针对加密货币的ClipboardHijacking软件是一款利用Windows复制粘贴功能,将受害者加密货币钱包地址替换更改为攻击者地址的恶意劫持软件。虽然这款软件早已出现,但是,最近有网站发现,该劫持软件已监视了超过230万个加密货币地址。
ClipboardHijacking劫持地址数量增多
没有人会称加密货币是「用户友好的」。
在绝大多数情况下,交易加密货币时需要输入对方的钱包地址,该地址由很长且几乎不可能记住一系列数字和字母组成。为了方便,大多数人会借助操作系统来复制和粘贴地址。
安全团队:跨链DEX聚合器Transit Swap因任意外部调用问题被黑,被盗资金规模超2300万美元:10月2日消息,据慢雾安全团队情报,2022年10月2号跨链DEX聚合器TransitSwap项目遭到攻击,导致用户资产被非预期的转出。慢雾安全团队分析评估此次被盗资金规模超过2300万美元,黑客地址为0x75F2...FD46和0xfa71...90fb。接着对此次攻击过程进行了分析:
1. 当用户在Transit Swap进行swap时,会先通过路由代理合约(0x8785bb...)根据不同的兑换类型选择不同的路由桥合约。随后路由桥合约(0x0B4727...)会通过权限管理合约(0xeD1afC...)的 claimTokens 函数将用户待兑换的代币转入路由桥合约中。因此在代币兑换前用户需要先对权限管理合约(0xeD1afC...)进行授权。
2. 而 claimTokens 函数是通过调用指定代币合约的 transferFrom 函数进行转账的。其接收的参数都由上层路由桥合约(0x0B4727...)传入,本身没有对这些参数进行任何限制只检查了调用者必须为路由代理合约或路由桥合约。
3. 路由桥合约(0x0B4727...)在接收到用户待兑换的代币后会调用兑换合约进行具体的兑换操作,但兑换合约的地址与具体的函数调用数据都由上层路由代理合约(0x8785bb...)传入,路由桥合约并未对解析后的兑换合约地址与调用数据进行检查。
4. 而代理合约(0x8785bb...)对路由桥合约(0x0B4727...)传入的参数也都来自于用户传入的参数。且代理合约(0x8785bb...)仅是确保了用户传入的 calldata 内各数据长度是否符合预期与所调用的路由桥合约是在白名单映射中的地址,未对 calldata 数据进行具体检查。
5. 因此攻击者利用路由代理合约、路由桥合约与权限管理合约均未对传入的数据进行检查的缺陷。通过路由代理合约传入构造后的数据调用路由桥合约的 callBytes 函数。callBytes 函数解析出攻击者指定的兑换合约与兑换数据,此时兑换合约被指定为权限管理合约地址,兑换数据被指定为调用 claimTokens 函数将指定用户的代币转入攻击者指定的地址中。实现了窃取所有对权限管理合约进行授权的用户的代币。
此次攻击的主要原因在于 Transit Swap 协议在进行代币兑换时并未对用户传入的数据进行严格检查,导致了任意外部调用的问题。攻击者利用此任意外部调用问题窃取了用户对Transit Swap授权的代币。
截止到目前,黑客已将 2,500 BNB 转移到 Tornado Cash,剩余资金分散保留在黑客地址中。经过黑客痕迹分析发现,黑客存在从 LATOKEN 等平台存提款的痕迹。慢雾 MistTrack 将持续跟进被盗资金的转移以及黑客痕迹的分析。[2022/10/2 18:37:27]
黑客发现了其中的攻击点。4月,Bitcoinist曾报道,PaloAltoNetworks辨识到这一种恶意软件:当用户使用剪切、复制和粘贴操作功能时,这种恶意软件会读取用户剪贴板上的数据。该木马程序被称为ComboJack,它会在受害者不知情的情况下,用攻击者的钱包地址替换了受害者的钱包地址。
BAGS突破230美元关口 日内涨幅为13.53%:火币全球站数据显示,BAGS短线上涨,突破230美元关口,现报230.0101美元,日内涨幅达到13.53%,行情波动较大,请做好风险控制。[2021/3/30 19:29:02]
大多数案件中,ClipboardHijacker一般劫持一千个以下的加密货币地址。但是,现在BleepingComputer发现了,有人利用该恶意软件监控超过230万个加密货币地址。
BleepingComputer网站解释道:
BCH突破230美元关口 日内跌幅为4.59%:火币全球站数据显示,BCH短线上涨,突破230美元关口,现报230.15美元,日内跌幅达到4.59%,行情波动较大,请做好风险控制。[2020/9/4]
该恶意软件是本周出现的All-Radio4.27Portable恶意软件包的一部分。安装后,一个名为d3dx11_31.dll的动态链接库将下载到WindowsTemp文件夹,并创建一个名为「DirectX11」的自动运行程序,以便在用户登录计算机时运行DLL。
通过rundll32.exe与rundll32C:UsersAppDataLocalTempd3dx11_31.dll,includes_func_runnded,此动态链接库会开启运行。
如何保护你的资金
与大多数恶意软件的情况一样,大多数受感染的用户直到发现为时已晚时,才意识到自己受到了感染。
为了抵御这类恶意软件,并避免加密货币资金被恶意攻击者掠夺,需要时时更新防病软件和操作系统。
此外,在每次交易加密货币时,加密货币用户都应仔细核对地址。一种简单方法是仅检查给定钱包地址中的开头字符和最后几个字符。但是,逐字检查每个字符是确保你发送到正确地址的最佳方法。
链闻ChainNews:提供每日不可或缺的区块链新闻。
原文作者:AdamJames链闻编译:YY版权声明:文章为作者独立观点,不代表链闻ChainNews立场。
来源链接:bitcoinist.com
本文来源于非小号媒体平台:
链闻速递
现已在非小号资讯平台发布1篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/3626910.html
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
下一篇:
日本首次对「加密劫持者」绳之以法,罪犯被判一年监禁
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。