- Topik
72k Popularitas
27k Popularitas
9k Popularitas
4k Popularitas
4k Popularitas
29k Popularitas
16k Popularitas
22k Popularitas
12k Popularitas
2k Popularitas
- Sematkan
72k Popularitas
27k Popularitas
9k Popularitas
4k Popularitas
4k Popularitas
29k Popularitas
16k Popularitas
22k Popularitas
12k Popularitas
2k Popularitas
Bagaimana serangan top-up palsu menembus lapisan pertahanan bursa
perkenalan
Serangan isi ulang palsu berarti penyerang mengirimkan informasi transaksi palsu ke alamat dompet bursa dengan memanfaatkan celah atau kesalahan sistem dalam pemrosesan isi ulang bursa. Informasi transaksi palsu ini disalahartikan sebagai permintaan isi ulang nyata oleh bursa. Dan tambahkan aset digital atau mata uang yang sesuai ke akun penyerang. Penyerang dapat menggunakan metode ini untuk mendapatkan aset digital yang belum dibayar, yang mengakibatkan hilangnya aset pertukaran.
Artikel ini bertujuan untuk mengeksplorasi secara mendalam bagaimana serangan deposit palsu dapat menembus mekanisme pertahanan bursa. Kami akan menganalisis prinsip serangan top-up palsu dan mengungkap celah dan strategi yang dieksploitasi oleh penyerang. Pada saat yang sama, kami akan menganalisis serangan top-up palsu melalui contoh untuk lebih memahami metode dan dampak serangan. Selain itu, kami juga akan membahas langkah-langkah darurat dan pencegahan untuk pertukaran untuk menangani serangan top-up palsu, untuk memberikan saran untuk melindungi aset dan menanggapi serangan serupa.
Analisis prinsip isi ulang
Sebelum memahami isi ulang palsu, kita perlu memahami prinsip isi ulang pertukaran.
Sebuah proses yang khas adalah sebagai berikut:
1. Pembuatan alamat dompet
Pertukaran memberikan setiap pengguna alamat dompet unik untuk menerima isi ulang pengguna. Alamat ini biasanya dibuat secara otomatis oleh sistem bursa. Saat pengguna mengisi ulang, mereka perlu mengirim aset digital ke alamat dompet tertentu di akun pertukaran.
2. Pemindaian buku besar blockchain
Node pertukaran akan disinkronkan dengan node lain di jaringan blockchain untuk mendapatkan status blockchain terbaru dan informasi transaksi. Ketika node pertukaran menerima blok baru, itu akan mengekstrak ID transaksi pengisian ulang pengguna dan jumlah yang sesuai dari konten transaksi yang terkandung dalam blok atau peristiwa eksekusi transaksi yang dipicu oleh blok tersebut, dan menambahkannya ke daftar yang akan diisi ulang.
3. Konfirmasi setoran
Pertukaran biasanya membutuhkan transaksi untuk dianggap valid setelah mereka menerima sejumlah konfirmasi di jaringan blockchain. Konfirmasi berarti bahwa blok pertukaran direferensikan oleh sejumlah blok dan diverifikasi serta dikonfirmasi oleh penambang lain. Jumlah konfirmasi yang ditetapkan oleh bursa dapat bervariasi untuk berbagai aset dan jaringan digital.
seperti yang ditunjukkan oleh gambar:
(Serangan isi ulang palsu terjadi pada langkah 5 dan 6)
Mode serangan isi ulang palsu
Pertukaran adalah area yang paling terpukul untuk serangan peretas, jadi pertukaran biasanya menempatkan server di belakang sistem pertahanan yang berat, dan bahkan hosting offline untuk layanan inti pengelolaan dana. Namun, karena persyaratan integritas data dari sistem blockchain, transaksi jahat tidak akan dicegat oleh sistem keamanan periferal.
Perlu dicatat bahwa serangan top-up palsu bukanlah celah di blockchain, tetapi penyerang menggunakan beberapa karakteristik blockchain untuk membuat transaksi khusus. Transaksi jahat ini akan membuat pertukaran secara keliru percaya bahwa itu adalah permintaan isi ulang yang sebenarnya, atau memproses permintaan isi ulang yang sama beberapa kali. Setelah sekian lama pertempuran yang sebenarnya, tim keamanan SlowMist telah menyimpulkan beberapa metode serangan top-up palsu yang umum:
Sejak 2018, tim keamanan SlowMist telah mengungkapkan beberapa serangan top-up palsu, termasuk:
Selain serangan isi ulang palsu publik ini, ada banyak metode serangan klasik yang belum kami ungkapkan, serta beberapa metode serangan universal. Misalnya:
Jika Anda ingin mengetahui detail lebih lanjut, selamat datang untuk menghubungi kami untuk diskusi mendalam.
Analisis Kasus: TON Rebound False Recharge
Hampir semua blockchain memiliki masalah false recharge, tetapi beberapa serangan mudah dihindari, sementara yang lain memerlukan penelitian mendalam tentang karakteristik blockchain untuk menghindarinya.
Mengambil top-up palsu TON sebagai contoh, kami akan menunjukkan kepada Anda bagaimana penyerang licik menggunakan karakteristik TON untuk menyerang bursa.
TON (Jaringan Terbuka) adalah proyek blockchain yang diprakarsai oleh perangkat lunak komunikasi terkenal Telegram, yang mendukung penerapan kontrak pintar di akun pengguna.
Saat pertukaran mengisi ulang TON, sesuai dengan metode yang dijelaskan sebelumnya, pertama-tama pertukaran akan menghasilkan alamat isi ulang untuk pengguna, dan kemudian pengguna akan mentransfer aset ke alamat isi ulang, dan terakhir mengonfirmasi entri.
Bagaimana pertukaran memverifikasi bahwa transaksi adalah milik penggunanya? Mari kita periksa transfer normal melalui antarmuka RPC:
Biasanya, pertukaran akan menilai apakah tujuan di dalam_msg adalah alamat isi ulang pengguna, dan jika demikian, konversikan nilai jumlah sesuai dengan keakuratan dan berikan kredit kepada pengguna. Tapi apakah itu aman?
Transaksi TON memiliki fitur bahwa hampir semua pesan internal yang dikirim antara kontrak pintar harus dapat dipantulkan, yaitu bendera pantulannya harus disetel. Dengan begitu, jika kontrak pintar target tidak ada, atau pengecualian yang tidak tertangani muncul saat memproses pesan, pesan akan "dipantulkan" kembali dengan nilai asli saldo (dikurangi semua transfer pesan dan biaya gas).
Dengan kata lain, jika penyerang jahat mentransfer uang ke akun yang belum menerapkan kontrak dengan menetapkan bendera pantulan, jumlah isi ulang akan dikembalikan ke akun asal setelah dikurangi biaya penanganan. Pertukaran mendeteksi catatan pengisian ulang pengguna, tetapi tidak diharapkan bahwa mata uang yang diisi ulang akan kembali dan “memantul” kembali ke akun penyerang.
Mari kita lihat transaksi ini Dibandingkan dengan transaksi normal, kita dapat menemukan bahwa ada extra out_msg Out_msg ini adalah operasi di mana dana dipantulkan kembali ke akun awal.
Jika pertukaran hanya memeriksa_msg, pertukaran akan salah memasukkan akun penyerang, yang mengakibatkan hilangnya aset platform.
Praktik Terbaik untuk Mencegah Serangan Isi Ulang Palsu
Beberapa strategi dasar untuk mencegah serangan top-up palsu adalah:
**1. Mekanisme konfirmasi berganda: **Tetapkan beberapa persyaratan konfirmasi untuk isi ulang untuk memastikan bahwa transaksi dianggap valid hanya setelah cukup dikonfirmasi di blockchain. Jumlah konfirmasi harus diatur sesuai dengan keamanan berbagai aset digital dan kecepatan konfirmasi blockchain;
**2. Pencocokan transaksi yang ketat: **Saat menyaring transaksi pengguna dari blok, hanya transaksi yang benar-benar cocok dengan mode transfer normal yang dapat diatur secara otomatis ke akun, dan akhirnya memeriksa perubahan saldo;
**3. Sistem pengendalian risiko: **Membangun sistem pengendalian risiko yang baik untuk memantau dan mendeteksi aktivitas perdagangan yang tidak normal. Sistem dapat mengidentifikasi potensi risiko dan perilaku abnormal dengan menganalisis pola pengisian ulang, frekuensi transaksi, skala transaksi, dan faktor lainnya;
**4. Review manual: ** Untuk transaksi dalam jumlah besar atau berisiko tinggi, review tambahan akan dilakukan dengan mekanisme review manual. Tinjauan manual dapat meningkatkan kredibilitas transaksi, menemukan transaksi abnormal, dan mencegah pengisian ulang yang berbahaya;
**5. Keamanan API: ** Melakukan autentikasi dan otorisasi keamanan pada antarmuka API eksternal untuk menghindari akses tidak sah dan potensi kerentanan. Tinjau keamanan antarmuka API secara teratur, dan lakukan pembaruan dan perbaikan keamanan secara tepat waktu;
**6. Pembatasan penarikan: ** Setelah pengisian ulang terjadi, penarikan aset yang diisi ulang oleh pengguna akan dibatasi sementara. Ini dapat memberikan waktu yang cukup bagi pertukaran untuk mengonfirmasi validitas isi ulang dan mencegah potensi serangan isi ulang palsu;
**7. Pembaruan keamanan: **Perbarui perangkat lunak dan sistem pertukaran secara tepat waktu untuk memperbaiki kemungkinan celah keamanan. Terus pantau status keamanan pertukaran dan bekerja sama dengan pakar keamanan jaringan untuk melakukan audit keamanan dan uji penetrasi secara berkala.
Untuk pencegahan pengisian ulang palsu dari blockchain tertentu, perlu membaca dokumentasi resmi untuk memahami karakteristik transaksi.
Sistem deteksi isi ulang palsu Badwhale
Tim keamanan SlowMist telah mengembangkan sistem uji isi ulang palsu Badwhale dalam praktik ofensif dan defensif jangka panjang, yang secara khusus dikembangkan untuk platform manajemen aset digital. Sistem ini dirancang untuk membantu mereka mendeteksi dan mengevaluasi kemampuan mereka untuk mencegah serangan top-up palsu dan mengoptimalkan mekanisme pertahanan mereka untuk memastikan keamanan aset pengguna dan keandalan platform manajemen aset digital.
Badwhale adalah sistem komersial eksklusif yang dikembangkan oleh tim keamanan SlowMist selama bertahun-tahun, telah melayani lusinan platform selama bertahun-tahun dan telah menghindari risiko penambahan aset palsu yang diperkirakan bernilai miliaran dolar.
Fitur khusus:
**1. Simulasikan serangan isi ulang palsu:**Badwhale dapat mensimulasikan berbagai jenis serangan isi ulang palsu, dan secara otomatis mengirim permintaan isi ulang palsu ke platform manajemen aset digital yang teruji. Ini membantu menilai kelemahan platform manajemen aset digital dan menemukan potensi kerentanan dan risiko keamanan;
2. Skenario pengujian yang beragam: Sistem menyediakan berbagai skenario pengujian dan mode serangan, yang dapat secara komprehensif menguji pertahanan isi ulang palsu dari platform manajemen aset digital sesuai dengan situasi aktual;
**3. Sangat dapat diskalakan: **Badwhale dirancang sebagai sistem pengujian yang sangat dapat diskalakan yang mendukung pengujian untuk berbagai platform manajemen aset digital dan platform blockchain, dan dapat secara fleksibel beradaptasi dengan kebutuhan arsitektur sistem dan lingkungan teknis yang berbeda.
Badwhale saat ini mendukung ratusan rantai publik dan puluhan ribu token untuk tes isi ulang palsu, termasuk:
(ETH/BSC/HECO/RON/CFX-evm/FIL-evm/AVAX-evm/FTM-evm/RSK/GNO/MOVR-evm/GLMR-evm/KLAY/FSN/CELO/CANTO/EGLD/AURORA-evm /TLC/WEMIX/CORE/VS/WAN/KCCL/OKX...)
Dengan bantuan fungsi Badwhale yang kuat, platform manajemen aset digital dapat melakukan uji pertahanan isi ulang palsu yang komprehensif untuk memahami kinerjanya dalam menghadapi serangan isi ulang palsu, mengoptimalkan mekanisme pertahanannya, dan meningkatkan keamanan aset pengguna. Pengenalan Badwhale akan membantu platform manajemen aset digital memperkuat perlindungan keamanan, meningkatkan kemampuan untuk melawan serangan isi ulang palsu, dan memastikan keandalan transaksi aset digital dan kepercayaan pengguna.
Kesimpulan
Melalui penelitian mendalam tentang metode terobosan serangan isi ulang palsu, kami dapat lebih memahami pentingnya platform manajemen aset digital dalam melindungi aset pengguna dan menjaga keamanan. Hanya dengan memperkuat langkah-langkah pertahanan keamanan, terus memantau kerentanan dan mengambil tindakan pencegahan yang tepat, platform manajemen aset digital dapat secara efektif menangani serangan top-up palsu dan ancaman keamanan lainnya, serta memastikan kredibilitas dan keandalan transaksi aset digital.