本文來自嘶吼網(wǎng),作者/ang010ela。
Web3反垃圾郵件專家Scam Sniffer發(fā)現(xiàn)有攻擊者濫用以太坊的'Create2'函數(shù)繞過錢包安全警告和對以太坊地址進(jìn)行投毒,在6個月內(nèi)從9.9萬以太坊用戶處竊取了價值超過6億美元的加密貨幣。
Create2是以太坊'Constantinople'升級時引入的嚴(yán)格操作碼,允許用戶在以太坊上創(chuàng)建智能合約。原來的Create操作碼是根據(jù)創(chuàng)建者的地址和nonce來生成新地址的,Create2允許用戶在合約部署前計算地址。Create2對以太坊開發(fā)者來說是一個非常強(qiáng)大的工具,可以實現(xiàn)先進(jìn)和靈活的合約交互、基于參數(shù)的合約地址預(yù)計算、鏈下交易和特定分布式應(yīng)用的靈活部署和適配。
Create2在帶來好處的同時也帶來了新的安全風(fēng)險。Scam Sniffer的報告稱,Create2可以被濫用來生成沒有惡意交易歷史的新地址,可以繞過錢包安全告警。當(dāng)受害者簽署惡意交易時,攻擊者就可以在預(yù)先計算的地址上部署合約,并將受害者的資產(chǎn)轉(zhuǎn)賬到該地址,且這是一個不可逆的過程。
研究人員發(fā)現(xiàn),有受害者在簽署了將資產(chǎn)轉(zhuǎn)賬到預(yù)先計算好的地址的轉(zhuǎn)賬合約后,損失了價值92.7萬美元的GMX。
圖攻擊中使用的智能合約
Create2被攻擊者濫用的第二種方式是生成與接收者擁有的合法地址相似的地址,以誘使用戶發(fā)送資產(chǎn)給攻擊者,但受害者會認(rèn)為其發(fā)送給了一個已知的地址。這也被稱之為地址投毒(address poisoning),即生成大量的地址,然后從中挑選出與特定釣魚需求匹配的地址。
自2023年8月起,Scam Sniffer一共發(fā)現(xiàn)了11個受到Create2濫用攻擊的受害者,損失近300萬美元。其中一個受害者向一個與其剛剛轉(zhuǎn)過賬的地址非常相似的地址轉(zhuǎn)賬近160萬美元。
今年年初,MetaMask就預(yù)警了使用與受害者最近交易相匹配的新生成的地址的垃圾郵件攻擊活動。在該攻擊活動中,受害者可能也會發(fā)送給受害者少量加密貨幣來在其錢包的歷史中注冊地址,因此增加了受害者成功轉(zhuǎn)賬的概率。
8月初,幣安運營人員就錯誤地將價值2000萬美元的數(shù)字貨幣發(fā)送給了地址投毒攻擊的地址,幸運的是運營人員很快就發(fā)現(xiàn)了這一錯誤,并凍結(jié)了接收者的地址。
研究人員建議在進(jìn)行加密貨幣交易時,在同意交易前一定要認(rèn)真檢查接收者地址,不要僅僅只檢查前幾個字符和后幾個字符。