最近、当社のオンチェーン リスク モニタリングにより、TRX、ETH、および BSC チェーン上で頻繁な 0U 転送が検出されました。次の図の BSC チェーンのトランザクション データを例にとります。被害者 A が通常のトランザクションを送信し、452 BSC を送信した後-USD を B に転送すると、C から転送された 0 BSC-USD を受け取ります。同時に、同じトランザクション ハッシュで、ユーザー A は制御不能に 0 BSC-USD を C に転送します (「1 対 1」の 0 を実現します)。 BSC-USD送金オペレーション)
実際、このような状況に遭遇したユーザーは緊張する必要はありません、全員の資産は安全であり、秘密鍵は漏洩していません、アドレスをよく確認し、間違ったアカウントを転送しないように注意するだけで十分です。は非常に簡単です:
1. チェーン上の複数のステーブルコインの転送情報を監視し、被害者アドレス A からユーザー B に通常送信される転送情報を取得します。
2. 被害者 A とハッカー アドレス C が相互に 0U を転送できるように、ユーザー アドレス B と一致するハッカー アドレス C を慎重に構築します。
3. 被害者 A が次回の送金時に過去の取引のアドレスを不用意に直接コピーすると、ハッカーが用意したアドレス C に誤ってコピーし、間違った口座に資金が送金される可能性があります。
技術原理の分析
bsc チェーンに対するトークン攻撃には、主に BSC-USD、BUSD、USDC、ETH などが含まれます。その多くは、攻撃コントラクトを通じて transferFrom() 関数を一括で呼び出しており、transfer() 関数を呼び出すケースもあります。手動でも主要通貨でも基本的には同じです。攻撃者が攻撃コントラクトを呼び出すトランザクションでは、攻撃コントラクトはBSC-USDのtransferFrom()関数を呼び出すだけで、パラメータに送信者、受信者、金額を入力することで、任意のアドレス間の0USDの送金を制御できる、認可 Approval を同時に生成できます () と Transfer Transfer() イベントを転送します。
たとえば、下の図では、ユーザーの頻繁に転送するアドレスは「TUahsb...JjXyp3」、偽のアドレスは「TSeqQh...sjXyp3」で、末尾番号は同じ「jXyp3」です。
最終的なまとめ
この記事では、チェーン上のアドレスポイズニング手法「同じ末尾番号のエアドロップ」と「ゼロUポイズニング」を中心に紹介します。同じ末尾番号を持つアドレスを偽のアドレスとして生成し、そのアドレスを利用するユーザーに少量のTokenを継続的にエアドロップします。偽のアドレスにより、詐欺師はそのアドレスがユーザーの取引記録に表示され、ユーザーは注意せずに間違ったアドレスをコピーし、結果として資産の損失を引き起こします。「TRON Helper ( trxhelp.org) 」は、ブロックチェーン技術は改ざんできず、チェーン上の操作は元に戻せないため、操作を実行する前に必ずアドレスを注意深く確認してください。