主页 > imtoken下载 > 「imtoken安卓下载」全面梳理区块链诈骗攻击案例及防范措施

「imtoken安卓下载」全面梳理区块链诈骗攻击案例及防范措施

admin imtoken下载 2022年09月28日

  区块链钱包是用户接入及区块链网络的重要方式:如果攻击者能够诱导用户下载并启用仿冒钱包,并尝试使用助记词恢复自己已有的区块链钱包,那么攻击者就有机会在用户不知情且无需发起区块链链上交易的情况下通过网络传输的方式自动窃取用户输入到仿冒钱包内的助记词或私钥,进而掌握用户的数字资产。

  在这一章节,我们将重点介绍黑客以盗取区块链数字资产为目标,通过构造钓鱼场景的方式在不需要掌握用户私钥的前提下盗取数字资产,通过分析这类攻击的特性,按照1-1对应的方式,给出防护方案。例如2.1.1中给出了DM类仿冒攻击后马上即介绍针对DM类钓鱼攻击的安全建议及防护方案。诈骗攻击的产生原因也就呼之欲出:既然用户在努力保护自己的私钥,也知道私钥很重要,那我就用一个更合理的办法让用户亲自把数字资产送给我。

海量资讯、精准解读,尽在新浪财经APP

  SeaPort为Opensea官方交易所使用的智能合约,但发起签名请求的narotunft.com为攻击者钓鱼站点:钓鱼站点提供的待签名数据对攻击者有益,通过将签名数据中的售卖价格设置为1(单位不是1ETH而是1ether,相当于几乎不花钱就可以买走用户挂单的NFT),诱导用户签署(签署后,对应的NFT将以低价挂售)最终获利。用户在实施签名操作时没有对待签名数据来源(钓鱼站点)及数据内容合法性进行认证是攻击成功实施的重要原因。

  大部分区块链钱包都会进行代码开源以供用户审计,这也为攻击者进行应用仿冒提供了一定的基础条件。通过下载开源代码的方式可以快速地构建一套带有盗用用户助记词逻辑的仿冒钱包:在不提供完整的钱包功能的情况下仅保留助记词导入、将用户输入的助记词外发至攻击者所控制服务器的功能。仿冒钱包盗取助记词进而盗取用户数字资产攻击的特点是:在资产被盗时,用户无法准确的确定资产丢失原因。

广告位
标签: 资产   区块链   智能合约