2022 年 8 月 10 日,一名 Paradigm 研究人员在推特上表示 Curve 的前端已被入侵。
深入了解,黑客通过攻击第三方域名注册商的系统,使 Curve 遭受 DNS 劫持攻击。当用户访问 curve.fi 时,域名注册商将用户的请求重定向到黑客的 IP 地址,让用户进入了看起来和 Curve 一样的假网站。用户在不知情的情况下,被诱导对恶意地址进行授权从而导致资产被盗。
仿冒的 Curve 界面
什么是 DNS 劫持攻击?
DNS,全称为 Domain Name System 域名系统。而 DNS 劫持攻击是指攻击者篡改 DNS 解析设置,将域名由正常 IP 指向由攻击者控制的非法 IP,让我们访问的域名打开的不是对应的网站,而是一个假冒的网站。
打个比方来说:我们通过打车软件打车去地点 A ,DNS 劫持攻击就是攻击者将打车系统中的路线进行修改,将我们送到了地点 B,而 A 和 B 的地点名称和环境一模一样。
如何防范这类事件?
对于普通用户来说,防范 DNS 劫持攻击是很难的,但是 DNS 劫持攻击只是一种手段,用户资产真正被盗的原因是授权给了恶意地址。那么我们应该如何防范授权恶意地址?
1. 查看合约地址标签
举个例子:当你授权时,在「申请授权」页面依次点击「授权详情」-「0xbEbc44782C7dB0a1A60Cb6fe97d0b483032FF1C7 」即可跳转至区块浏览器查看该合约地址的详情。通常来说,一般比较知名项目方的合约地址在链上都是被标记的。
从👇 图三可以看到该合约地址被标记了「Curve.fi」。
2. 查看链上交易记录
- 查看合约创建时间
- 查看交易是否频繁
还是上面的例子,从 0xbEbc44782C7dB0a1A60Cb6fe97d0b483032FF1C7 地址内可以看到交易是非常频繁的,且第一笔合约创建的时间是在 2020 年 9 月 6 日。
通常来说,恶意地址的交易会没那么频繁且创建时间很近。
当然,上面的两种方式只是辅助你快速判断授权的是否是恶意地址,并不能作为鉴别恶意地址的唯一标准。时刻保持警惕和加强安全意识才能让你避免资产损失。
另外,自 imToken 2.9.9 版本开始,我们对授权安全做了再次升级。当 DApp 要求用户代币授权时,imToken 会给予明确的提示信息以便用户清晰了解授权上下文,并支持用户进一步编辑授权数量,从而降低授权风险。
安全提醒
除了 DNS 劫持导致的授权骗局,在之前 5 期钱包安全月报中,我们披露的虚假网站骗局、短信骗局、助记词骗局、授权诈骗、 TRX 钱包账户权限更改骗局等等也不得不防。
- imToken 钱包安全月报 5 期|谨防 TRX 钱包账户权限更改骗局
- imToken 钱包安全月报 4 期|反诈骗主播来了
- imToken 钱包安全月报 3 期|如何确保你的钱包是正版
- imToken 钱包安全月报 2 期 | 专业的骗子防不胜防
- imToken 钱包安全月报 1 期|虚假网站猖獗,诈骗套路升级
imToken 一直在行动
新增邮件下载 App 渠道
为方便广大用户,imToken 应用程序于 8 月新增邮件下载渠道。自 2022 年 8 月起你可以发送标题名称为「下载」的邮件至官方邮箱 support@token.im 获取最新版 imToken 应用程序。
特别提醒:
- 切勿通过其他非官方渠道下载安装 imToken 应用程序,谨防假冒应用。
- 请认准 imToken 唯一官网:https://token.im。
安全风控
八月份,imToken 共标记风险代币 22 个;封禁风险 DApp 网站 392 个;标记风险地址 1165 个。
另外,如果你发现了疑似风险的代币或者 DApp,请及时反馈给我们:support@token.im,帮助更多用户避免资产损失。
最后
以太坊已于 2022 年 9 月 15 日完成合并升级,骗子可能会借此通过各种形式进行诈骗,请大家提高警惕,不要将助记词分享给任何人。imToken 整理了相关骗局,可点击了解。