以太坊功能被滥用,从99,000名受害者那里窃取了6000万美元

以太坊功能被滥用,从99,000名受害者那里窃取了6000万美元_第1张图片

导语:最近,以太坊的一个功能被不法分子滥用,导致99,000人在六个月内损失了总计6000万美元的加密货币。这一滥用行为是通过绕过钱包安全警报和篡改加密货币地址实现的。本文将为您详细介绍这一事件的背景和影响,并提供一些建议,以保护您的加密资产。

背景


以太坊是一个开放的区块链平台,让开发者能够构建和部署智能合约。其中一个被滥用的功能是’Ethereum’的’Create2’函数。在’Constantinople’升级中引入的Create2是一种在区块链上创建智能合约的操作码。与原始的Create操作码不同,Create2允许在合约部署之前计算出地址。

Create2为以太坊开发者提供了强大而灵活的合约交互工具,包括基于参数的合约地址预计算、部署灵活性、适用于链下交易和某些dApps等。然而,随之而来的是一些安全隐患和新的攻击方式。

滥用行为及影响


根据Web3反诈骗专家’Scam Sniffer’的报告,滥用Create2函数可以生成没有恶意或被举报交易历史的新合约地址,从而绕过钱包安全警报。当受害者签署了一笔恶意交易后,攻击者会在预计算的地址部署一个合约,并将受害者的资产转移到该地址,这是一个不可逆转的过程。

以太坊功能被滥用,从99,000名受害者那里窃取了6000万美元_第2张图片

滥用Create2的第二种方式是生成与受益人拥有的合法地址相似的地址,以欺骗用户将资产发送给威胁行为者,而以为自己是发送给一个已知地址。

自2023年8月以来,Scam Sniffer已记录了11名受害者损失近300万美元的案例,其中一名受害者将160万美元转账给了一个与最近发送资金的地址相似的地址。

这些攻击大多悄无声息地窃取了数百万美元,但有些已经引起了社区的关注。今年初,MetaMask就曾警告过骗子使用与受害者最近交易中使用的地址相匹配的新生成地址。

在这种骗局中,威胁行为者可能还会向受害者发送一小笔加密货币,以注册该地址在钱包历史中的记录,从而增加受害者付款的机会。

最近,一名Binance操作员误将2000万美元发送给了利用“地址毒化”技巧的骗子,但很快发现了错误并冻结了接收者的地址。

需要注意的是,类似的加密货币地址欺骗技巧在剪贴板劫持恶意软件工具(例如Laplas Clipper)中也有所见,这凸显了该方法的有效性。

建议与总结


在进行加密货币交易时,建议您始终仔细检查接收者的地址,而不仅仅是前三四个字符。以下是一些建议,以帮助您保护您的加密资产:

谨慎签署交易:确保在签署任何交易之前,详细检查交易内容和接收者地址,尤其是在使用新生成的地址时。

多重验证:启用多重验证功能,以增加您的账户安全性。这可以包括使用硬件钱包或双因素身份验证。

安全钱包:选择安全可靠的钱包,以确保您的加密资产得到充分保护。定期更新钱包软件,并确保从官方渠道下载。

社区警觉性:保持与加密货币社区的联系,了解最新的安全威胁和骗局。分享您的经验和知识,帮助他人避免成为受害者。

虽然滥用以太坊的Create2功能导致了大量的损失,但通过保持警觉和采取适当的安全措施,我们可以降低风险并保护我们的加密资产。

你可能感兴趣的:(网络安全资讯,区块链,网络安全,web安全,业界资讯)