狙擊釣魚：一文讀懂OKX Web3錢包四大風險交易攔截功能

2024-08-12 16:08:14

Scam Sniffer 發布 2024 年年中網絡釣魚報告表明，僅 2024 年上半年，就有 26 萬名受害者在 EVM 鏈上損失 3.14 億美元，其中 20 人人均損失超過 100 萬美元。令人唏噓的是，還有一位受害者損失 1100 萬美元，成為歷史上第二大盜竊受害者。

根據該報告的總結，目前多數 ERC 20 代幣的盜竊源於籤署釣魚籤名，如 Permit、IncreaseAllowance 和 Uniswap Permit 2 。而大部分大型盜竊均涉及 Staking、Restaking、Aave 抵押和 Pendle 代幣。受害者多通過假冒 Twitter 账戶的釣魚評論被引導至釣魚網站。

釣魚攻擊無疑仍是鏈上安全問題的重災區。

作為承接用戶基礎交易需求的入口級產品，OKX Web3 錢包堅持將目光聚焦安全措施強化和用戶教育上。在產品層面，該團隊近期主要圍繞高頻釣魚場景對風險交易攔截功能進行了升級，並表示後續也會持續增加識別更多風險場景對用戶進行提示。

本文旨在講清楚 OKX Web3 錢包最新升級的四大風險交易攔截功能適用的場景，同時科普部分被盜案例的運行原理，希望對您有所幫助。

1、惡意授權給 EOA 账戶

6 月 26 日，某用戶在假冒 Blast 釣魚網站籤署多個釣魚籤名損失 21.7 萬美元；7 月 3 日，ZachXBT 報告稱地址 0x D 7 b 2 已成為 Fake_Phishing 187019 網絡釣魚的受害者，導致 6 枚 BAYC NFT 和 40 枚 Beans 損失（價值約 100 萬美元以上）；7 月 24 日，某 Pendle 用戶 1 小時前因多個 Permit 網絡釣魚籤名被盜價值約 469 萬美元的 PENDLEPT 再質押代幣。

近兩個月時間，因各類籤名釣魚而產生損失的事件及單筆金額均不在少數，這已然是安全問題頻發的重要場景。絕大部分的場景就是在於誘導用戶對黑客的 EOA 账戶進行授權。

惡意授權給 EOA 账戶，一般是指黑客通過各類福利活動等形式誘導用戶進行授權，並將其用戶地址授權給一個 EOA 地址的籤名。

EOA 全稱 Externally Owned Accounts，也譯為“外部账戶”。是以太坊為主的區塊鏈網絡上的一種账戶類型，這與以太坊上的另一種账戶類型—合約账戶（Contract Account）不同，EOA 是由用戶擁有的，且不受智能合約控制。玩家鏈上衝浪時一般都是授權給項目方的智能合約账戶而非個人擁有的 EOA 账戶。

目前，最常見的授權方式有三種： Approve 是存在於 ERC-20 代幣標准中的常見授權方法。它授權第三方（如智能合約）在代幣持有者的名義下花費一定數量的代幣。用戶需要預先為某個智能合約授權一定數量的代幣，此後，該合約便可在任何時間調用 transferFrom 功能轉移這些代幣。如果用戶不慎為惡意合約授權，這些被授權的代幣可能會被立刻轉移。值得注意的是，受害者錢包地址中可以看到 Approve 的授權痕跡。

Permit 是基於 ERC-20 標准引入的擴展授權方式，通過消息籤名來授權第三方花費代幣，而非直接調用智能合約。簡單來說，用戶可以通過籤名來批准他人轉移自己的 Token。黑客可以利用這種方法來進行攻擊，例如，他們可以建立一個釣魚網站，將登錄錢包的按鈕替換為 Permit，從而輕易地獲取到用戶的籤名。

Permit 2 並非 ERC-20 的標准功能，而是由 Uniswap 為了用戶便利性而推出的一種特性。此功能讓 Uniswap 的用戶在使用過程中只需要支付一次 Gas 費用。然而，需要注意的是，如果你曾使用過 Uniswap，並且你向合約授權了無限額度，那么你可能會成為 Permit 2 釣魚攻擊的目標。

Permit 和 Permit 2 是離线籤名方式，受害者錢包地址無需支付 Gas，釣魚者錢包地址會提供授權上鏈操作，因此，這兩種籤名的授權痕跡只能在釣魚者的錢包地址中看到。現在 Permit 和 Permit 2 籤名釣魚已經是 Web3 資產安全領域的重災區。

該場景下，OKX Web3 錢包攔截功能如何發揮作用？

OKX Web3錢包會通過對待籤交易進行前置解析，若解析發現交易為授權行為且授權的地址為 EOA 地址時，則為用戶告警提醒，防止用戶被釣魚攻擊，造成資產損失。

2、惡意更改账戶 owner

惡意更改账戶 Owner 的事件通常發生在 TRON、Solana 等底層機制有账戶 owner 設計的公鏈上。用戶一旦籤名，就將失去對账戶的控制權。

以 TRON 錢包為例，TRON 的多重籤名權限系統設計了三種不同的權限：Owner、Witness 和 Active，每種權限都有特定的功能和用途。

Owner 權限 擁有執行所有合約和操作的最高權限；只有擁有該權限才能修改其他權限，包括添加或移除其他籤名者；創建新账戶後，默認為账戶本體擁有該權限。

Witness 權限 主要與超級代表(Super Representatives) 相關，擁有該權限的账戶能夠參與超級代表的選舉和投票，管理與超級代表相關的操作。

Active 權限 用於日常操作，例如轉账和調用智能合約。這個權限可以由 Owner 權限設定和修改，常用於分配給需要執行特定任務的账戶，它是若幹授權操作（比如 TRX 轉账、質押資產）的一個集合。

一種情況是黑客獲取用戶私鑰/助記詞後，如果用戶沒有使用多籤機制（即該錢包账戶僅由用戶一人控制），黑客便可以將 Owner/Active 權限也授權給自己的地址或者將用戶的 Owner/Active 權限轉移給自己，該操作通常都被大家稱為惡意多籤。

如果用戶 Owner/Active 權限未被移除，黑客 利用多籤機制與用戶共同控制账戶所有權 。此時用戶既持有私鑰/助記詞，也有 Owner/Active 權限，但卻無法轉移自己的資產，用戶發起轉出資產請求時，需要用戶和黑客的地址都籤名，才能正常執行交易。

還有一種情況是黑客利用 TRON 的權限管理設計機制，直接將用戶的 Owner/Active 權限轉移給黑客地址，使得用戶失去 Owner/Active 權限。

以上兩種情況造成的結果是一樣的，無論用戶是否還擁有 Owner/Active 權限，都將失去對該账戶的實際控制權，黑客地址獲得账戶的最高權限，就可實現更改账戶權限、轉移資產等操作。

該場景下，OKX Web3 錢包攔截功能如何發揮作用？

OKX Web3錢包通過對待籤交易進行前置解析，若解析發現交易內存在更改账戶權限行為，則會為用戶直接攔截交易，從根源阻止用戶進一步籤名，造成資損。

由於該風險非常高危，因此當前 OKX Web3錢包直接進行攔截，不允許用戶進行進一步交易。

3、惡意更改轉账地址

惡意更改轉账地址的風險交易場景主要發生在 DApp 合約設計不完善的情況下。

3 月 5 日，@CyversAlerts 監測到，0x ae 7 ab 开頭地址從 EigenLayer 中收到 4 枚 stETH，合約 14, 199.57 美元，疑似遭遇釣魚攻擊。同時他指出，目前已有多名受害者在主網上籤署了「queueWithdrawal」釣魚交易。

Angel Drainer 瞄准了以太坊質押的性質，交易的批准與常規 ERC 20 「批准」方法不同，專門針對 EigenLayer Strategy Manager 合約的 queueWithdrawal (0x f 123991 e) 函數寫了利用。攻擊的核心是，籤署「queueWithdrawal」交易的用戶實際上批准了惡意「提款者」將錢包的質押獎勵從 EigenLayer 協議提取到攻擊者選擇的地址。簡單地說，一旦你在釣魚網頁批准了交易，你在 EigenLayer 質押的獎勵就將屬於攻擊者。

為了使檢測惡意攻擊變得更加困難，攻擊者使用「CREATE 2 」機制來批准這些提款到空地址。由於這是一種新的審批方法，因此大多數安全提供程序或內部安全工具不會解析和驗證此審批類型，所以在大多數情況下它被標記為良性交易。

不僅這一例，今年以來，一些主流公鏈生態系統中均出現了一些設計不完善的合約漏洞導致部分用戶轉账地址被惡意更改，造成資金損失的問題。

該場景下，OKX Web3 錢包攔截功能如何發揮作用？

針對 EigenLayer 的釣魚攻擊場景，OKX Web3錢包會通過對「queueWithdrawal」的相關交易進行解析，若發現用戶在非官方網站交易，且取款至非用戶自身地址時，則會對用戶進行警告，強制用戶進一步確認，防止被釣魚攻擊。

4、相似地址的轉账

相似地址轉账的攻擊手法通過欺騙受害者使用與其真實地址非常相似的假地址，使得資金轉移到攻擊者的账戶中。這些攻擊通常伴隨復雜的混淆和隱匿技術，攻擊者使用多個錢包和跨鏈轉移等方式，增加追蹤難度。

5 月 3 日，一個巨鯨遭遇了相同首尾號地址釣魚攻擊，被釣走 1155 枚 WBTC，價值約 7000 萬美元。

該攻擊的邏輯主要是黑客提前批量生成大量釣魚地址，分布式部署批量程序後，根據鏈上用戶動態，向目標轉账地址發起相同首尾號地址釣魚攻擊。而在本次事件中，黑客使用了去除 0x 後的首 4 位及尾 6 位和受害者目標轉账地址一致的地址。用戶轉账後，黑客立即使用碰撞出來的釣魚地址（大概 3 分鐘後）尾隨一筆交易（釣魚地址往用戶地址轉了 0 ETH），這樣釣魚地址就出現在了用戶的交易記錄裏。

由於用戶習慣從錢包歷史記錄裏復制最近轉账信息，看到了這筆尾隨的釣魚交易後沒有仔細檢查自己復制的地址是否正確，結果將 1155 枚 WBTC 誤轉給了釣魚地址。

該場景下，OKX Web3 錢包攔截功能如何發揮作用？

OKX Web3 錢包通過對鏈上的交易進行持續監控，如果發現在 1 筆大額交易發生後不久，鏈上立刻發生非用戶主動觸發的可疑交易，且可疑交易的交互方與大額交易的交互方極其相似，此時會判定可疑交易的交互方為相似地址。

若用戶後續與相似地址進行交互，OKX Web3則會進行攔截提醒；同時在交易歷史頁面，會直接對相似地址相關的交易進行標記，防止用戶被誘導粘貼，造成資損。（目前已支持 8 條鏈）

結語

總的來講， 2024 年上半年，空投釣魚郵件和項目官方账戶遭黑等安全事件仍頻發。用戶在享受這些空投和活動帶來收益的同時，也面臨着前所未有的安全風險。黑客通過僞裝成官方的釣魚郵件、假冒地址等手段，誘騙用戶泄露私鑰或進行惡意轉账。此外，一些項目官方账戶也遭到黑客攻擊，導致用戶資金損失。對於普通用戶來講，在這樣的環境下，最重要的就是提高防範意識，深入學習安全知識。同時，盡可能選擇風控靠譜的平臺。

風險提示及免責聲明

本文章僅供參考。本文僅代表作者觀點，不代表 OKX 立場。本文無意提供 (i) 投資建議或投資推薦； (ii) 購买、出售或持有數字資產的要約或招攬； (iii)財務、會計、法律或稅務建議。我們不保證該等信息的准確性、完整性或有用性。持有的數字資產（包括穩定幣和 NFTs）涉及高風險，可能會大幅波動。您應該根據您的財務狀況仔細考慮交易或持有數字資產是否適合您。有關您的具體情況，請咨詢您的法律/稅務/投資專業人士。請您自行負責了解和遵守當地的有關適用法律和法規。