启动后,恶意的程序可以向用户请求或获取其私钥和钱包密码;

第二类:虚假钱包不会通过生成账户地址和私钥来创建新的钱包,恶意的程序仅显示攻击者的账户地址,而用户无法访问私钥。私钥归诈骗者所有。一旦启动了恶意的应用程序,用户就认为该应用程序已经生成了他的账户地址,用户可以在其中存储加密货币。如果用户将其资金发送到此钱包,他将无法提取,因为他没有私钥,而持有私钥的攻击者则可以提取用户的资金。

2.漏洞利用

利用网络漏洞以及软件和基础架构的缺陷来实现攻击手段。此类攻击一般包含以下攻击手段:

(1)DNS劫持

在此攻击中,攻击者最初会创建恶意访问点,并诱使客户端连接到运行假DNS服务器的访问点。该服务器将特定站点重定向到攻击者的网络钓鱼服务器。

(2)会话劫持

该攻击基于使用有效会话(有时也称为会话密钥)来获得对计算机系统上信息或服务的未授权访问。特别是,它用于表示用于对远程服务器上的用户进行身份验证的cookie的盗窃。一种流行的方法是使用源路由的IP数据包。IP数据包通过B的计算机,这使得网络上B点的攻击者可以参与A和C之间的对话。攻击者可以在原始路由被禁用的情况下盲目捕获,发送命令但看不到响应来设置允许从网上其他地方访问的密码。攻击者还可以使用嗅探程序“监视” A和C之间的对话。这就是“中间人攻击”。

(3)恶意软件

当使用基于恶意软件的网络钓鱼时,恶意软件被用来在被攻击者计算机上存储凭据并将其发送给攻击者,即发送给钓鱼者。例如,可以通过带有附件doc文件的恶意垃圾邮件来传递威胁,该文档文件包含下载恶意程序的Powershell脚本,然后,恶意程序找到存储的钱包和凭据并将其发送给钓鱼者。木马AZORult和Pony Formgrabber以及bot Qbot是最常用的恶意程序。同时,网络犯罪分子还会继续使用以前针对银行的攻击工具,现在成功地使用它们来破解加密钱包,获得钱包的密码以及用户的个人账户等信息。

(4)按键/屏幕记录器

当用户从其设备输入信息时,它们将用于窃取数据。随着虚拟键盘和触摸屏的出现,使用了屏幕截图将其发送给攻击者。

三、安全建议

通过如上的分析可以看出,虽然不同于传统互联网的账号密码体系,但区块链账户同样面临私钥被盗的风险,由于通常私钥与数字资产紧密相关,其安全风险更高。

在智能合约开发和部署过程中,应确保管理员等特殊账户地址私钥的机密性,防止出现私钥泄露或被盗的情况;关键逻辑应当充分考虑鉴权时的风险,使用多重签名或分散权限等方式降低风险;在项目上线前应进行严格的智能合约审计,确保安全

提高私钥保护意识,对访问的网页或下载安装的钱包提高警惕,防止被钓鱼攻击。

制定AML和应急方案,提高对抗黑客攻击的风险防范能力。

SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。

而作为项目方,智能合约安全关系用户的财产安全,至关重要!区块链项目开发者应与专业的安全审计公司合作,进行多轮审计,避免合约中的状态和计算错误,为用户的数字资产安全和项目本身安全提供保障。

SharkTeam作为领先的区块链安全服务团队,为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成,满足不同客户需求,独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面近两百项审计内容,全面保障智能合约安全。

SharkTeam独家分析 | 私钥泄露:Bondly Finance被攻击事件分析

SharkTeam独家分析 | 私钥泄露:Bondly Finance被攻击事件分析 由www.b2bchain.cn 提供
文章整理自网络,只为个人学习与分享使用
链接地址https://www.b2bchain.cn/?p=20856

赞(0) 打赏
部分文章转自网络,侵权联系删除b2bchain区块链学习技术社区 » SharkTeam独家分析 | 私钥泄露:Bondly Finance被攻击事件分析
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

b2b链

联系我们联系我们