pos刷卡機(jī)來出現(xiàn)no

瀏覽:94 發(fā)布日期:2023-06-15 00:00:00 投稿人:佚名投稿

網(wǎng)上關(guān)于pos刷卡機(jī)來出現(xiàn)no的刷卡知識比較多,也有關(guān)于pos刷卡機(jī)來出現(xiàn)no的問題,今天第一pos網(wǎng)(www.svinexta.cn)為大家整理刷卡常見知識,未來的我們終成一代卡神。

本文目錄一覽:

1、pos刷卡機(jī)來出現(xiàn)no

pos刷卡機(jī)來出現(xiàn)no

0x1 事件背景

2022年7月12日早6時,幣安交易平臺CEO趙長鵬發(fā)推表示,通過威脅情報在 ETH 區(qū)塊鏈上檢測到 Uniswap V3 潛在漏洞,到目前為止,黑客已經(jīng)竊取了 4295 ETH。并給出了黑客轉(zhuǎn)移資金的相關(guān)地址。

https://etherscan.io/address/0x09b5027ef3a3b7332ee90321e558bad9c4447afa#internaltx

隨后的幾個小時內(nèi),多個推特用戶發(fā)文稱此次黑客攻擊中,轉(zhuǎn)出資金的交易并無異常,并表示這是網(wǎng)絡(luò)釣魚攻擊,也就是說漏洞并不是Uniswap本身風(fēng)險。

隨后趙長鵬再次聲明,通過與Uniswap團(tuán)隊溝通,Uniswap協(xié)議本身未發(fā)現(xiàn)安全風(fēng)險,該攻擊事件可能為釣魚攻擊。

0x2 攻擊信息攻擊者地址

0x3cafc86a98b77eedcd3db0ee0ae562d7fe1897a2

0x09b5027ef3a3b7332ee90321e558bad9c4447afa

攻擊者合約($UniswapLP.com (UniswapLP.com)

0xCf39B7793512F03f2893C16459fd72E65D2Ed00c

受害者地址

0xecc6b71b294cd4e1baf87e95fb1086b835bb4eba

0x15c853bdafc9132544a10ed222aeab1f239414fe

0xc8c9771b59f9f217e8285889b9cdd7b9ddce0e86

Uniswap V3: Positions NFT

0xc36442b4a4522e871399cd717abdd847ab11fe88

0x3 攻擊分析

1、攻擊者提前部署攻擊合約($ UniswapLP.com (UniswapLP.com)),注意這里的名稱,里面有的關(guān)鍵信息包含了 UniswapLP 和 UniswapLP.com網(wǎng)址,而該網(wǎng)址仔細(xì)看并不是Uniswap官方網(wǎng)址,訪問之后會發(fā)現(xiàn)官方網(wǎng)站及其相似。

2、通過攻擊合約調(diào)用Uniswap V3: Positions NFT (UNI-V3-POS)合約給受害者地址發(fā)送名為($ UniswapLP.com (UniswapLP.com))的資金。這一步在交易信息中顯示如下:

該步驟也是釣魚攻擊的關(guān)鍵,通過發(fā)送名為($ UniswapLP.com (UniswapLP.com))的Token資金,會給資金接收者一種錯覺,Uniswap V3發(fā)送了UniswapLP.com給接收者地址 ,這個時候攻擊者可能會訪問UniswapLP.com網(wǎng)站,進(jìn)行下一步操作。

3、受害者點(diǎn)擊該網(wǎng)址,將自己的資金授權(quán)給攻擊者事先寫好的地址。

下面來看其中一個受害者的具體操作。

受害者執(zhí)行多次setApprovalForAll授權(quán)。

查看任意一筆交易的詳情

可以明顯看出,受害者調(diào)用Uniswap V3: Positions NFT合約的setApprovalForAll方法,將自己的NFT資產(chǎn)授權(quán)給攻擊者地址。

4、授權(quán)成功后,攻擊者利用授權(quán)賬戶將受害者NFT資產(chǎn)轉(zhuǎn)出。

5、攻擊者通過Uniswap V3: Positions NFT合約將NFT資產(chǎn)轉(zhuǎn)換為ETH。

6、最終攻擊者將獲取的 7500 枚 ETH 轉(zhuǎn)移至 Tornado.Cash 混幣平臺。

0x4 總結(jié)及建議

通過以上事件可以發(fā)現(xiàn),攻擊者主要利用社工釣魚方式來誘導(dǎo)用戶點(diǎn)擊釣魚網(wǎng)站及授權(quán)自己的NFT,不過與之前大多數(shù)釣魚不同的是,此次釣魚攻擊事件的初始階段是在區(qū)塊鏈瀏覽器展開,通過偽造合約名稱和發(fā)幣來混淆用戶的視線,最終誘導(dǎo)用戶授權(quán)自身NFT資產(chǎn)。

安全建議訪問未明確網(wǎng)站時,需要仔細(xì)確認(rèn)是否為預(yù)期官方網(wǎng)站;使用網(wǎng)站 mint 功能及其他敏感功能時,需要注意錢包簽名是否與預(yù)期功能相符,避免簽名 setApprovalForAll 方法;如果發(fā)現(xiàn)已經(jīng)進(jìn)行setApprovalForAll 方法授權(quán),建議盡快取消授權(quán)及轉(zhuǎn)移該錢包的資金。

以上就是關(guān)于pos刷卡機(jī)來出現(xiàn)no的知識,后面我們會繼續(xù)為大家整理關(guān)于pos刷卡機(jī)來出現(xiàn)no的知識,希望能夠幫助到大家!

轉(zhuǎn)載請帶上網(wǎng)址:http://www.svinexta.cn/shuakatwo/195308.html

版權(quán)聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻(xiàn),該文觀點(diǎn)僅代表作者本人。本站僅提供信息存儲空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如發(fā)現(xiàn)本站有涉嫌抄襲侵權(quán)/違法違規(guī)的內(nèi)容, 請發(fā)送郵件至 babsan@163.com 舉報,一經(jīng)查實,本站將立刻刪除。
聯(lián)系我們
訂購聯(lián)系:小莉
微信聯(lián)系方式
地址:深圳市寶安區(qū)固戍聯(lián)誠發(fā)產(chǎn)業(yè)園木星大廈

公司地址:深圳市寶安區(qū)固戍聯(lián)誠發(fā)產(chǎn)業(yè)園木星大廈

舉報投訴 免責(zé)申明 版權(quán)申明 廣告服務(wù) 投稿須知 技術(shù)支持:第一POS網(wǎng) Copyright@2008-2030 深圳市慧聯(lián)實業(yè)有限公司 備案號:粵ICP備18141915號