SEC:黑客大揭秘｜扫码转账即可控制你的数字钱包_RAN

作者：

时间：

简介

近期丢币盗币事件频发，各种盗币手法层出不穷，无所不用其极，不得不说这些攻击者手段高明，零时科技安全团队收到大量客户的求助，称其钱包资产被盗，这无疑给币圈的朋友敲响了警钟。

为了大家能清晰了解最近盗币事件，并且加强防范，本篇总结了近期零时科技安全团队收到协助的盗币事件类型，大致可分为如下四类：

”伪装客服取私钥“

”扫描二维码盗币事件“

”获取空投盗币事件“

”交易所客服盗币事件“

这里简单介绍一下以上四类盗币流程：

伪装客服取私钥

1.攻击者伪装为客户潜伏在社群中

2.当有用户出现转账或者提取收益求助时，攻击者及时联系用户协助其处理

3.通过耐心的解答，发送伪装成去中心化网桥的工单系统，让用户输入助记词解决其交易异常

4.攻击者拿到私钥后盗取资产，拉黑用户

二维码盗币事件

1.攻击者将预先准备好的恶意二维码发送给用户；

2.攻击者诱导用户使用钱包扫描二维码进行转账；

3.用户输入指定金额后确认转账交易；

4.随后用户钱包大量USDT丢失。

ConsenSys Infura Web3 黑客松正式启动，报名截止至5月19日:5月10日消息，区块链软件技术公司 ConsenSys 宣布正式启动 ConsenSys Infura Web3 黑客松，该黑客松旨在鼓励开发者们利用 ConsenSys 提供的 Infura、MetaMask、NFT API、Truffle、Linea 等 Web3 基础设施服务及开发工具来探索以太坊生态，并创造出更多创新的区块链应用。本次黑客松报名及作品提交时间为 5 月 5 日至 5 月 19 日，共分 NFT、IPFS、Defi、GameFi、SocialFi 五个赛道方向。参赛作品将根据项目的技术难度、创意、可持续性等方面进行评估，并最终确定获奖者。本次比赛的总奖金池高达 20 万元，将分为最佳作品奖，一、二、三等奖以及优秀作品奖、参与奖等多个奖项。[2023/5/10 14:54:28]

获取空投盗币事件

1.攻击者伪造成交易平台或者DeFi项目；

2.攻击者通过媒体社群发起可明显薅羊毛的空投活动；

3.攻击者诱导用户使用钱包扫描二维码领取空投；

4.用户扫码后点击领取空投；

5.随后受害者账户大量USDT被转走

交易所客服盗币事件

1.攻击者伪造成币安，火币等交易所客服；

以色列保险公司Shirbit遭黑客勒索被索要200枚比特币:12月3日消息，以色列大型保险公司Shirbit遭黑客勒索，被索要比特币。黑客在泄露一小部分被盗文件后，要求获得50枚比特币。随后根据Shirbit的回应和时间限制，增加赎金至200枚比特币。（Crypto Potato）[2020/12/3 23:00:43]

2.攻击者告知用户账户异常并触发了风控，使用资金需要解除异常状态；

3.攻击者客服诱导用户将资金转至安全账户，并对受害者账户进行升级；

4.用户将资金转移至安全账户后，攻击者随即将用户拉黑。

以上盗币事件中，二维码盗币是目前发生频率较高，客户反馈最多的盗币事件类型，所以本篇将对扫码盗币事件进行详细分析及复现，让读者更清晰了解攻击者盗币过程，防止资金被盗。

扫描盗币过程分析

二维码盗币事件复盘我们从攻击者角度出发，完整复盘二维码盗币过程。

测试使用的攻击地址为：

?TMmunHQsjSdUKZT1suksWBM7n6jVWkUGwL

测试使用的攻击者归集资产地址为：

TKjxdVUpyqwmqMGUh9kyRg196f1zesb3m9

测试使用的合约为TRON链上USDT合约：

MIT研究人员：基于区块链的投票系统可能增加黑客篡改选举的风险:虽然美国某些政党继续质疑选举过程的完整性，但一组研究人员却主张今后不要使用基于互联网和区块链的投票系统。根据麻省理工学院（MIT）计算机科学与人工智能实验室研究人员11月16日发布的报告，依赖区块链投票技术并不是提高投票率的可靠手段，可能会增加黑客篡改选举的风险。（Cointelegraph）[2020/11/16 20:56:11]

TR7NHqjeKQxGTCi8q8ZY4pL8otSzgjLj6t

测试使用的受害者地址为：

THcDZSMmGdecaB2uAygPvHM7uzdE2Z4U9p

第一步：攻击者制作扫码盗币二维码

该步主要为攻击者将代币授权写入二维码，也是攻击成功最重要的基础功能，此步骤中，攻击者需要创建自己的钱包地址，调用USDT合约API及approve()接口。

二维码需要实现的功能：

//调用TRON链上USDT合约，并调用合约的approve方法，给攻击者地址授权9000000000枚USDT.

USDTToken.approve(TMmunHQsjSdUKZT1suksWBM7n6jVWkUGwL,9000000000)

之后将该功能在Web端进行实现，最终得到的盗币二维码如下：

韩国金融服务委员会称其对朝鲜黑客窃取加密货币不负责:韩国金融服务委员会(FSC)在回复国民议会事务委员会的书面质询时表示，他们对由朝鲜政权支持的黑客在加密交易所平台上发起的攻击中窃取的加密货币不负责。根据这份报告，该监管机构辩称，加密交易所不属于他们的管辖范围，但没有提供有关此事的更多细节。他们把责任转交给韩国外交部和韩国通信委员会(KCC)。但是，外交部和韩国通信委员会都认为，FSC仍然要对加密公司遭受的任何损失负责，因为这些都与金融有关。这两个机构指出，FSC的职务是“负责管理和监督虚拟资产提供商”。(Fn News)[2020/10/24]

第二步：攻击者制作后台提款功能

该步为攻击者诱导用户授权资金后的转账操作，此步骤中，攻击者需要调用USDT合约API及transferfrom()接口。

后端提币需要实现的功能如下：

//调用TRON链上USDT合约，并调用合约的transferFrom方法，给攻击者地址转账大于0，并且小于9000000000枚USDT.

USDTToken.transferFrom(TMmunHQsjSdUKZT1suksWBM7n6jVWkUGwL,TKjxdVUpyqwmqMGUh9kyRg196f1zesb3m9,0<value<9000000000)

动态 | 网络打印机遭黑客入侵打印钱包恢复种子或有风险:据CCN消息，一位名叫TheHackerGiraffe的黑客利用互联网连接设备的安全协议中的漏洞入侵了5万台网络打印机。根据黑客的说法，仅通过不到30分钟的相对低级别的黑客攻击，就成功控制了这些打印机，能访问其内部网络并打印一项名为“PewDiePie\"活动的宣传信息。从数字货币安全角度来看，从网络打印机打印比特币钱包恢复种子可能是一个非常冒险的活动。虽然在这个事件中并没有恢复种子被盗，但是这表明窃取存储在打印机内存上的文件是有可能的。从理论上讲，如果恢复种子打印文件存在于设备的内存中，黑客就有可能访问用户的比特币钱包。[2018/12/5]

第三步：攻击者给受害者用户发送盗币二维码，并诱导用户给该二维码转账

该步为攻击者成功最重要的一步，如果受害者扫描了盗币二维码并将进行了转账，则表示转账成功；反之受害者未扫描二维码或者转账，则攻击失败。

所以这里攻击者可能会采用多种方式诱导受害者进行扫码转账，常见的诱导方式如下：

攻击者在交易所进行交易时，将盗币二维码发送给用户，防范不高的用户就会进行转账；

恶意空投，伪造成可以获取空投的二维码，诱导用户进行转账；

熟人作案，直接将二维码发送给好友，在毫无防备的情况基本都会转账；

第四步：受害者用户扫描二维码进行转账

该步为受害者用户进行的操作，在攻击者诱导用户同意扫码二维码转账后，会收到如下二维码：

用户使用TokenPocket钱包进行扫码，会得到如下页面：

这里用户的初衷是给二维码进行转账，但这里的需要注意的细节是，当用户输入转账数目进行发送时，这里执行的操作其实并不是转账transfer，而是授权approve，如下页面：

我们可以在页面端更清楚看到此步执行的交易详情，如下图：

这里可清楚看到，扫码点击发送交易后，这里请求方法为approve，授权的地址为TMmunHQsjSdUKZT1suksWBM7n6jVWkUGwL，授权的金额为9000000000，确定该笔交易后，攻击者地址就可转走用户钱包中9000000000额度的USDT，当然前提是用户钱包有这么多资金，只有用户钱包有不超过9000000000枚USDT，均可以转出。链上的这笔授权交易可查询到：