首页 新闻 天机泄露-EasyFi密钥泄漏事件分析

企业新闻

天机泄露-EasyFi密钥泄漏事件分析

日期:2022年05月14日

       北京时间2021年4月19日, Layer2DeFi假贷协议EasyFi创始人兼CEOAnkittGaur称, 「有很多EASY代币从EasyFi官方钱包很多搬运到以太坊网络和Polygon网络上的几个不知道钱包。有人进犯了办理密钥或助记词。黑客成功获取了办理员密钥, 并从协议池中以USD/DAI/USDT办法搬运了600万美元的现有流动性资金, 并将298万枚EASY代币(约占EASY代币总供应量的30%, 现在价值4090万美元)搬运到了疑似黑客的钱包(083a2EB63B6Cc296529468Afa85DbDe4A469d8B37)中。」通付盾区块链安全团队(SharkTeam)第一时间对此事情进行了剖析, 并总结了安全防备手法, 期望后续的区块链项目能够引以为戒, 共筑区块链职业的安全防地。一、事情剖析经过剖析发现, 本次进犯仍是区块链上以盗取私钥为根底, 以盗取用户常规为意图的进犯手法。首要咱们来看下本次进犯中的全体流程:EasyFi官方地址:0xbf126c7aab8aee364d1b74e37def83e80d75b303中心地址:0222def1dfeeaed8202491cdf534e4efff3268666受害者1地址:00c08d0fe35515f191fc8f0811cadcfc6b2615b74受害者2地址:0xf59c2e9d4ab5736a1813738e5aa5c3f5eaf94d9e进犯者地址:083a2eb63b6cc296529468afa85dbde4a469d8b371.开始EasyFi项意图官方向中心地址(0222def1dfeeaed8202491cdf534e4efff3268666)发送了8, 800, 000EASY。2.该中心地址别离向两个受害者地址(00c08d0fe35515f191fc8f0811cadcfc6b2615b74)和(0xf59c2e9d4ab5736a1813738e5aa5c3f5eaf94d9e)发送了2, 700, 000和2, 000, 000个EASY。3.在2021年4月19日, 进犯者083a2eb63b6cc296529468afa85dbde4a469d8b37运用两受害者的账户向进犯者的账户别离转账了1, 035, 555.826203866010956193和1, 799, 990个EASY。买卖的记载如下:经过查看合约发现, 合约中的履行逻辑简略并没有能够运用的缝隙。因而能够断定, 这是一次因用户私钥或助记词走漏然后盗取用户虚拟常规的进犯。在完结进犯获取到很多EASY数字常规后, 该进犯者接着在Uniswap中将EASY置换为USDC。买卖的记载如下图所示:二、近期同类型事情依据整个进犯进程的剖析, 根本原因在于进犯者能够运用被进犯者的账户地址调用合约, 盗取受害者私钥授权合约履行并向进犯者地址进行大额数字常规的转账。在之前《漆黑森林中的身份危机:透过Roll被进犯事情看区块链密钥维护的重要性》的剖析中, SharkTeam就向咱们进行了说话提示并提示咱们进一步注重密钥维护, 做好自身安全防护。进犯画像:盗取用户密钥第一步:进犯者盗取用户私钥(垂钓或浸透钱包)第二步:运用被进犯者账户布置进犯合约, 进犯合约是整个主动化进犯的中心。第三步:运用被进犯者账号进行买卖, 将一切常规转到进犯合约中。第四步:进犯合约主动履行, 经过Uniswap等去中心化买卖所将常规转出, 避免项目方发动应急机制确定被盗常规。第五步:被盗常规进一步被搬运到匿名性更强的混币渠道, 对立AML等安全机制。
       进犯分为5步, 却有极强的意图性, 一旦私钥丢掉将十分难以进行防备。那么, 已然进犯的起始点是私钥盗取, 那咱们究竟应该怎么才干维护好咱们的私钥?这儿必需要说到区块链钱包, 钱包是存储账户地址和运用数字钱银的东西, 比方以太坊钱包存储以太坊账户地址以及账户的以太币并且能够进行买卖。区块链钱包并不是传统意义上的实体的钱包, 而是运用加密络绎不绝加密保存账户地址的公私钥对的东西, 有了钱包密钥就能够具有钱包中账户地址的分配权, 能够分配其间的数字钱银, 尤其是以太坊钱包, 有了密钥不只能够分配其间的以太币, 更能够分配其间的合约地址对应的智能合约。因为私钥是一长串毫无意义且毫无规则的字符, 比较难以回忆, 因而出现了助记词(Mnemonic)。三、通付盾区块链安全常识讲堂(1)助记词(Mnemonic)私钥是由加密算法生成的一个32字节随机数, 由64个十六进制的字符组成,

因为私钥的字符串没有规则可循, 并且可读性低难以回忆, 因而当咱们在运用钱包保存加密钱银时, 一般会运用到助记词来替代私钥。
       助记词:便是另一种办法的私钥。它经过算法将64位的私钥转化成若干个常见的英文单词, 作为区块链数字钱包私钥的替代格局。助记词和私钥是等价的, 能够彼此转化。一般, 助记词只会在创立新钱包的时分出现, 所以在注册新钱包时, 应该用安全的办法记载下这些单词, 避免产生忘记和走漏。在创立钱包时, 一般用户会得到12或者是24个单词作为助记词。公钥和地址的生成都依赖于私钥,

而私钥和助记词是互通的, 所以私钥和助记词是黑客盗取的最为中心的方针。而钱包保存了账户地址及其私钥, 因而, 钱包也是黑客进犯的方针。而私钥一般面“垂钓进犯”和钱包“私钥维护不妥”两类安全说话。(2)垂钓进犯(Phishing)所谓“网络垂钓进犯(Phishing)”, 指的是进犯者伪装成能够信赖的人或组织, 经过电子邮件、通讯软件、交际媒体等网络东西, 然后获取收件人的用户名、暗码、私钥等私密信息。跟着络绎不绝的开展, 网络垂钓进犯不只能够保管各种歹意软件和勒索软件进犯, 并且更糟糕的是这些进犯正在出现不断上升的趋势。网络垂钓进犯能够分为两种类型:社会工程和缝隙运用。社会工程是根据诈骗和随后受害者的错误行为, 而缝隙运用则是运用缝隙以及软件架构缺点施行进犯的专业络绎不绝。运用网络缝隙以及软件和根底架构的缺点来完成进犯手法。
       此类进犯一般包含以下进犯手法:根据DNS的网络垂钓在此进犯中, 进犯者开始会创立歹意拜访点, 并诱使客户端连接到运转假DNS服务器的拜访点。该服务器将特定站点重定向到进犯者的网络垂钓服务器。会话绑架(cookie绑架)该进犯根据运用有用会话(有时也称为会话密钥)来取得对核算机体系上信息或服务的未授权拜访。特别是, 它用于表明对长途服务器上的用户进行身份验证的cookie偷盗。一种盛行的办法是运用源路由的IP数据包。IP数据包经过B的核算机, 这使得网络上B点的进犯者能够参加A和C之间的对话。进犯者能够在原始路由被禁用的情况下盲目捕获, 发送指令但看不到呼应来设置答应从网上其他地方拜访的暗码。进犯者还能够运用嗅探程序“监督”A和C之间的对话。这便是“中心人进犯”。歹意软件当运用根据歹意软件的网络垂钓时, 歹意软件被用来在被进犯者核算机上存储凭证并将其发送给进犯者, 即发送给垂钓者。例如,

能够经过带有附件doc文件的歹意垃圾邮件来传递要挟, 该文档文件包含下载歹意程序的Powershell脚本, 然后, 歹意程序找到存储的钱包和凭证并将其发送给垂钓者。木马AZORult和PonyFormgrabber以及botQbot是最常用的歹意程序。一起, 网络犯罪分子还会持续运用曾经针对银行的进犯东西, 现在成功地运用它们来破解加密钱包, 取得钱包的暗码以及用户的个人账户等信息。四、安全石沉大海经过如上的剖析能够看出, 尽管不同于传统互联网的账号暗码体系, 但区块链账户相同面对私钥被盗的说话, 因为一般私钥与数字常规严密相关, 其安全说话更高。维护私钥安全, 既是用户的职责也是项目方的职责。用户应进步私钥维护意识, 对拜访的网页或下载安装的钱包进步警觉, 避免被垂钓进犯。项目方应以用户常规安全为中心, 做好热钱包、冷钱包、体系服务、智能合约等相关模块的说话评价和安全审计, 保证体系自身安全。拟定AML和应急计划, 进步对立黑客进犯的说话防备才能。底层链渠道可采用分组暗码、环签名等络绎不绝, 从区块链底层进步账户安全维护才能。五、通付盾智能合约审计在不断完善私钥维护等区块链安全机制的一起, 在区块链项目开发和运营的各个阶段当令引进适宜的安全东西和服务,

为用户的数字常规和项目安全开展供给保证已成为职业不足挂齿。通付盾作为国内抢先的区块链安全服务供给商, 为开发者供给智能合约审计服务。智能合约主动化审计在通付盾云渠道上为用户供给智能合约进行主动化审计服务。运用符号履行、办法化验证等智能合约剖析络绎不绝, 掩盖高档言语、虚拟机、区块链、事务逻辑四个层面一百多项安全说话检测项, 保证智能合约安全运转。通付盾也为客户供给高档其他区块链安全服务, 区块链安全专家团队7*24小时为智能合约供给全生命周期的安全保证, 服务包含:VIP安全审计服务、VIP合规审计服务、安全事故应急呼应等。

相关新闻

  • 2022-05-10 13:57:04

    爱聊的去中心化基因:算法普惠 精准牵线

    这是一个交际媒体的年代。自1996年交际媒体概念诞生以来,交际媒体已成功渗透到全球77亿人口中的一半。在曩昔十年中,交际网络渠道的总用户群简直翻了三倍,从2010年的9.7亿添加到2020年的38.1亿用户。在我国,交际网络的运用率超越了90%,简直一切网民都在运用微信、微博、QQ等各类交际软件,咱......

  • 2022-05-27 20:46:16

    互联网+党建科普,打造权威党建知识科普平台

    日前,在“知识的火花,百年馈赠——百度党委与百度百科党史知识网传播研讨会”上,中央编译出版社、共产党历史出版社、党建阅读出版社、河南省文物局、中国科技报社、《中国科技信息》杂志社、中国科技馆、新华网等权威机构联合百度百科、百度党委发布党建内容数字化传播最新成果,共建党史条目近万篇。》、《科技百年》系......

  • 2022-05-15 14:14:28

    獐子岛资产出售怪象:评估值4812万对手掏6075万购买

    獐子岛(002069,SZ)无疑是一家颇具论题性的公司,一出“扇贝跑了”的戏码,足以让公司在本钱市场上留下浓墨重彩的一笔。《》记者注意到,公司身上好像又发生了一件不寻常的事。獐子岛8月8日晚发表,其拟出售相关土地使用权。根:玻璃钢船只的制作基地在大连湾临海配备制作业集合区举办奠基仪式。据称,玻璃钢船......

联系我们