2022 年 8 月 10 日,一名 Paradigm 研究人員在推特上表示 Curve 的前端已被入侵。
深入了解,黑客通過攻擊第三方域名註冊商的系統,使 Curve 遭受 DNS 劫持攻擊。當用戶訪問 curve.fi 時,域名註冊商將用戶的請求重定向到黑客的 IP 地址,讓用戶進入了看起來和 Curve 一樣的假網站。用戶在不知情的情況下,被誘導對惡意地址進行授權從而導致資產被盜。
仿冒的 Curve 界面
什麼是 DNS 劫持攻擊?
DNS,全稱為 Domain Name System 域名系統。而 DNS 劫持攻擊是指攻擊者篡改 DNS 解析設置,將域名由正常 IP 指向由攻擊者控制的非法 IP,讓我們訪問的域名打開的不是對應的網站,而是一個假冒的網站。
打個比方來說:我們通過打車軟件打車去地點 A ,DNS 劫持攻擊就是攻擊者將打車系統中的路線進行修改,將我們送到了地點 B,而 A 和 B 的地點名稱和環境一模一樣。
如何防範這類事件?
對於普通用戶來說,防範 DNS 劫持攻擊是很難的,但是 DNS 劫持攻擊只是一種手段,用戶資產真正被盜的原因是授權給了惡意地址。那麼我們應該如何防範授權惡意地址?
1. 查看合約地址標籤
舉個例子:當你授權時,在「申請授權」頁面依次點擊「授權詳情」-「0xbEbc44782C7dB0a1A60Cb6fe97d0b483032FF1C7 」即可跳轉至區塊瀏覽器查看該合約地址的詳情。通常來說,一般比較知名項目方的合約地址在鏈上都是被標記的。
從👇 圖三可以看到該合約地址被標記了「Curve.fi」。
2. 查看鏈上交易記錄
- 查看合約創建時間
- 查看交易是否頻繁
還是上面的例子,從 0xbEbc44782C7dB0a1A60Cb6fe97d0b483032FF1C7 地址內可以看到交易是非常頻繁的,且第一筆合約創建的時間是在 2020 年 9 月 6 日。
通常來說,惡意地址的交易會沒那麼頻繁且創建時間很近。
當然,上面的兩種方式只是輔助你快速判斷授權的是否是惡意地址,並不能作為鑑別惡意地址的唯一標準。時刻保持警惕和加強安全意識才能讓你避免資產損失。
另外,自 imToken 2.9.9 版本開始,我們對授權安全做了再次升級。當 DApp 要求用戶代幣授權時,imToken 會給予明確的提示信息以便用戶清晰了解授權上下文,並支持用戶進一步編輯授權數量,從而降低授權風險。
安全提醒
除了 DNS 劫持導致的授權騙局,在之前 5 期錢包安全月報中,我們披露的虛假網站騙局、短信騙局、助記詞騙局、授權詐騙、 TRX 錢包賬戶權限更改騙局等等也不得不防。
- imToken 錢包安全月報 5 期|謹防 TRX 錢包賬戶權限更改騙局
- imToken 錢包安全月報 4 期|反詐騙主播來了
- imToken 錢包安全月報 3 期|如何確保你的錢包是正版
- imToken 錢包安全月報 2 期 | 專業的騙子防不勝防
- imToken 錢包安全月報 1 期|虛假網站猖獗,詐騙套路升級
imToken 一直在行動
新增郵件下載 App 渠道
為方便廣大用戶,imToken 應用程序於 8 月新增郵件下載渠道。自 2022 年 8 月起你可以發送標題名稱為「下載」的郵件至官方郵箱 support@token.im 獲取最新版 imToken 應用程序。
特別提醒:
- 切勿通過其他非官方渠道下載安裝 imToken 應用程序,謹防假冒應用。
- 請認准 imToken 唯一官網:https://token.im。
安全風控
八月份,imToken 共標記風險代幣 22 個;封禁風險 DApp 網站 392 個;標記風險地址 1165 個。
另外,如果你發現了疑似風險的代幣或者 DApp,請及時反饋給我們:support@token.im,幫助更多用戶避免資產損失。
最後
以太坊已於 2022 年 9 月 15 日完成合併升級,騙子可能會藉此通過各種形式進行詐騙,請大家提高警惕,不要將助記詞分享給任何人。 imToken 整理了相關騙局,可點擊了解。