廣告 X

主流交易所一應(yīng)俱全，立即下載進入加密世界

立即下載認證享受新用戶福利

立即下載

  

立即下載

介紹

近期，Solana 生態(tài)的釣魚以及詐騙事件依舊頻發(fā)不斷，隨著該生態(tài)的迅速增長，大量的黑灰產(chǎn)也開始轉(zhuǎn)移陣地，他們通過更高級的技術(shù)手段和更隱蔽的釣魚手法持續(xù)的攻擊 Solana 的普通用戶。各種類型的釣魚詐騙層出不窮，近半年來，GoPlus 安全團隊通過大量的案例研究，發(fā)現(xiàn)了目前主要流行的四種釣魚詐騙場景：空投詐騙、釣魚簽名、權(quán)限轉(zhuǎn)移、地址投毒，本文將分別展開介紹這四種形態(tài)的釣魚案例及其原理。同時，我們也收到了大量用戶反映的情況，在 Solana 的一些主流錢包里，某些釣魚詐騙的交易的模擬失效導(dǎo)致造成用戶資損，本文同時會對這一技術(shù)進行深度解析。

詐騙場景解析

空投詐騙

首先，空投詐騙是指釣魚者在 Twitter、Discord 等社區(qū)中投放偽裝成空投活動的釣魚網(wǎng)站鏈接。

其中，針對 NFT 的鏈上空投釣魚，是釣魚者向用戶空投關(guān)聯(lián)了釣魚鏈接的 NFT，并誘使用戶點擊鏈接并簽署惡意交易。下圖給出了一個案例，該用戶收到了一個聲稱可以兌換 1,000 個 ZERO 代幣的 NFT，然后這個用戶點擊了 NFT 中的鏈接并簽署交易，后面用戶就發(fā)現(xiàn)他錢包中的 BONK、ZERO、USDT 等代幣都被盜了。

空投詐騙的原理相對簡單，也就是釣魚者通過虛假的空投活動，誘使用戶進入網(wǎng)站并簽署將錢包鏈接到該網(wǎng)站的交易。此時，網(wǎng)站將發(fā)起包含一個或多個 SOL/SPL Token 轉(zhuǎn)賬指令的釣魚交易，從而獲取用戶的數(shù)字資產(chǎn)。一個指令和多個指令進行轉(zhuǎn)賬也有區(qū)別。比較簡單的釣魚，如左圖展示的這樣，就是一筆交易，只轉(zhuǎn)一種類型的代幣。而更復(fù)雜的釣魚如右圖所示，它可以做到在一筆交易里包含很多個轉(zhuǎn)賬指令。

釣魚簽名

第二類詐騙是釣魚簽名。一些有經(jīng)驗的用戶會通過觀察錢包的模擬交易結(jié)果，來避免空投釣魚，然而，釣魚者便利用了這一點，采用反模擬和偽造模擬技術(shù)來迷惑用戶，從而增加惡意交易被簽名的可能性。具體的，通過合并交易、惡意瀏覽器插件等反模擬的手段（下文將會重點介紹），使得錢包軟件顯示虛假的收益結(jié)果，甚至是不顯示模擬結(jié)果，從而誘導(dǎo)用戶簽署釣魚交易。

權(quán)限轉(zhuǎn)移

第三類詐騙是權(quán)限轉(zhuǎn)移。首先，Solana 上 SPL Token 的 approve 操作并不會直接導(dǎo)致代幣轉(zhuǎn)移，但是會導(dǎo)致代幣資產(chǎn)的權(quán)限轉(zhuǎn)移。因此，釣魚者通過誘導(dǎo)用戶簽署包含 approve 的釣魚交易，使得用戶錢包中的某個代幣賬戶所有權(quán)，轉(zhuǎn)移到釣魚者的錢包。在代幣賬戶所有權(quán)發(fā)生轉(zhuǎn)移時，如下圖所示，此時主流錢包軟件會發(fā)出所有權(quán)轉(zhuǎn)移的警告提示。

權(quán)限轉(zhuǎn)移的原理是，由于 Solana 中的每一種代幣，都會有一個單獨的賬戶 Token Account。黑客他通過發(fā)起包含 createSetAuthorityInstruction 操作的交易，就能改變代幣賬戶的所有者。該操作一旦成功，哪怕代幣還在錢包中，用戶也無法將代幣轉(zhuǎn)出。

地址投毒

第四類詐騙是地址投毒。它的目標(biāo)是誘導(dǎo)用戶向釣魚地址轉(zhuǎn)賬，并且該釣魚地址與用戶日常交互或者是用戶認可安全的地址相似，比如有相同的前綴或后綴，而這些前綴和后綴也是精心設(shè)計的。如下圖所示，可以看到這兩個地址，除了紅圈框出來的不同之外，兩者的前綴和后綴都相同，從而迷惑用戶復(fù)制偽造的釣魚地址，并向該地址進行轉(zhuǎn)賬。地址投毒這類詐騙常見于以太坊、波場鏈，近期也逐漸擴散到 Solana 生態(tài)中。

EVM 地址投毒示例

地址投毒也可以細分為以下幾個類別：

1）0U/小額轉(zhuǎn)賬，指釣魚者轉(zhuǎn)移 0 額度或者少量的加密貨幣，來誘導(dǎo)用戶錯誤地復(fù)制歷史交易記錄中的釣魚地址。

2）轉(zhuǎn)賬 空投混合投毒，指釣魚者通過少量代幣轉(zhuǎn)賬，并在交易附言 Memo 中添加空投釣魚連接，來誘導(dǎo)用戶點擊。

第三種是虛假系統(tǒng) Program 地址投毒，虛假系統(tǒng) Program 地址是指攻擊者生成和虛假系統(tǒng) Program 地址類似的地址作為釣魚地址，使得用戶錯誤地認為該釣魚地址是一個受信任的地址。該類詐騙在 2024 年 2 月 3 號，Scam Sniffer 在 Twitter 上報道了一起 Solana 地址投毒事件，攻擊者生成和系統(tǒng)程序相同尾號的地址，從而讓用戶誤認為該偽裝地址是一個正常的系統(tǒng)程序。其中，虛假系統(tǒng) Program 地址可通過命令「solana-keygen grind --starts-with <想要的前綴>:1 --ignore-case」生成，例如我想要一個「8888」的前綴，那么就將該前綴寫入此命令中，便可獲得。

錢包模擬交易及反模擬

Solana 上的模擬交易為用戶提供了在交易上鏈前觀察交易執(zhí)行結(jié)果的途徑。模擬交易操作的具體過程如下圖所示，在構(gòu)建出一個交易對象并將其序列化后，請求 simulateTransaction 方法即可返回模擬交易的結(jié)果，如哪些賬戶的余額、權(quán)限發(fā)生了變化等。該功能常見于錢包軟件，用于在交易確認前輔助用戶檢查交易安全性。

但在某些情況下，模擬交易也可能失效，主要分為兩類情況：

1）反模擬：交易模擬因網(wǎng)絡(luò)波動等某些原因失敗，導(dǎo)致無法推斷交易執(zhí)行結(jié)果。

2）虛假模擬：交易模擬成功，但是模擬得到的執(zhí)行結(jié)果和上鏈后的效果不同。

反模擬

反模擬在兩種情況下可能會發(fā)生：

1）錢包實現(xiàn)機制缺陷。例如，早期 Phantom 錢包發(fā)起多筆交易時，合并不同交易內(nèi)的指令，導(dǎo)致被模擬交易大小超出最大限制。

2）網(wǎng)絡(luò)出錯。模擬交易請求錢包 RPC 服務(wù)，拒絕服務(wù)攻擊、惡意插件代理請求、請求長時間未響應(yīng)等原因，導(dǎo)致網(wǎng)絡(luò)錯誤進而使得模擬失敗。

以 Phantom 錢包為例，在其實施模擬交易時，我們有意制造網(wǎng)絡(luò)錯誤，具體代碼如下圖所示：首先，通過 Solana 的 web3 連接一個 rpc 服務(wù)。然后，創(chuàng)建數(shù)十個交易，每個交易都包含大量指令。最后，將上述交易發(fā)送到錢包，由于可能的網(wǎng)絡(luò)超時，無法查看模擬結(jié)果。

虛假模擬

虛假模擬的發(fā)生也有兩種可能的原因：

1）Durable Nonce。該機制允許先簽名，在未來某個時間發(fā)起交易。但注意到，若交易觸發(fā)了一個可升級的合約（合約邏輯被惡意修改），這就會導(dǎo)致簽名時模擬的交易執(zhí)行結(jié)果和發(fā)起交易時的執(zhí)行結(jié)果可能不同。

2）錢包實現(xiàn)缺陷。例如，錢包同時模擬多筆交易，結(jié)果可能不準(zhǔn)確。

同樣以 Phantom 錢包為例，我們同時發(fā)起完全一致的多個交易，模擬執(zhí)行僅展示其中一筆交易的結(jié)果。如下圖所示，代碼指示的邏輯發(fā)送了 0.00002 SOL，但模擬結(jié)果僅為 0.00001 SOL。

主流錢包反模擬與虛假模擬問題

進一步，我們也探索了其他錢包是否存在與上述情況類似的反模擬和虛假模擬問題。這里我們嘗試對另外兩款常見的 Solana 錢包，即 Solflare 和 Backpack 進行分析。

Solflare

· 在網(wǎng)絡(luò)超時的情況下不會顯示確認按鈕，降低了因網(wǎng)絡(luò)延遲導(dǎo)致的反模擬風(fēng)險

· 同時模擬多筆轉(zhuǎn)出交易，不顯示余額變動情況，直接提示風(fēng)險；

Backpack

· 與 Solflare 類似，在網(wǎng)絡(luò)超時的情況下不會顯示確認按鈕，降低了因網(wǎng)絡(luò)延遲導(dǎo)致的反模擬風(fēng)險

· 可能有潛在的虛假模擬風(fēng)險。參考上述 Phantom 虛假模擬代碼，發(fā)送 0.00002 SOL，但模擬結(jié)果為 0.00003 SOL。

總結(jié)

目前，Solana 生態(tài)中用戶安全依然存在諸多隱患。盡管主流錢包已經(jīng)具備一定的安全功能，但這些功能尚未能夠覆蓋所有的安全問題。例如，交易模擬結(jié)果并非總是可信，這為用戶帶來了潛在的風(fēng)險。即便用戶采取了預(yù)防措施，如檢查模擬交易結(jié)果，但依舊可能會被反模擬和虛假模擬技術(shù)所迷惑，從而簽署惡意交易。為了應(yīng)對這些挑戰(zhàn)，GoPlus 安全團隊將于本月推出 wallet drainer detection 功能。這項能力將賦能 Solana 生態(tài)的主流應(yīng)用，通過實時檢測和攔截潛在的詐騙和釣魚交易，全面保護用戶的每一筆交易。這不僅能顯著提升用戶的安全體驗，也有助于 Solana 生態(tài)的穩(wěn)定和繁榮發(fā)展。GoPlus 安全團隊呼吁 Solana 公鏈及其生態(tài)合作伙伴，共同加快用戶安全基礎(chǔ)設(shè)施的建設(shè)，為用戶提供更加安全、可靠的交易環(huán)境。通過持續(xù)的技術(shù)創(chuàng)新和安全防護升級，我們相信能夠有效減少釣魚詐騙事件的發(fā)生，保護用戶的數(shù)字資產(chǎn)安全，實現(xiàn) Solana 生態(tài)的長期穩(wěn)定和健康發(fā)展。

AD：

鄭重聲明：本文版權(quán)歸原作者所有，轉(zhuǎn)載文章僅為傳播更多信息之目的，如作者信息標(biāo)記有誤，請第一時間聯(lián)系我們修改或刪除，多謝。