- Тема
74k Популярность
28k Популярность
9k Популярность
4k Популярность
4k Популярность
29k Популярность
16k Популярность
22k Популярность
12k Популярность
2k Популярность
- Закрепить
74k Популярность
28k Популярность
9k Популярность
4k Популярность
4k Популярность
29k Популярность
16k Популярность
22k Популярность
12k Популярность
2k Популярность
Как атака фейкового пополнения пробивает слои защиты биржи
введение
Атака с ложным пополнением означает, что злоумышленник отправляет поддельную информацию о транзакции на адрес кошелька биржи, используя лазейки или системные ошибки в обработке биржи пополнения.Эта поддельная информация о транзакции ошибочно принимается биржей за настоящие запросы на пополнение. соответствующий цифровой актив или валюту на счет злоумышленника. Злоумышленники могут использовать этот метод для получения неоплаченных цифровых активов, что приводит к потере биржевых активов.
Эта статья направлена на глубокое изучение того, как фальшивые депозитные атаки могут взломать защитный механизм бирж. Мы проанализируем принцип атаки поддельного пополнения и выявим лазейки и стратегии, используемые злоумышленниками. В то же время мы проанализируем фальшивую атаку пополнения на примерах, чтобы лучше понять метод атаки и влияние. Кроме того, мы также обсудим экстренные и превентивные меры для бирж по борьбе с поддельными атаками пополнения счета, чтобы предоставить предложения по защите активов и реагированию на подобные атаки.
Анализ принципа перезарядки
Прежде чем понять фальшивое пополнение, нам нужно понять принцип пополнения биржи.
Типичный процесс выглядит следующим образом:
1. Создание адреса кошелька
Биржа присваивает каждому пользователю уникальный адрес кошелька для получения пополнения счета пользователя. Эти адреса обычно автоматически генерируются системами биржи. Когда пользователи пополняют счет, им необходимо отправить цифровые активы на определенный адрес кошелька в учетной записи биржи.
2. Сканирование реестра блокчейна
Узлы биржи будут синхронизироваться с другими узлами в сети блокчейна для получения последней информации о статусе блокчейна и транзакциях. Когда узел обмена получает новый блок, он извлекает идентификатор транзакции пополнения пользователя и соответствующую сумму из содержимого транзакции, содержащегося в блоке, или события выполнения транзакции, инициированного блоком, и добавляет его в список для пополнения.
3. Подтвердить депозит
Биржи обычно требуют, чтобы транзакции считались действительными после того, как они получили определенное количество подтверждений в сети блокчейн. Подтверждение означает, что на блок биржи ссылается определенное количество блоков, а также оно проверяется и подтверждается другими майнерами. Количество подтверждений, устанавливаемое биржей, может различаться для разных цифровых активов и сетей.
как показано на рисунке:
(Атака поддельной перезарядки происходит на шагах 5 и 6)
Режим фальшивой перезарядки
Биржи являются наиболее пострадавшими от хакерских атак областями, поэтому биржи обычно размещают серверы за мощной системой защиты и даже размещают офлайн-хостинг для основных служб управления средствами. Однако из-за требований системы блокчейн к целостности данных вредоносные транзакции не будут перехвачены периферийной системой безопасности.
Следует отметить, что поддельная атака пополнения не является лазейкой в блокчейне, а злоумышленник использует некоторые характеристики блокчейна для создания специальной транзакции. Эти злонамеренные транзакции заставят биржу ошибочно полагать, что это реальный запрос на пополнение, или обработают один и тот же запрос на пополнение несколько раз. После длительного периода реальной борьбы команда безопасности SlowMist подытожила несколько распространенных методов атаки с поддельным пополнением:
С 2018 года команда безопасности SlowMist раскрыла несколько поддельных атак пополнения счета, в том числе:
В дополнение к этим публичным фейковым атакам перезарядки существует множество классических методов атаки, которые мы не раскрываем, а также некоторые универсальные методы атаки. Например:
Если вы хотите узнать больше деталей, пожалуйста, свяжитесь с нами для подробного обсуждения.
Анализ случая: ложное пополнение TON Rebound
Почти все блокчейны имеют проблему ложной перезагрузки, но некоторых атак легко избежать, в то время как другие требуют углубленного изучения характеристик блокчейна, чтобы избежать этого.
На примере поддельного пополнения TON мы покажем вам, как хитрые злоумышленники используют характеристики TON для атаки на биржи.
TON (The Open Network) — это блокчейн-проект, инициированный известным коммуникационным программным обеспечением Telegram, которое поддерживает развертывание смарт-контрактов на учетных записях пользователей.
Когда биржа пополняет TON, в соответствии с описанным ранее методом, она сначала генерирует адрес пополнения для пользователя, а затем пользователь переводит активы на адрес пополнения и, наконец, подтверждает ввод.
Как биржа проверяет, принадлежит ли транзакция ее пользователям? Проверим нормальную передачу через RPC интерфейс:
Обычно биржа определяет, является ли пункт назначения в in_msg адресом пополнения счета пользователя, и если да, то преобразует значение суммы в соответствии с точностью и зачисляет ее пользователю. Но безопасно ли это?
Транзакции TON имеют такую особенность, что почти все внутренние сообщения, отправляемые между смарт-контрактами, должны быть bounceable, то есть у них должен быть установлен флаг bounce. Таким образом, если целевой смарт-контракт не существует или при обработке сообщения возникнет необработанное исключение, сообщение будет «отправлено» обратно с исходным значением баланса (за вычетом всех переводов сообщений и платы за газ).
Другими словами, если злоумышленник переводит деньги на учетную запись, на которой не развернут контракт, установив флаг возврата, сумма пополнения будет возвращена на исходную учетную запись после вычета комиссии за обработку. Биржа обнаружила запись пополнения пользователя, но не ожидала, что пополненная валюта вернется и «отскочит» обратно на счет злоумышленника.
Давайте посмотрим на эту транзакцию. По сравнению с обычной транзакцией, мы можем обнаружить, что есть дополнительный out_msg. Это out_msg — это операция, в которой средства возвращаются обратно на исходный счет.
Если биржа проверяет только _msg, она ошибочно введет учетную запись для злоумышленника, что приведет к потере активов платформы.
Рекомендации по предотвращению фальшивых атак перезарядки
Вот некоторые основные стратегии предотвращения поддельных атак пополнения счета:
** 1. Механизм многократного подтверждения: ** Установите требования к многократному подтверждению для перезарядки, чтобы транзакция считалась действительной только после того, как она была достаточно подтверждена в блокчейне. Количество подтверждений должно быть установлено в соответствии с безопасностью различных цифровых активов и скоростью подтверждения блокчейна;
** 2. Строгое сопоставление транзакций: ** При проверке транзакций пользователей из блока только транзакции, которые полностью соответствуют обычному режиму перевода, могут быть автоматически установлены для учетной записи и, наконец, проверены изменения баланса;
**3.Система контроля рисков: **Создайте надежную систему контроля рисков для отслеживания и выявления ненормальной торговой деятельности. Система может выявлять потенциальные риски и ненормальное поведение путем анализа моделей пополнения счета, частоты транзакций, масштаба транзакций и других факторов;
**4. Проверка вручную: ** Для транзакций на большие суммы или с высоким риском дополнительная проверка будет выполняться с помощью механизма ручной проверки. Проверка вручную может повысить достоверность транзакций, обнаружить аномальные транзакции и предотвратить злонамеренные пополнения;
** 5. Безопасность API: ** Выполняйте аутентификацию и авторизацию безопасности на внешних интерфейсах API, чтобы избежать несанкционированного доступа и потенциальных уязвимостей. Регулярно проверяйте безопасность интерфейса API и выполняйте своевременные обновления безопасности и исправления;
**6.Ограничение на вывод средств: **После того, как произойдет пополнение, вывод пользователем пополненных активов будет временно ограничен. Это может дать бирже достаточно времени, чтобы подтвердить действительность пополнения и предотвратить потенциальные ложные атаки пополнения;
** 7. Обновление безопасности: ** Своевременно обновляйте программное обеспечение и систему биржи, чтобы устранить возможные бреши в безопасности. Постоянно следите за состоянием безопасности биржи и сотрудничайте с экспертами по сетевой безопасности для проведения регулярных аудитов безопасности и тестов на проникновение.
Для предотвращения ложной перезарядки конкретного блокчейна необходимо ознакомиться с официальной документацией, чтобы понять особенности транзакции.
Система обнаружения поддельных пополнений Badwhale
Команда безопасности SlowMist разработала тестовую систему поддельной перезарядки Badwhale в долгосрочной наступательной и оборонительной практике, которая специально разработана для платформы управления цифровыми активами. Система предназначена для того, чтобы помочь им обнаруживать и оценивать их способность предотвращать фальшивые атаки пополнения и оптимизировать свои защитные механизмы для обеспечения безопасности пользовательских активов и надежности платформ управления цифровыми активами.
Badwhale — это эксклюзивная коммерческая система, много лет разрабатываемая командой безопасности SlowMist, которая уже много лет обслуживает десятки платформ и позволяет избежать риска ложного пополнения активов, оцениваемых в миллиарды долларов.
Особая функция:
**1. Моделирование ложных атак пополнения: **Badwhale может имитировать различные типы ложных атак пополнения и автоматически отправлять ложные запросы на пополнение на протестированную платформу управления цифровыми активами. Это помогает оценить слабые стороны платформы управления цифровыми активами и обнаружить потенциальные уязвимости и риски безопасности;
** 2. Разнообразные тестовые сценарии: ** Система предоставляет различные тестовые сценарии и режимы атак, которые могут всесторонне протестировать защиту от подделок платформы управления цифровыми активами в соответствии с реальной ситуацией;
**3. Высокая масштабируемость: **Badwhale разработана как высокомасштабируемая тестовая система, которая поддерживает тестирование для различных платформ управления цифровыми активами и платформ блокчейна и может гибко адаптироваться к потребностям различных системных архитектур и технических сред.
В настоящее время Badwhale поддерживает сотни общедоступных цепей и десятки тысяч токенов для проверки поддельных пополнений, в том числе:
(ETH/BSC/HECO/RON/CFX-evm/FIL-evm/AVAX-evm/FTM-evm/RSK/GNO/MOVR-evm/GLMR-evm/KLAY/FSN/CELO/CANTO/EGLD/AURORA-evm /TLC/WEMIX/CORE/VS/WAN/KCCL/OKX...)
С помощью мощных функций Badwhale платформа управления цифровыми активами может провести всестороннее тестирование защиты от ложных пополнений, чтобы оценить ее эффективность перед лицом атак с ложными пополнениями, оптимизировать механизм защиты и повысить безопасность пользовательских активов. Внедрение Badwhale поможет платформе управления цифровыми активами усилить защиту безопасности, улучшить способность противостоять атакам с поддельными пополнениями и обеспечить надежность транзакций с цифровыми активами и доверие пользователей.
Заключение
Благодаря углубленному исследованию передовых методов атак с поддельными пополнениями мы можем лучше понять важность платформ управления цифровыми активами для защиты пользовательских активов и обеспечения безопасности. Только усиливая меры безопасности, постоянно отслеживая уязвимости и принимая соответствующие контрмеры, платформа управления цифровыми активами может эффективно справляться с фальшивыми атаками пополнения счета и другими угрозами безопасности, а также обеспечивать достоверность и надежность транзакций с цифровыми активами.