By:山
“我不需要知道Jerry是谁,在网络上做生意,你相信的就是网络上的小面板,剥掉面板,你就知道这玩意实际上有多脆弱,而事实上在那网站后面操作的真人,他们才是你需要信任的人。“
——《别相信任何人:虚拟货币悬案》
NFT?背景
2008年11月1日,中本聪提出比特币的概念,2009年1月3日,比特币正式诞生,而后随着全球数字经济加速发展,加密资产等概念爆热,2012年第一个类似NFT的通证ColoredCoin诞生。彩色币由小面额的比特币组成,最小单位为一聪。随着技术的持续发展,时间一转来到2021年,NFT迎来了爆发性增长,逐步成为市场最热的投资风向标之一。
艺术家Beeple的NFT作品《Everydays:TheFirst5000Days》在佳士得官网上以69,346,250美元成交,虚拟游戏平台Sandbox上的一块虚拟土地以430万美元售出……随着水涨船高,层出不穷的高价项目持续刺激着人们的神经。然后在高价光环之下,NFT也渐渐进入了犯罪分子的视野,从此开启了针对NFT的疯狂钓鱼、盗窃等行动。
NFT?现状
引言这段话出自Netflix的自制纪录片《别相信任何人:虚拟货币悬案》,故事讲述加拿大最大加密货币交易所QuadrigaCX首席执行官格里·科滕离奇死亡后,他将2.5亿美元客户资金密码也带进了坟墓。大量惊恐的投资者拒绝接受官方的说法,他们认为格里的“死亡”具有“金蝉脱壳”的所有特征:他还活着,已经带着投资者的钱跑路了!
其实QuadrigaCX的故事只是Web3世界的冰山一角,而我们今天要聊的NFT世界里,被盗几乎每天都在上演,列举几个知名案例:
2021年2月21日,OpenSea用户遭到personal_sign类型网络钓鱼攻击,有32位用户签署了来自攻击者的恶意交易,导致用户部分NFT被盗,包括BAYC、Azuki等近百个NFT,按当时价格计算,黑客获利420万美元;
2022年4月29日,周杰伦持有价值320万元的无聊猿?NFT?被盗;
2022年5月25日,推特用户@0xLosingMoney称监测到ID为@Dvincent_的用户通过发布钓鱼网站p2peersio盗走了29枚Moonbirds系列NFT,价值超70万美元;
2022年6月28日,Web3项目Metabergs创作者Nickydooodles.eth发推称,黑客使用钓鱼手段攻击了他的钱包,损失了17枚ETH和全部NFT藏品,包括GoblintownNFT、DoodlesNFT、SandboxLand等;
2022年11月1日,KUMALEON项目的Discord遭黑客入侵,攻击者通过发布钓鱼链接的方式实施攻击,导致社区用户大约111枚NFT被盗,包括BAYC#5313、ENS、ALIENFRENS和ArtBlocks等;
2021年12月31日,推特用户Kramer在推特称其点击了一个看起来像真的NFTDApp链接,结果这是一次网络钓鱼攻击,他的16个NFT被盗,包括8个BoredApes、7个MutantApes和1个Clonex,价值190万美元;
2023年1月15日,知名博主@NFT_GOD因点击谷歌上的钓鱼广告链接,导致所有账户、加密货币以及NFT被盗;
2023年1月26日,NFT知名项目Moonbirds创始人KevinRose的钱包被盗,丢失约40枚NFT,损失超过200万美元;
余文乐NFT项目ZombieClub与HTC元宇宙平台VIVERSE达成合作:6月6日消息,HTC元宇宙平台VIVERSE宣布与余文乐NFT品牌ZombieClub建立战略联盟,不仅将为用户提供全新的Web 3.0元宇宙体验,还将推出AWAKEN元宇宙NFT展,旨在让NFT不再只是加密钱包中的一串数据或文件,而是显示在元宇宙中的真实艺术品。
据悉,双方还发布了独家ZombiePod Genesis NFT 系列,ZombieClub持有者可以免费铸造ZombiePod Genesis NFT。(Globe News Wire)[2022/6/6 4:06:21]
2023年1月28日,NFT知名项目Azuki官方Twitter账号被黑,导致其粉丝连接到钓鱼链接,超122枚NFT被盗,损失超过78万美元;
2023年2月8日,一名受害者因一个存在已久的NFT钓鱼局,连接到钓鱼地址,损失超过1,200,000美元的USDC;
……
鉴于NFT被盗的频发和影响严重性,慢雾科技针对NFT钓鱼团伙发布两次针对性追踪分析:
2022年12月24日,慢雾科技首次全球披露《朝鲜APT大规模NFT钓鱼分析》,APT团伙针对加密生态的NFT用户进行大规模钓鱼活动,相关地址已被MistTrack标记为高风险钓鱼地址,交易数也非常多,APT团伙共收到1055个NFT,售出后获利近300枚ETH。?
2023年2月10日,慢雾科技再次发布《数千万美金大盗团伙MonkeyDrainer的神秘面纱》,据MistTrack相关数据统计,MonkeyDrainer团伙通过钓鱼的方式共计获利约1297.2万美元,其中钓鱼NFT数量7,059个,获利4,695.91ETH,约合761万美元,占所获资金比例58.66%;ERC20Token获利约536.2万美元,占所获资金比例41.34%,其中主要获利ERC20Token类型为USDC,USDT,LINK,ENS,stETH。
除此之外,据慢雾区块链被黑事件档案库和Elliptic的数据统计,截止2023年1月,NFT被盗的知名安全事件有几百起,攻击者偷走了价值近2亿美元的NFT。
据SlowMist数据显示,2022年NFT盗窃案主要集中在Ethererum链,发生在社交媒体平台上,通过虚假域名、项目方相似域名、恶意木马、Discord入侵发布虚假链接钓鱼等手法进行攻击,者平均每次盗窃10万美元。似乎不论牛市还是熊市,只有黑客在“0元购”赚的盆满钵满。
那么问题来了:不管是普通用户还是项目方创始人都屡遭钓鱼攻击,面对如此恶劣的NFT钓鱼、欺诈环境,NFT用户是不是就毫无办法?用户就是待宰的羔羊吗?
韩国电信运营商LG U+将发行NFT并推出元宇宙办公室和动物园:5月17日消息,韩国电信运营商LG U+宣布将于今年后半年推出面向儿童的虚拟动物园公测版,明年推出面向职场工作人员的虚拟办公室,此外,LG U+ 还将于本月23日推出Moono NFT系列。(韩联社)[2022/5/17 3:22:03]
No!现在我们安全防御一直推行人防+技防的手段,即人员安全意识防御+技术手段防御。人员安全意识防御即个人安全意识,建议加密货币从业者可以学习下区块链黑暗森林自救手册:
https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/
鉴于人是个复杂的高等动物,所以人员安全意识防御我们今天不展开讲,大家区块链黑暗森林自救手册好好读一下。
而技术防御手段又是什么?简单讲就是通过软硬件、浏览器插件等安全方式来保证资产等安全,而在NFT用户群体,浏览器交互是90%的NFT用户最常用的操作方式,也是最容易出现问题的环境,现在市场上已经有多款防钓鱼浏览器插件,下面我们来盘点与对比下,希望能给NFT用户一些安全指引。
安全插件对比
免责提示:以下对比的几款浏览器安全插件仅从基本信息层、NFT实时钓鱼检测层、基本操作层进行对比,慢雾仅作为中立第三方,不承担任何义务和法律责任。
下面我们来从几个角度评比下几款我们熟悉的防钓鱼浏览器插件,看看他们各自都有哪些特点:
1、是否开源、安装次数、支持链、主要功能描述:
2、NFT钓鱼网站、实时黑名单真实测试:
我们找最常见的朝鲜APTNFT钓鱼特征和MonkeyDrainerNFT钓鱼特征,进行实时特征扫描,找到团伙最新的钓鱼网站,发现时差3小时左右,来看下各个防钓鱼插件的反馈情况:
最新恶意NFT钓鱼站点:https://blur.do
下面为测试内容:
1-PeckShieldAlert
结果:无任何提示,仍正常打开钓鱼网站。
2-PocketUniverse
NFT市场LooksRare预计将于5月12日进入代币释放第3阶段:5月11日消息,NFT市场LooksRare宣布将于区块14757012开始(预计北京时间5月12日4:51)进入代币释放第3阶段,每个区块进入流通的总LOOKS将从每个区块的380个减少到150个LOOKS。这将影响质押奖励、交易量奖励(上架和交易奖励)以及团队和财务管理的LOOKS。
LooksRare财政部将增加额外的每日奖励,调整后第三阶段每日总奖励为:上架奖励20万LOOKS至6月11日,稍后进一步调整;交易奖励约为43.7万LOOKS;质押奖励约为23万LOOKS+100%的WETH平台费用。[2022/5/11 3:05:54]
结果:无任何提示,仍正常打开钓鱼网站。
3-Revoke.cash
结果:无任何提示,仍正常打开钓鱼网站。
4-Fire
结果:无任何提示,仍正常打开钓鱼网站。
5-ScamSniffer
结果:提醒钓鱼网站并阻止访问钓鱼网站。
6-WalletGuard
结果:无任何提示,仍正常打开钓鱼网站。
7-?MetaDock
以太坊成长史畅销书翻拍电影《Infinite Machine》开启第二轮NFT融资:1月17日消息,以太坊成长史畅销书翻拍电影《Infinite Machine》宣布开启第二轮 NFT 融资,本轮融资预计将售出 3000 枚 The Infinite Machine Movie NFT,单枚 NFT 价格为 0.15ETH。截止发稿时,已售出 476 枚,融资进度完成 16%。
《Infinite Machine》电影翻拍自畅销书《The Infinite Machine: How an Army of Crypto Hackers is Building the Next Internet with Ethereum》,该书是关于以太坊历史的参考书,在亚马逊上售罄过两次。该书作者、DeFi 内容平台 the Defiant 的创始人 Camila Russo 和加密对冲基金 Avenue Investment 的联合创始人 Francisco Gordillo 担任执行制作人。该电影以出售系列 NFT 的形式为项目融资,系列 NFT 共计 10499 枚,目前已售出 2925 枚 ( 27.86 % )。[2022/1/17 8:55:07]
结果:无任何提示,仍正常打开钓鱼网站。
8-Metashield
结果:无任何提示,仍正常打开钓鱼网站。
9-Stelo
结果:无任何提示,仍正常打开钓鱼网站。
为了测试NFT站点钓鱼的实时性、真实性,9个安装的插件展示如下:
以上是以3小时时差级别的真实NFT钓鱼网站结果。?
3、基本操作层测试内容
1?-?PeckShieldAlert
安装后是让用户自己输入一个TokenContract来检测,这种方式不符合目前NFT用户急于第一时间知道站点是否是钓鱼网站的需求。它更像一个在线恶意合约扫描器插件。
NFT 概念板块今日平均涨幅为0.52%:金色财经行情显示,NFT 概念板块今日平均涨幅为0.52%。16个币种中9个上涨,7个下跌,其中领涨币种为:SLP(+16.86%)、SAND(+8.18%)、NASH(+8.10%)。领跌币种为:LAR(-14.86%)、HDAO(-6.28%)、LYXE(-5.07%)。[2021/2/21 17:36:39]
personal_sign测试:无提示。
2-PocketUniverse
安装后可以知道逻辑用户触发交易时开始检测,所以在第一步用户打开NFT钓鱼网站时,是不能第一时间提醒用户的。我们来看下第二步:
personal_sign测试:提醒用户已经根据链上地址识别出风险地址,让用户不要签名,还是不错的,符合安全插件预期。
3-Revoke.cash
第一步没有标示出NFT钓鱼网站,在第二步用户连接钓鱼网站后,根据链上地址识别出风险地址,提醒用户不要签名。符合安全插件预期。
personal_sign测试:
4-Fire
第一步没有标示出NFT钓鱼网站,在第二步用户连接钓鱼网站后,根据链上地址没有识别出风险地址,也没有提示签名风险。但是Fire可以把签名预执行内容可读性显示出来,这点比较不错。
personal_sign测试:无提示。
5-ScamSniffer
安装后用户访问NFT钓鱼网站时,直接提示风险并阻断了访问钓鱼网站。符合安全插件预期。
personal_sign测试:无提示。
6-WalletGuard
安装后是在用户触发交易时开始检测,所以在第一步用户打开NFT钓鱼网站时,不能第一时间提醒用户,我们来看下第二步:
personal_sign测试:提醒用户现在已经标记到这个钓鱼网站,提醒有风险,不要签名,还是不错的。符合安全插件预期。
7-MetaDock
安装后用户连接钓鱼网站,钓鱼网站取用户签名时,插件依旧没什么提示,无任何风险提示。更像是需要用户主动去提交扫描的方式,不符合安全插件预期。可能MetaDock不是一个防钓鱼插件?有兴趣的小伙伴可以找项目方确认下。
personal_sign测试:无提示。
8-Metashield
安装后与“MetaDock”、“PeckShieldAlert”类似,用户连接钓鱼网站,钓鱼网站取用户签名时,插件依旧没什么提示,无任何风险提示。需要用户主动去提交扫描的方式,不符合安全插件预期。
personal_sign测试:无任何提示。
9-Stelo
安装后用户连接钓鱼网站,钓鱼网站取用户签名时,插件依旧没什么提示,无任何风险提示。
personal_sign测试:恶意信息提示为低风险。不符合安全插件预期。
至此,对比结束。
最终对比结果
下图为最终对比结果:
在对比后,我们发现在第一步的识别上多数安全插件都做得不够好,只有ScamSniffer识别到了这个3小时时差的最新NFT钓鱼网站,在第二步开始eth_sign、personal_sign签名等危险操作时,PocketUniverse、Revoke.cash、WalletGuard?均做出了安全风险识别等提醒。
但这只是目前的基础对比项,未来可能会进一步细化。
测试的安全插件名称及版本号如下图:
在此感谢吴说区块链的抛砖引玉;感谢以上优秀的插件项目方,虽然产品定位、对比结果各不相同,不少仍有改进的空间,但是他们的努力让区块链安全更进一步!
除此之外,推荐一个使用组合:
1、Rabbywallet+ScamSniffer
2、Rabbywallet+PocketUniverse
3、MetaMask+PocketUniverse
4、MetaMask+Revoke.cash
写在最后
纵观区块链行业的钓鱼攻击,对个人用户来说,风险主要在“域名、签名”两个核心点,其中90%的NFT钓鱼都跟虚假域名有关。对用户来说,在进行链上操作前,提前了解目标地址的风险情况是十分必要的,如果用户在打开一个钓鱼页面时,相关的浏览器安全插件或钱包就能直接提示风险,这样就可以把风险阻断在第一步,直接阻断了用户后面的风险。就像Web2世界中360时代,直接解决了当时小白用户被病攻击的困扰,但它也并非解决了所有木马病问题,因为病的查杀和病的免杀永远存在时间差,如何做到时间差更小、样本数更快、识别更精准就决定了杀软件的厉害程度。
同样,在区块链、NFT行业,如何能第一步识别、提醒到钓鱼站点的实时情况,在用户端快速反馈、识别出钓鱼网站,就决定了一款防钓鱼安全插件的能力;而如果相关产品因为时间差的问题没有在第一步识别到这些钓鱼域名,用户丢币的风险就大大增加;那么接下来到第二步,用户交互时授权链接、签名步骤,如果浏览器安全插件或钱包有签识别,能够识别、友好的展示出用户要签名的详细信息,如授权什么币种、授权多少、授权给谁等人类可读数据,比如RabbyWallet,在一定程度上也可以提示风险,一定程度上可以避免陷入资金损失的境地。
对钱包项目方来说,首先是需要进行全面的安全审计,重点提升用户交互安全部分,加强所见即所签机制,减少用户被钓鱼风险,如:
钓鱼网站提醒:通过生态或者社区的力量汇聚各类钓鱼网站,并在用户与这些钓鱼网站交互的时候对风险进行醒目地提醒和告警。
签名的识别和提醒:识别并提醒eth_sign、personal_sign、signTypedData这类签名的请求,并重点提醒eth_sign盲签的风险。
所见即所签:钱包中可以对合约调用进行详尽解析机制,避免Approve钓鱼,让用户知道DApp交易构造时的详细内容。
预执行机制:通过交易预执行机制可以帮助用户了解到交易广播执行后的效果,有助于用户对交易执行进行预判。
尾号相同的提醒:在展示地址的时候醒目的提醒用户检查完整的目标地址,避免尾号相同的问题。设置白名单地址机制,用户可以将常用的地址加入到白名单中,避免类似尾号相同的攻击。
AML合规提醒:在转账的时候通过AML机制提醒用户转账的目标地址是否会触发AML的规则。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。