Web3 反垃圾郵件專家 Scam Sniffer 發現有攻擊者濫用以太坊的 'Create2' 函數繞過錢包安全警告和對以太坊地址進行投毒,在 6 個月内從 9.9 萬以太坊用戶處竊取了價值超過 6 億美元的加密貨币。
Create2 是以太坊 'Constantinople' 升級時引入的嚴格操作碼,允許用戶在以太坊上創建智能合約。原來的 Create 操作碼是根據創建者的地址和 nonce 來生成新地址的,Create2 允許用戶在合約部署前計算地址。Create2 對以太坊開發者來說是一個非常強大的工具,可以實現先進和靈活的合約交互、基于參數的合約地址預計算、鏈下交易和特定分布式應用的靈活部署和适配。
Create2 在帶來好處的同時也帶來了新的安全風險。Scam Sniffer 的報告稱,Create2 可以被濫用來生成沒有惡意交易曆史的新地址,可以繞過錢包安全告警。當受害者簽署惡意交易時,攻擊者就可以在預先計算的地址上部署合約,并将受害者的資産轉賬到該地址,且這是一個不可逆的過程。
研究人員發現,有受害者在簽署了将資産轉賬到預先計算好的地址的轉賬合約後,損失了價值 92.7 萬美元的 GMX。
圖 攻擊中使用的智能合約
Create2 被攻擊者濫用的第二種方式是生成與接收者擁有的合法地址相似的地址,以誘使用戶發送資産給攻擊者,但受害者會認爲其發送給了一個已知的地址。這也被稱之爲地址投毒(address poisoning),即生成大量的地址,然後從中挑選出與特定釣魚需求匹配的地址。
自 2023 年 8 月起,Scam Sniffer 一共發現了 11 個受到 Create2 濫用攻擊的受害者,損失近 300 萬美元。其中一個受害者向一個與其剛剛轉過賬的地址非常相似的地址轉賬近 160 萬美元。
今年年初,MetaMask 就預警了使用與受害者最近交易相匹配的新生成的地址的垃圾郵件攻擊活動。在該攻擊活動中,受害者可能也會發送給受害者少量加密貨币來在其錢包的曆史中注冊地址,因此增加了受害者成功轉賬的概率。
8 月初,币安運營人員就錯誤地将價值 2000 萬美元的數字貨币發送給了地址投毒攻擊的地址,幸運的是運營人員很快就發現了這一錯誤,并凍結了接收者的地址。
研究人員建議在進行加密貨币交易時,在同意交易前一定要認真檢查接收者地址,不要僅僅隻檢查前幾個字符和後幾個字符。
