Bilinmesi Gerekenler: |
- EVM ekosisteminin büyümesi, onu kripto saldırıları için birincil hedef haline getiriyor.
– Adres Zehirlenmesi şemsiyesi altında dolandırıcılar tarafından kullanılan birçok varyasyon ve teknik vardır. – Ledger, EVM zinciri kullanıcıları için her zaman yenilikçi koruyucu önlemler araştırıyor. |
Son zamanlarda EVM zincirlerini hedef alan “Adres Zehirlenmesi” olarak etiketlenen saldırıların sayısında bir artış gördük. Bu, kötü adreslere güvenip kopyalayıp/yapıştırdıkları için para kaybediyor olabilecek müşterilerimizi etkiler. Bu oldu tartışılan oldukça çok tarafından Ana aktörler, ancak çevrimiçi içerik hem tekrar ediyor hem de teknik olarak eksik, açık örnekler eksik.
Öyleyse farklı Adres Zehirlenmesi türlerini inceleyelim! Çünkü evet, aslında uygulamalarındaki farklılıklarla birlikte bir saldırı ailesidir.
Vanity Poisoning: Adreslerinizi kaba kuvvetle zorlamak
Bu ilk Adres Zehirlenmesi türü en basit olanıdır ve çevrimiçi makalelerin çoğunda ele alınmaktadır. Bunu anlamak için önce Vanity adreslerinden ve kendi insani sınırlarımızdan bahsetmemiz gerekiyor.
Özel Adresler
EVM zincirlerinde Adresler, Hesabın genel anahtarı hash edilerek ve yalnızca son (en sağdaki) 20 bayt tutularak elde edilir. Bu 20 bayt daha sonra 40 karakterlik onaltılık bir dizi olarak biçimlendirilir ve ETH veya jeton gönderirken/alırken hepimizin manipüle ettiği şey budur.
Artık insanlar insan olduklarından, adresleri belirli bir onaltılık düzende aramaya başladılar çünkü daha ince bir görünümü vardı. İyi bilinen bir örnek 1INCH'in token sözleşmesi adresi olan 0x111111111117dc0aa78b770fa6a738034120c302
, birçok 1 ile başlayan 😍. Biz buna a diyoruz Özel Adres.
1 inçlik ekip, istedikleri gibi görünen bir tane elde edene kadar çok sayıda ortak anahtar türeterek ve hashleyerek bunu oluşturdu. Muhtemelen şöyle bir araç kullandılar: Vanity ETH bunu yapmak zor değil, aksine zaman alıcıdır.
"Ama bir saniye, bu herhangi bir Ethereum adresinin özel anahtarını bulabileceğim anlamına mı geliyor?" diye sorabilirsin. Buna cevap vereceğim: Umarım hayır, yoksa ipoteğimi karşılamak için çabucak yeni bir iş bulmam gerekecek.
Gerçekte, Özel Adres oluşturmanın zorluğu, düzelttiğiniz karakter sayısıyla doğrusal olmayan bir şekilde artar. kullanma Vanity ETH, 10 sabit karakterli bir adres almanız birkaç ay sürecektir. 12 sabit karakter için, birkaç yüz yıla kadar kabarcıklar. 40 karakterlik tam bir adresin ne kadar süreceğini tahmin etmenize izin vereceğim.
Torunlarım bu adresle ne kadar havalı görünecek!
Anahtar çıkarım, yeterli çabayla, birkaç karakterinde belirli bir modeli izleyen bir adres oluşturmanın mümkün olmasıdır.
Baytları İnceleyen İnsanlar
İnsanlar olarak, adresleri okurken yalnızca kısmen gözden geçirme eğilimindeyiz. En yaygın model, adreslerin ilk ve son karakterlerinden yalnızca birkaçını gözden geçirmektir. Bu, onları karakter karakter tam olarak karşılaştırmaktan daha az güvenli olsa da, gözleri çok daha fazla yorar ve en az direnç gösteren yoldur.
Ayrıca, birçoğu adreslerin çoğunu gizlediğinden, bize sunulan araçlar tarafından da biraz teşvik ediliyor.
Metamask, adresinizin yalnızca başlangıcını ve sonunu gösterir.
Saldırı
Yukarıdakiler göz önüne alındığında, bazı kötü aktörler şunları yapabileceklerini fark ettiler:
- Sihirli internet parasıyla aynı hizada aktif bir Kullanıcı Adresi arayın.
- Kullanıcı Adresinin ilk ve son birkaç baytıyla eşleşen bir Özel Adres oluşturun.
- Özel Adresten Kullanıcı Adresine 0 veya neredeyse 0 tutarında bir işlem gönderin. Gerçek zehirlenme budur: Kullanıcı artık saldırganın Özel Adresini kendi işlem geçmişinde görür.
- Saldırgan şimdi bekler ve kullanıcının kendilerine para göndermeye çalışırken bir hata yapıp Özel Adreslerini kopyalayıp yapıştıracağını umar.
Rastgele baytları işlemek insanlar için zor olduğundan, acele halindeyken bizimkine benzeyen herhangi bir adresi kopyalama eğilimindeyiz, bu da bu saldırıyı oldukça etkili kılıyor.
Özel Adresler oluşturmak zaman alıcıdır, bu da bu saldırının ölçeklenmesini zorlaştırır. Sürecin daha ucuz hale getirmek için tersine çevrilebileceğini not etmek önemlidir:
- Saldırgan, kontrol ettiği mümkün olduğu kadar çok Özel Adres oluşturur.
- Saldırgan, tüm zincir üzerindeki etkinliği ve tüm etkin Kullanıcı Adresini izler.
- Herhangi bir aktif Kullanıcı Adresi, Özel Adreslerden biriyle eşleşirse, zehirleme sürecini başlatın.
Bu şekilde saldırgan, belirli bir hesabı hedeflemekten vazgeçer, ancak saldırı yüzeyini genişletir.
Sıfır Değerli Token Transfer Saldırısı: Zinciri Kandırmak
Bu ikinci tür zehirlenme, ERC20 işlemleri oluşturmaya dayandığından daha da sinsidir. sizin adınıza ve izniniz olmadan!
Bunu anlamak için zincir üstü olaylara, token ödeneğine ve biraz da Solidity'ye aşina olmanız gerekir.
Zincir üstü olaylar
EVM zincirlerinde bir işlem, zincirin durumunu çeşitli şekillerde etkileyebilir. En yaygın olanı, ETH'yi adresler arasında hareket ettirerek ilgili hesapların zincir üstü dengesini etkili bir şekilde değiştirmektir.
Başka bir durum değişikliği, Olayların yayınlanmasıdır. Etherscan'de bir işleme bakarken şunları görebilirsiniz: oluşturulan olaylar. Bu olaylar, token transferlerinin (ERC20'ler, NFT'ler, …) zincir üzerinde nasıl gerçekleştiğidir.
ERC20 işlem geçmişinize baktığınızda, gerçekten tüm Aktarım(adres dizinlenmiş _from, adres dizinlenmiş _to, uint256 _value) adresinizi içeren olaylar.
Belirteç ödeneği hakkında
ERC20 belirteçlerinin birçok gelişmiş kullanımı, bir kullanıcı adına para taşımasına izin verilen üçüncü taraf sözleşmelerine bağlıdır. Bu, anahtarın izin verilen adres olduğu ve değerin, adresin taşıyabileceği maksimum fon miktarı olduğu bir ödenek haritası aracılığıyla gerçekleştirilir.
Standartta ERC-20: Belirteç Standardı ödenek yalnızca kullanıcı tarafından işlev çağrılarak değiştirilebilir. onayla(adres _spender, uint256 _değer).
senin adına transfer
Saldırganın göndermesinin tek yolu X
başka bir kullanıcı adına belirteç miktarı işlevi çağırmaktır transferFrom(adres _from, adres _to, uint256 _değer). Ancak bunu yapabilmek için, hedef kullanıcının zaten aramış olması gerekir. approve({_spender: <attacker_address>, _value: X})
, onlara gerekli ödeneği vermek.
İlk bakışta aşılması zor bir sınır gibi görünüyor.
Ancak, eşlemelerin ve varsayılan değerlerin Solidity'de nasıl çalıştığı göz önüne alındığında, her adresin bir değer payı vardır. 0
ERC20 sözleşmelerinin standart uygulamasında diğer tüm adreslerde. Bu nedenle, bu uygulamalarda, hedef kullanıcının aktif olarak izin verip vermediğine bakılmaksızın herkesin aşağıdaki aktarımı gerçekleştirmesine izin verilir:
transferFrom({from: <user_address>, to: <attacker_address>, _value: 0})
Daha da iyisi, ERC20 standardı şunları belirtir:
0 değerli aktarımlar normal aktarımlar olarak ele alınmalı ve 'Transfer' olayını tetiklemelidir ZORUNLU.
Bu, bu boş aktarımın her zaman geçerli bir Transfer
sonunda kullanıcının işlem geçmişinde görüntülenecek olay.
Saldırı
Yukarıdaki yeni bulunan bilgileri kullanarak aşağıdaki saldırıyı gerçekleştirebiliriz:
- Çağrı
transferFrom
değeri olan0
USDC, Matic, Uniswap gibi iyi bilinen ERC20 sözleşmesinde… - Kullanıcı Adresinden Saldırgan Adresine transfer yapın.
- Bu, Kullanıcı Adresinden Saldırganın Adresine zincirde meşru bir Aktarım olayı oluşturacaktır.
- Bu olay daha sonra kullanıcının cüzdanı tarafından senkronize edilecek ve geçerli bir aktarım olarak görüntülenecektir.
Saldırgan amacına ulaştı: bir hedefin hesabından kendi hesabına meşru bir ERC20 işlemi oluşturmak.
Herhangi bir standart cüzdanda, adresleri artık geçerli bir ticaretin parçası olarak hedefin işlem geçmişinde görüntülenecektir. Kullanıcı zehirlendi. Biraz şansla (saldırgan için), hedef hatalı adresi gelecekteki işlemlerde yanlışlıkla kullanabilir.
Zincir üzerinde bu tür saldırılara birkaç örnek:
Kullanıcıları Koruma
Açıkladığımız saldırıların, oradaki kripto kullanıcıları üzerinde gerçek bir etkisi var. Ayrıca onlar buzdağının sadece görünen kısmı. Dolandırıcılar, kullanıcıları kötü amaçlı adreslerle etkileşime sokma arayışlarında, her türlü teknik veya insani kusurdan yararlanacaktır. Ayrıca stratejilerini, cüzdan üreticilerinin uygulayabilecekleri herhangi bir karşı tedbire uyarlama konusunda çok hızlılar.
koruyucuları olarak Defter Canlı, güvenli ve kullanıcı deneyimini iyileştiren çözümler sağlama sorumluluğumuz var. Saldırıların doğası göz önüne alındığında, bunların olmasını tamamen önlemek çok zordur. Bunun yerine, olası bir kullanıcı hatasından kaçınmak için zehirli işlemleri farklı şekilde ele almak cüzdanların görevidir.
Peki ilerlemenin en iyi yolu nedir?
Bizim için kolay cevap, önce cüzdanınızdan bir adresi asla kopyalamamanız gerektiğidir. donanım cihazınızın güvenilir ekranında doğrulama. Bu karşı önlem, ilk Nano S ticarileştirildiğinden beri mevcuttur ve bilinen bir teknik kusuru yoktur.
Ama onu burada bırakmak bir hata olur. İnsanlar makine değildir: Tembel olabiliriz, acelemiz olabilir, belki Nano'muz yanımızda olmayabilir, bazı insanlar bir Ledger cihazınız bile yok 😱. Günlük yaşamda, her zaman en az dirençli yolu izleriz. Bu örnekte, bu, bir adresi tamamen doğrulamadan kopyalamak olacaktır.
Bu bağlamda Ürün, Geliştirici ve Müşteri Destek tarafındaki ekiplerimiz birden fazla çözüm araştırıyor. Bunlardan en basiti, ancak en verimlisi, en son Ledger Live sürümüne eklendi: Mutlak sıfır tutarlı işlemleri gizleme.
Şimdi, en hain saldırı (Sıfır Değerli Jeton Transfer Saldırısı), gerçekleştirilmesi için miktarın mutlak sıfır olması gerektiğinden dişsiz hale getirildi. Kullanıcıların %99.9'u hiçbir zaman kasıtlı olarak mutlak sıfır işlemi kullanmadığından, bu aynı zamanda güvenli bir değişikliktir. Kalan %0.1 için Ledger Live'ın gelişmiş ayarlarını değiştirerek işlemleri göstermeye devam etmek elbette mümkündür.
Genel olarak bu değişikliğin büyük bir etkisi, çok az sakıncası ve pazara sürme süresi çok kısadır. Adres Zehirleme saldırılarının diğer sürümleri için, güvenli adres defterleri, dolandırıcılık adreslerinin tespiti ve çok daha fazlası gibi farklı çözümler araştırıyoruz!
Geleceği güvence altına almak
Kripto dünyası gelişmeye devam ederken, kötü aktörler acımasızca güvenlik açıklarından yararlanmanın yeni yollarını arar ve hiçbir şeyden şüphelenmeyen kullanıcıları hedef alır. Adres Zehirlenmesi, hem teknolojinin hem de insan doğasının sınırlamalarını besleyen bu tür kötü niyetli saldırıların en iyi örneğidir. Farklı Adres Zehirleme saldırılarına ışık tutarak ve bunların altında yatan mekanizmaları inceleyerek, farkındalık yaratmayı ve kripto yolculuğunuzda bilinçli kararlar vermeniz için sizi güçlendirmeyi amaçlıyoruz.
Sürekli gelişen bu tehditlerle mücadele etmek için Ledger Live gibi cüzdan sağlayıcıları ve daha geniş kripto topluluğu için uyanık kalmak, işbirliği yapmak ve kullanıcıları korumak için yenilikçi çözümler geliştirmek çok önemlidir. Güvenlik önlemlerini ve kullanıcı deneyimini sürekli olarak geliştirirken, kullanıcıları bilgi sahibi olmaya, dikkatli olmaya ve önerilen en iyi uygulamaları benimsemeye teşvik ediyoruz.
Tıpkı dolandırıcıların sizi dolandırma girişimleri gibi, Ledger ekiplerinin sizi korumak için grup halindeki çabaları da her zaman devam eder. Ledger Live'daki günlük deneyiminizde düzenli iyileştirmeler sağlayacaktır, bu nedenle gelecekteki sürümlerde değişikliklere dikkat edin!
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoAiStream. Web3 Veri Zekası. Bilgi Genişletildi. Buradan Erişin.
- Adryenn Ashley ile Geleceği Basmak. Buradan Erişin.
- PREIPO® ile PRE-IPO Şirketlerinde Hisse Al ve Sat. Buradan Erişin.
- Kaynak: https://www.ledger.com/blog/address-poisoning
- :vardır
- :dır-dir
- :olumsuzluk
- :Neresi
- $UP
- 10
- 12
- 1inch
- 20
- 22
- 250
- 40
- a
- Yapabilmek
- Hakkımızda
- yukarıdaki
- kesin
- Hesap
- Hesaplar
- aktif
- etkinlik
- aktörler
- gerçek
- aslında
- uyarlamak
- katma
- adres
- adresleri
- benimsemek
- ileri
- etkiler
- amaç
- Türkiye
- zaten
- Ayrıca
- her zaman
- miktar
- tutarları
- an
- ve
- Başka
- cevap
- Panzehir
- herhangi
- kimse
- ARE
- mal
- AS
- At
- saldırı
- saldırılar
- Denemeler
- mevcut
- önlemek
- farkındalık
- uzakta
- Kötü
- Bakiye
- BE
- Çünkü
- olmuştur
- olmak
- İYİ
- en iyi uygulamalar
- Daha iyi
- arasında
- binance
- Bit
- Kitaplar
- her ikisi de
- Daha geniş
- fakat
- by
- çağrı
- çağrı
- CAN
- dikkat
- belli
- zincir
- zincirler
- değişiklik
- değişmiş
- değişiklikler
- değiştirme
- karakter
- karakterler
- daha ucuz
- açık
- istemciler
- işbirliği yapmak
- mücadele
- ortak
- topluluk
- karşılaştırarak
- tamamlamak
- içerik
- bağlam
- devam ediyor
- devamlı olarak
- sözleşme
- sözleşmeleri
- kontrol
- Serin
- kopyalama
- olabilir
- Kurs
- kapak
- kaplı
- Oluşturma
- çok önemli
- kripto
- kripto topluluğu
- kripto kullanıcıları
- kripto dünyası
- müşteri
- Kullanıcı Desteği
- Günden güne
- kararlar
- Varsayılan
- dağıtmak
- tarif edilen
- Bulma
- geliştirmek
- Geliştirici
- farklı
- zor
- Zorluk
- KAZ
- do
- yok
- Dont
- sakıncaları
- kolay
- kolay
- ekosistem
- Etkili
- etkili bir şekilde
- verimli
- çaba
- güçlendirmek
- teşvik etmek
- teşvik
- son
- Baştan sona
- Ethereum
- ERC20 Jetonları
- ETH
- Ethereum
- etherscan
- Hatta
- Etkinlikler
- olaylar
- Her
- her gün
- EVM
- gelişmek
- kesinlikle
- örnek
- örnekler
- yürütmek
- deneyim
- sömürmek
- Keşfetmek
- Gözler
- tanıdık
- aile
- az
- bulmak
- Ateş
- Ad
- sabit
- sabit
- kusur
- takip et
- takip etme
- şu
- İçin
- ileri
- bulundu
- itibaren
- para
- gelecek
- oluşturmak
- oluşturulan
- üretir
- üreten
- almak
- verilmiş
- verir
- Verilmesi
- gol
- harika
- Büyüme
- garantiler
- vardı
- sap
- kullanma
- olay
- Zor
- donanım
- karma
- Var
- gizlemek
- tarih
- İnşallah
- umut
- Ne kadar
- Ancak
- http
- HTTPS
- insan
- İnsanlar
- yüz
- i
- Ben
- darbe
- Etkiler
- uygulama
- önemli
- iyileştirmek
- iyileştirmeler
- in
- Artırmak
- Artışlar
- bilgi
- yenilikçi
- örnek
- yerine
- etkileşim
- Internet
- içine
- dahil
- ilgili
- IT
- ONUN
- İş
- seyahat
- tutmak
- koruma
- anahtar
- anahtarlar
- Nezaket.
- Bilmek
- bilgi
- bilinen
- Soyad
- son
- en az
- ayrılma
- Defteri kebir
- Defter Canlı
- sol
- meşru
- az
- izin
- hayat
- ışık
- sevmek
- LİMİT
- sınırlamaları
- küçük
- yaşamak
- Uzun
- Bakın
- bakıyor
- GÖRÜNÜYOR
- kaybetme
- Çok
- şans
- Makineler
- sihirli
- Sihirli İnternet Parası
- yapmak
- Makineleri
- YAPAR
- çok
- harita
- pazar
- Matic
- maksimum
- maksimum genişlik
- Mayıs..
- ortalama
- önlemler
- mekanizmaları
- olabilir
- eksik
- hata
- para
- ay
- Daha
- Ipotek
- çoğu
- hareket
- hareketli
- çok
- çoklu
- şart
- my
- nano
- Tabiat
- gerek
- asla
- yeni
- NFT'ler
- yok hayır
- normal
- şimdi
- numara
- elde
- of
- on
- Zincir Üzerinde
- zincirleme aktivite
- ONE
- devam
- Online
- bir tek
- or
- Diğer
- bizim
- dışarı
- Üstesinden gelmek
- kendi
- Bölüm
- yol
- model
- İnsanlar
- Yapmak
- Platon
- Plato Veri Zekası
- PlatoVeri
- mümkün
- uygulama
- uygulamalar
- güzel
- önlemek
- asal
- özel
- özel Anahtar
- muhtemelen
- süreç
- PLATFORM
- korumak
- Koruyucu
- sağlamak
- sağlayıcılar
- halka açık
- kamu Anahtarı
- ortak anahtarlar
- Yayın
- arayışı
- Hızlı
- hızla
- yükseltmek
- rasgele
- daha doğrusu
- ulaştı
- Okuma
- gerçek
- Gerçeklik
- fark
- Gerçekten mi
- Tavsiye edilen
- Ne olursa olsun
- düzenli
- serbest
- kalan
- tekrarlayan
- gereklidir
- Direniş
- sorumluluk
- yorum
- gözden
- Rol
- acele
- s
- güvenli
- ölçek
- Aldatmaca
- Dolandırıcılar
- Ekran
- İkinci
- güvenli
- güvenlik
- Güvenlik Önlemleri
- Aramak
- görünüyor
- görüldü
- Gördükleri
- göndermek
- ayarlar
- birkaç
- kısa
- meli
- Gösteriler
- Yüzler
- görme
- beri
- So
- katılık
- Çözümler
- biraz
- biraz
- özel
- standart
- başlama
- başladı
- XNUMX dakika içinde!
- Eyalet
- Devletler
- kalmak
- stratejileri
- dizi
- böyle
- yeterli
- destek
- yüzey
- Bizi daha iyi tanımak için
- Konuşmak
- Hedef
- hedefleme
- takım
- takım
- Teknik
- teknikleri
- Teknoloji
- göre
- o
- The
- Devlet
- ve bazı Asya
- Onları
- kendilerini
- sonra
- Orada.
- Bunlar
- onlar
- üçüncü şahıslara ait
- Re-Tweet
- iyice
- gerçi?
- tehditler
- İçinden
- zaman
- tip
- için
- simge
- Jeton
- araç
- araçlar
- Ticaret
- esnaf
- işlem
- işlemler
- transfer
- transferler
- Güvenilir
- güvenen
- verdiği
- tip
- türleri
- şemsiye
- altında
- altında yatan
- anlamak
- kadar
- us
- kullanım
- USDC
- kullanım
- Kullanılmış
- kullanıcı
- Kullanıcı Deneyimi
- kullanıcılar
- değer
- Değerler
- VANITY
- doğrulama
- çok
- güvenlik açıkları
- beklemek
- Cüzdan
- Cüzdan Üreticileri
- Cüzdan
- aranan
- oldu
- saatler
- Yol..
- yolları
- we
- tanınmış
- Ne
- Nedir
- ne zaman
- olup olmadığını
- hangi
- süre
- DSÖ
- irade
- ile
- olmadan
- İş
- olur
- yıl
- Evet
- henüz
- Yol ver
- Sen
- Zendesk
- zefirnet
- sıfır