网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　受害者被钓鱼后授权了攻击者地址具备spend其WETH及gOHM代币的权限

　　域名仿冒类攻击分析及安全建议

　　通过比对分析能够发现域名仿冒攻击成功实施需要满足以下要点：

　　针对该攻击，主要有以下安全建议：

　　通过申请相近的域名，克隆目标网站的代码逻辑并修改其中与区块链交互的逻辑，使攻击者能够从钓鱼攻击中获利。

　　2.1.4 站点仿冒类攻击介绍

　　通过仿冒站点通常会发起两类钓鱼交易：

　　下图为仿冒站点，与正版站点页面样式相差无二

　　站点仿冒类攻击分析及防护方案

　　通过比对分析能够发现站点仿冒攻击成功实施需要满足以下要点：

　　针对该攻击，主要有以下安全建议：

　　2.1.5 钱包仿冒类攻击介绍

　　区块链钱包是用户接入及区块链网络的重要方式：如果攻击者能够诱导用户下载并启用仿冒钱包，并尝试使用助记词恢复自己已有的区块链钱包，那么攻击者就有机会在用户不知情且无需发起区块链链上交易的情况下通过网络传输的方式自动窃取用户输入到仿冒钱包内的助记词或私钥，进而掌握用户的数字资产。

　　大部分区块链钱包都会进行代码开源以供用户审计，这也为攻击者进行应用仿冒提供了一定的基础条件。通过下载开源代码的方式可以快速地构建一套带有盗用用户助记词逻辑的仿冒钱包：在不提供完整的钱包功能的情况下仅保留助记词导入、将用户输入的助记词外发至攻击者所控制服务器的功能。仿冒钱包盗取助记词进而盗取用户数字资产攻击的特点是：在资产被盗时，用户无法准确的确定资产丢失原因。

　　钱包仿冒类攻击分析及防护方案

　　与站点仿冒攻击类似：仿冒钱包拥有正版钱包相似的界面，但存在外发助记词或私钥等恶意行为。相似的界面是钱包仿冒类攻击成功实施的重要原因。

　　针对该攻击，主要有以下安全建议：

　　2.2.1 合约授权类攻击介绍

　　在以太坊中，区块链用户可以持有符合ERC20、ERC721及ERC1155标准的代币。

　　上述代币既可以通过转账操作由用户主动转移至其他账户，也可以通过授权操作授予特定地址使用或转移代币的权限。相关ERC标准中引入的授权方法如下所示：

　　授权操作在ERC20，ERC721及ERC1155标准中是合法的，但是在标准设立时没有考虑权限滥用问题：若用户将其持有的代币使用权限授予黑客所控制的区块链地址，那么用户所有资产将面临被黑客滥用及盗取的风险。

　　合约授权类攻击分析及安全建议

　　下图为受害者账户授权gOHM代币给攻击者账户的交易记录：