近期常見的三大Token釣魚手法解析

閱讀時間約 6 分鐘
raw-image

虛擬貨幣市場伴隨許多新興項目的投資而不斷增長,項目方常用到ERC-20協定來發行代幣,例如上個月很紅OpenAI CEO Sam Altman 的 Worldcoin、迷因幣 PEPE 及 HarryPotterObamaSonic10Inu 、柴犬幣 SHIB 等。ERC-20 交易很火熱的情況下也常常見到 ERC-20 token 釣魚手法的增加,本文我將為大家介紹Permit、Approve、Increase Allowance 這三個最近最常見的釣魚手法。

我近期正好在研究 Fake_Phishing182232 所衍伸的釣魚手法,剛好 Permit、Approve、Increase Allowance 的 Token 詐騙 都可以在 Fake_Phishing182232 這個地址上看到,可以作為參考。

先以結果而言,只要你對釣魚錢包地址或合約地址發起 Token 授權交易,那你就會將你的代幣使用權轉交到別人手中。

常見 Token 釣魚手法一、Permit

Permit function 用於執行 EIP712 簽名的內容,以 Uniswap 的 Permit2 為例,你需要放入原簽名者的地址、一個 tuple 結構簡述簽名內容、以及被 hash 過的簽章來驗證其內容。

在Permit釣魚方法中,受害者首先做了一個簽名的動作,簽名的內容指定了受害者要授權哪些代幣和數量給攻擊方,駭客(攻擊方)拿到了這個簽名之後就會主動將你的簽名拿去發起 Permit,將代幣的使用權轉移到自己手中。

raw-image

簡單來說,Permit 是一個需要簽名當作依據才能進行的 function,在釣魚事件中,這是由攻擊方發起,所以只要受害者不要進行簽名,或者在尚未執行Permit 之前將簽名撤銷,就可以避免金錢的損失。你可以在 revoke.cash 找到如何撤銷簽名的方法: https://revoke.cash/learn/approvals/how-to-revoke-token-approvals

常見 Token 釣魚手法二、Approve

Approve 用於授權自己的 Token 或是 NFT 給別人,是 ERC-20 的標準 function 之一,常被用於兌換一種代幣為另一種代幣,他的對象是代幣合約,格式需要輸入一個地址跟一個數量,以表明需要授權給誰多少代幣。

在釣魚過程中,Token 的持有者向 Token 的項目合約主動發起 Approve,也就是由受害者告訴 Token 的項目合約,他要把多少的代幣授權給攻擊方,一旦受害者完成 Approve 之後,攻擊方就可以向該Token的項目合約進行Token轉移。

raw-image

常見 Token 釣魚手法三、Increase Allowance

Increase Allowance 的結構很類似於 Approve,也是用來授權他人使用代幣,不過因為它並非協議所訂定的標準 function ,所以被使用的頻率相對較低一點。在釣魚過程中,攻擊方誘騙受害者點擊 Increase Allowance 來授權代幣給攻擊者。接著,攻擊者再將代幣轉移到自己的錢包。

raw-image

完成了 Token 授權、Token 轉移這兩個交易動作,我們就可以在鏈上數據看到的完整釣魚步驟。當然,受害者不可能無緣無故進行 Token 授權,以下是一些可能造成受害者被釣魚的情境:

  1. 安全升級: 要求受害者在一定時間內進行升級,否則可能面臨安全風險。
  2. 提出誘因: 進行”某些動作”之後可以獲得空投、高報酬獲利。
  3. 假冒熱門項目: 例如最近熱門的社交項目 tech 釋出之後,就有很多假冒的釣魚網站出現。
  4. 知名人士或知名項目方的帳號被盜: 攻擊方盜用帳號之後,可能用來散播惡意鏈結網址。

這些釣魚網站通常經由Discord、Telegram、Twitter等社交軟體進行散播,最終的目的通常是誘騙受害者進行以太幣轉移或是 Token 授權。


拿這次的例子來說,我們可以在交易之前看清楚交易的內容,包含:

  1. 交易網域的URL: 這是最容易被偽裝的地方
  2. 交易的 function: 如果是簽名的話,現在都已經導入 EIP712 讓簽名內容以 JSON 格式表示,使用者可以清楚得查看簽名內容並確認後再執行交易。而如果是 Approve等授權操作就要看清楚交易對象囉!
  3. 交易對象: 釣魚通常使用開頭和結尾是”0000”的地址,讓交易時UI畫面不會出現中間的代碼降低使用者戒心。

本文中的交易截圖來自https://twitter.com/realScamSniffer,如果有興趣也可以造訪他們的網站看看相關的釣魚手法。

或是可以藉由下方的連結查看原始的交易資訊:

Permit:https://etherscan.io/tx/0x75da35d45d3d38486281323adf585334632a6d32fabaf4a256ec495d9c48dab9

Increase Allownace:https://etherscan.io/tx/0xe721516fd30be302a0d265b9fd66e6f2f9fac32109ae53fecf4a8f3a10137315

Approve:https://etherscan.io/tx/0x6a5b9989e408bd497dce3f83dfb7b9dc51fd3d049c9f200f42ad1e97410310c2

https://etherscan.io/tx/0x5a70fa5c473d5d8e3c1664139bdcbf76348ecb4db9ff28019a7b49c24f6b1832

___________________________________________________________________________

作者阿原目前從事區塊鏈資料分析工作,對區塊鏈的經濟架構、事件發展有很大的興趣,並希望能將相關的區塊鏈知識分析並且統整給大家。如果喜歡我的文章,或是想獲得更多區塊鏈大小事,歡迎關注我的vocus帳號

另外,我已經加入由趨勢科技防詐達人所成立的方格子專題-《區塊鏈生存守則》,在那裡我會跟其他優質的創作者一起帶大家深入瞭解區塊鏈,並隨時向大家更新區塊鏈資安事件。

> 追蹤《區塊鏈生存守則》學習如何在區塊鏈的世界保護自己

> 關注防詐達人獲得其他最新詐騙情報

31會員
176內容數
我們整理了web3相關的熱門資安問題,包含加密貨幣投資詐騙、盜版NFT、空投釣魚和區塊鏈重大資安事件懶人包等等,並提供最完整的辨識方法教學,讓大家從0到1學習如何保護自己
留言0
查看全部
發表第一個留言支持創作者!
你可能也想看
Google News 追蹤
Thumbnail
這個秋,Chill 嗨嗨!穿搭美美去賞楓,裝備款款去露營⋯⋯你的秋天怎麼過?秋日 To Do List 等你分享! 秋季全站徵文,我們準備了五個創作主題,參賽還有機會獲得「火烤兩用鍋」,一起來看看如何參加吧~
Thumbnail
這個秋,Chill 嗨嗨!穿搭美美去賞楓,裝備款款去露營⋯⋯你的秋天怎麼過?秋日 To Do List 等你分享! 秋季全站徵文,我們準備了五個創作主題,參賽還有機會獲得「火烤兩用鍋」,一起來看看如何參加吧~