信息化觀察網(wǎng)

本文來(lái)自嘶吼網(wǎng)，作者/ang010ela。

Web3反垃圾郵件專家Scam Sniffer發(fā)現(xiàn)有攻擊者濫用以太坊的'Create2'函數(shù)繞過(guò)錢包安全警告和對(duì)以太坊地址進(jìn)行投毒，在6個(gè)月內(nèi)從9.9萬(wàn)以太坊用戶處竊取了價(jià)值超過(guò)6億美元的加密貨幣。

Create2是以太坊'Constantinople'升級(jí)時(shí)引入的嚴(yán)格操作碼，允許用戶在以太坊上創(chuàng)建智能合約。原來(lái)的Create操作碼是根據(jù)創(chuàng)建者的地址和nonce來(lái)生成新地址的，Create2允許用戶在合約部署前計(jì)算地址。Create2對(duì)以太坊開(kāi)發(fā)者來(lái)說(shuō)是一個(gè)非常強(qiáng)大的工具，可以實(shí)現(xiàn)先進(jìn)和靈活的合約交互、基于參數(shù)的合約地址預(yù)計(jì)算、鏈下交易和特定分布式應(yīng)用的靈活部署和適配。

Create2在帶來(lái)好處的同時(shí)也帶來(lái)了新的安全風(fēng)險(xiǎn)。Scam Sniffer的報(bào)告稱，Create2可以被濫用來(lái)生成沒(méi)有惡意交易歷史的新地址，可以繞過(guò)錢包安全告警。當(dāng)受害者簽署惡意交易時(shí)，攻擊者就可以在預(yù)先計(jì)算的地址上部署合約，并將受害者的資產(chǎn)轉(zhuǎn)賬到該地址，且這是一個(gè)不可逆的過(guò)程。

研究人員發(fā)現(xiàn)，有受害者在簽署了將資產(chǎn)轉(zhuǎn)賬到預(yù)先計(jì)算好的地址的轉(zhuǎn)賬合約后，損失了價(jià)值92.7萬(wàn)美元的GMX。

圖攻擊中使用的智能合約

Create2被攻擊者濫用的第二種方式是生成與接收者擁有的合法地址相似的地址，以誘使用戶發(fā)送資產(chǎn)給攻擊者，但受害者會(huì)認(rèn)為其發(fā)送給了一個(gè)已知的地址。這也被稱之為地址投毒（address poisoning），即生成大量的地址，然后從中挑選出與特定釣魚(yú)需求匹配的地址。

自2023年8月起，Scam Sniffer一共發(fā)現(xiàn)了11個(gè)受到Create2濫用攻擊的受害者，損失近300萬(wàn)美元。其中一個(gè)受害者向一個(gè)與其剛剛轉(zhuǎn)過(guò)賬的地址非常相似的地址轉(zhuǎn)賬近160萬(wàn)美元。

今年年初，MetaMask就預(yù)警了使用與受害者最近交易相匹配的新生成的地址的垃圾郵件攻擊活動(dòng)。在該攻擊活動(dòng)中，受害者可能也會(huì)發(fā)送給受害者少量加密貨幣來(lái)在其錢包的歷史中注冊(cè)地址，因此增加了受害者成功轉(zhuǎn)賬的概率。

8月初，幣安運(yùn)營(yíng)人員就錯(cuò)誤地將價(jià)值2000萬(wàn)美元的數(shù)字貨幣發(fā)送給了地址投毒攻擊的地址，幸運(yùn)的是運(yùn)營(yíng)人員很快就發(fā)現(xiàn)了這一錯(cuò)誤，并凍結(jié)了接收者的地址。

研究人員建議在進(jìn)行加密貨幣交易時(shí)，在同意交易前一定要認(rèn)真檢查接收者地址，不要僅僅只檢查前幾個(gè)字符和后幾個(gè)字符。