購物車

TP 錢包遭駭客竊取 2,300 萬美元:如何在駭客攻擊浪潮中自保

2022-12-15

10 月 2 日,跨鏈聚合協議 Transit Swap 遭受客攻擊,令無數用戶資產從錢包被提走。 目前總損失估計已經超過 2300 萬美元。歸根究底是錢包簽署「無限授權」所造成,以下會教各位讀者如何檢查錢包的授權以及如何降低被釣魚網站盜幣風險。

社群回報相關問題後,Transit Swap 技術團隊緊急暫停服務,智能合約已完全暫停,拒絕任何操作請求。Transit Swap 官方在公告稱,是次駭客攻擊事件是因為程式碼漏洞,目前已鎖定駭客 IP、電郵地址,以及涉事鏈上錢包地址。慢霧分析,此次攻擊的主要原因在於 Transit Swap 協議在進行代幣兌換時並未對用戶輸入的資料進行嚴格檢查,引致了任意外部調用的問題。

ad-banner1

具體而言,路由合約本身沒有對 transferFrom 參數進行任何限制、也並未對解析後的兌換合約地址與調用數據進行檢查。攻擊者利用路由代理合約、路由橋合約與權限管理合約均未對傳入的數據進行檢查的缺陷,通過路由代理合約傳入構造後的數據調用路由橋合約的 callBytes 函數,實現了竊取所有對權限管理合約進行授權的用戶的代幣。

與此前被盜項事件不同的是,Transit Swap 是 TokenPocket 錢包的閃兌服務提供商。這讓大量用戶實現了 「無感被盜」 的絲滑體驗,也再一次向我們明確了加密市場 「黑暗森林」 的恐怖法則,即使是錢包背書的便捷 「閃兌」 服務,依然存在被盜隱患。

 

有什麼方法降低資產被釣魚網站盗取風險?

UD 最近推出了一款名為 BlockTracer 的 Web3 資產管理平台,它可以實時監控用戶及團隊的錢包授權及交易活動。用戶可以根據自己的需求設置不同的 SMS 安全警告,例如當錢包將資產發送到未經授權的地址、簽署「無限授權」指令、已授權的 DAPP 發生安全漏洞事故等,用戶都可以在第一時間收到 SMS 安全警告,從而降低資產被盜的風險。

企業團隊持有的 Web3 資產需要實時監測及保護。BlockTracer 就能為企業客戶提供全方位防護方案,確保公司錢包免受未經授權的簽署及交易。當公司錢包執行可疑交易或授權時,公司會立刻收到可疑交易活動的警告,可以即時應對並防止公司錢包被濫用的風險。

BlockTracer 還設有市場動向提醒功能,讓用戶可以隨時了解市場上大戶的最新動態。UD 專門精選追蹤業界領袖 Web3 交易活動的熱門地址,一旦他們發生重大動作,用戶就可以透過 SMS 即時收到市場動向提醒,不需要通過新聞媒體或社交網絡才能獲知相關信息,快人一步制定未來的投資策略,避免資產損失擴大。

 

怎樣有效管理 Web3 資產及提早發現可疑小額交易?

BlockTracer 提供了一個 Web3 資產報告一站式解決方案,幫助企業在合法和合規的情況下向公眾或政府機構披露其 Web3 資產狀態。UD 和相關合作伙伴會提供資產所有權和交易記錄驗證服務,使用戶可以將資產報告直接用於稅務報告、審計和資產負債表中。

UD 明白現時在區塊鏈上的交易記錄或資產餘額,並不是會計或審計人員可以理解,所以我們整合不同區塊鏈上的交易記錄,包括不同類型資產及多個銀包地址,再以容易理解的月結單及資產報表形式展示。這讓Web 3資產管理變得簡單易用,不再是一項繁瑣沈重的工作,這不但更容易管理及監察有問題交易,更重要是把 Web3 資產及交易融為日常營運部分,協助企業更容易拓展Web3業務。

 

用戶如何取消「無限授權」?

沒有授權就沒有安全隱患。在執行鏈上操作之時,如需執行 Approve 操作,用戶應遵循 「用多少、授多少」 的原則。如果我只需賣出 1000 TOKEN,那即應手動修改 Approve 金額為 1000。在計算合約轉移金額時是累積的,即若只授權 1000、本次金額恰好交易了 1000,合約授權額度恰好已耗儘。即使日後合約出現安全風險,也已無法再從用戶錢包中轉移走任何資產。

而對已經授權的用戶來說,還可發起取消授權操作。以太坊並不支援 「取消授權」,該操作本質是賦予合約「0」 金額的授權。

推薦取消授權網站:
Dappstar:https://tac.dappstar.io/
- Revoke:https://revoke.cash/
- Approved.zone:https://approved.zone/

此外,亦有些區塊鏈瀏覽器支援用戶檢查及撒消授權。
https://cn.etherscan.com/tokenapprovalchecker
https://bscscan.com/tokenapprovalchecker