网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　通过分析链上记录分析，受害者0118.eth在攻击者诱导下，调用gOHM Token智能合约中的approve方法，将gOHM代币的使用权限授予至攻击者控制的智能合约账户：0xA31573be292BD03d36DB137B6C2AB6eAA3d5e572，授权其转移的代币数量是8.8058个（精度为18位）。随后攻击者利用其控制的智能合约账户，将受害者账户中的资产全部转移至0xc1a7575开头的攻击者账户。

　　针对该攻击，主要有以下安全建议：

　　ERC20代币授权告警

　　ERC721授权接口

　　2.2.2 钓鱼站点发起的不安全合约签名攻击

　　这一节内容非常重要，攻击者瞄准的目标是用户已授权给Opensea合约Seaport的NFT，如下图所示，已完成步骤1的这类NFT：

　　用户可以在Etherscan上查看其授权给Seaport合约的NFT，这类NFT都是攻击者希望窃取的目标：

　　看到了吗，就是下面这些NFT是攻击者的目标，因为这些NFT用户已经授权Opensea使用了，随时可以通过上图Confirm listing操作，只要一个签名就可以进行挂售及调低挂售金额：

　　钓鱼站点发起的不安全签名攻击介绍

　　黑客还可以根据开源合约代码构造合法签名数据，并诱导用户进行签署，使攻击者通过签名获利，这一攻击造成的后果是严重的：攻击者能够以极低的价格购买受害者持有的NFT。这一攻击的基本实施流程如下：

　　有的攻击者会采用空投NFT的方式实施攻击，也有的会直接分发钓鱼站点，并在页面布置一个吸引用户点击的按钮（如mint按钮），用户点击，签名就会中招。

　　以下流程展示了攻击者以Opensea为目标平台，对用户进行钓鱼的方案：

　　钓鱼站点发起的不安全签名攻击分析及安全建议

　　SeaPort为Opensea官方交易所使用的智能合约，但发起签名请求的narotunft.com为攻击者钓鱼站点：钓鱼站点提供的待签名数据对攻击者有益，通过将签名数据中的售卖价格设置为1（单位不是1ETH而是1ether，相当于几乎不花钱就可以买走用户挂单的NFT），诱导用户签署（签署后，对应的NFT将以低价挂售）最终获利。用户在实施签名操作时没有对待签名数据来源（钓鱼站点）及数据内容合法性进行认证是攻击成功实施的重要原因。

　　针对该攻击，主要有以下安全建议：

　　在站点向用户发起签名请求时，用户需要对站点和待签名数据的合法性进行认证，经确认无误后再执行签名操作，确保签名操作执行的链上行为符合用户预期。在遇到待签名消息为纯16进制不可读数据时，用户应坚持拒绝签名。

　　2.3.1 木马程序攻击案例

　　通过诱导用户执行存在恶意行为的可执行程序，远程控制用户电脑，若用户电脑中存在数字资产，则直接转移是黑客通过钓鱼远控实施攻击的特点。

　　远控类攻击主要分为两种类型：1）恶意程序攻击；2）远控软件口令破解类攻击。

　　前段时间BoxMrChen就遭遇了这类攻击

　　钓鱼可执行程序类攻击分析及安全建议

　　运行不安全的exe程序，脚本，设置较弱的解锁口令是上述攻击实施的主要原因。

　　针对上述攻击提供的安全建议如下