Snowming04's Blog
一颗红❤
Toggle navigation
Snowming04's Blog
主页
Cobalt Strike
Accelerated C++
区块链安全
友链
关于我
常用工具
代码积累
归档
标签
二维码盗 usdt 安全事件分析
2021-06-02 14:16:30
3097
0
0
snowming
# 一、事件概要 昨日,随着微博大v @夏雪宜BTC 的曝光,一种新型骗局进入大家的视线,一时间币圈人人自危:  原微博如下: [微博原文](https://m.weibo.cn/status/4641179545898963?sourceType=weixin&from=10B5295010&wm=20005_0002&featurecode=newtitle) 大概是:只要你通过二维码给骗子转过一次 usdt,之后你账户的 usdt 就会被骗子转光。看起来非常正常的二维码交易,为什么骗子在转账一次之后就能控制用户的钱包呢? 下面对犯罪手法做简要分析。 # 二、过程分析 扫描这个二维码:  会访问以下链接: https://huobi4.gzimtoken.com/trc20.html?s=axu4&addr=TXpSZHhde2UsqQLZMsh14DeKaS1fdRrTuL 点开之后是这样的:  使用 TokenPocket 钱包扫码,尝试转账,注意一定是波场链,下图注意左上角:  会发现过程中会有如下请求。请注意方法:`approve`!  或者使用 tronlonk 查看:  这个合约的形式是 approve,上面这个图的意思是请求批准转账 90000000 usdt! 而此处的请求签名本应该是授权,而 Tronscan 把授权识别成了转账。 现在大家应该明白如果点了接收的后果,approve 授权你就把自己的 usdt 钱包授权给了攻击者的地址,90000000 之内的 usdt 可以被攻击者转走。 这种手法也被称之为 “approve钓鱼” 。 # 三、继续追踪 请求签名的详情为:  从弹出的授权里,看得到是授权给 TVM7gSoNdpgup9SbTKWWY2dHhLVjhehGiy 这个地址,然后去查此地址的转账记录,可以看到 TRC20&TRC721 转入记录全部显示90000000:  这些转入账户就全都是受害者。这其实是 tronscan 的 bug,90000000 的只是授权,还不是转账。 比如随便看一笔显示金额为 90000000 的交易: https://tronscan.org/#/transaction/2c08ccf5c8fcbeab2e994d57a442a5529d295aec7115db131f24256c5db9809a 可以看到授权:  也仅仅是授权,这里提示小白,实际是授权给这个地址,跟转账界面显示的地址无关。 随便看一个受害者的记录:  可以看到授权了5次,但是暂无转出。 有好几笔都是这样,无转出。经过坚持不懈的寻找,终于找到了一笔转出,可以看到金额是比较大的为 4276 usdt:  从上图也可以看出,真正的转出时候,`TVM7gSoNdpgup9SbTKWWY2dHhLVjhehGiy` 是发起地址,而不是收账地址,真正的收账地址是 `TAej7uZxaLLqjFx4bDDnc1NishXRCfNqxt`。 去 Tronscan 查看此地址的收益,也就是 TRC20&TRC721 转入的记录:  经统计,截止 2021/5/27 下午 12:50 分,第一笔交易产生于 2021-05-25 11:18:42,最后一笔交易产生于 2021-05-27 09:52:45,累计金额:120126.66 usdt,约人民币 780823.39 元。 短短两天时间,赚钱比卖粉还快! 可以看到,攻击者是选择性作案的,作案金额一般都是大于 2000 usdt的。也就是如果你账户里的 usdt 数量太少,可能攻击者看不上、侥幸逃脱转账。 # 四、防范措施 在转账时候,警惕 “approve钓鱼”。 或者如果这样防不胜防,干脆尽量通过地址转账,而非扫描二维码,因为二维码能携带的信息量太多了。 后续将继续监控此犯罪团伙,努力溯源…… # 五、感谢 感谢 @Rivaill 的不吝赐教和指点。敬礼~ 随意转载。
上一篇:
区块链安全第一课——自己编写合约:向合约充值
下一篇:
shellcode windows 编程(三)
0
赞
3097 人读过
新浪微博
微信
腾讯微博
QQ空间
人人网
提交评论
立即登录
, 发表评论.
没有帐号?
立即注册
0
条评论
More...
文档导航
没有帐号? 立即注册