Web3安全事件分析:某交易平台冷錢包遭遇重大攻擊

2025年2月21日,一家知名交易平台的以太坊冷錢包遭受攻擊,約401,346 ETH、15,000 cmETH、8,000 mETH、90,375 stETH和90 USDT被轉移至未知地址,總價值約14.6億美元。

攻擊者通過釣魚手段誘使該平台的多重籤名錢包籤名者簽署惡意交易。攻擊步驟如下:

1. 攻擊者提前部署含資金轉移後門的惡意合約。
2. 篡改安全管理界面,使籤名者看到的交易信息與實際發送至硬體錢包的數據不一致。
3. 通過僞造界面獲取三個有效籤名,替換多簽錢包的實現合約爲惡意版本,進而控制冷錢包並轉移資金。

受托進行取證調查的安全公司目前發現:

• 在安全管理平台的雲存儲中,資源被注入了惡意JavaScript代碼。
• 代碼分析顯示其主要目的是在籤名過程中操縱交易內容。
• 惡意代碼設有激活條件,僅在特定合約地址觸發。
• 惡意交易執行後,更新版本的JavaScript資源被上傳,刪除了惡意代碼。
• 初步判斷攻擊源自安全管理平台的雲基礎設施。
• 目前未發現該交易平台自身基礎設施被入侵的跡象。

從現有信息看,前端並非主要問題,關鍵在於雲存儲服務被入侵導致JavaScript被篡改。但如果安全管理平台前端實施了基本的完整性驗證,即使JavaScript被改動也不會造成如此嚴重後果。當然,交易平台也難辭其咎,他們在硬體錢包未顯示具體交易信息的情況下就進行了確認,對安全管理平台前端的信任本身就存在風險。

硬體錢包在處理復雜交易時存在局限性,無法完整解析和顯示多重籤名錢包的詳細交易數據,導致籤名者在未完全驗證交易內容的情況下進行"盲籤"。

黑客擅長利用交互過程的設計缺陷騙取用戶資產,如UI劫持、欺騙籤名、利用盲籤名、濫用Permit籤名、TransferFrom零轉釣魚、尾號相同空頭騙局、NFT釣魚等。

隨着Web3技術發展,前端安全與區塊鏈安全的界限日益模糊。傳統前端漏洞在Web3場景下被賦予新的攻擊維度,智能合約漏洞、私鑰管理缺陷等問題進一步放大了風險。

交易參數篡改:界面顯示轉帳,實際執行授權

用戶看到錢包彈窗顯示"Transfer 1 ETH to 0xUser...",但實際鏈上執行的是"approve(attacker, unlimited)",資產可被隨時轉走。

解決方案:EIP-712結構化籤名驗證

1. 前端生成可驗證數據
2. 智能合約驗證籤名

這樣,任何前端參數篡改都會導致籤名不匹配,交易自動回滾。

盲籤劫持:硬體錢包被攻破原因

攻擊者可能劫持前端代碼,向硬體錢包發送僞造的calldata。硬體錢包屏幕顯示正常交易信息,但實際執行的是"approve(attacker, unlimited)"。

解決方案:硬體錢包語義解析 + 鏈上二次驗證

1. 升級硬體錢包固件支持EIP-712
2. 鏈上強制語義匹配

結語

前端安全與Web3安全的融合既是挑戰也是機遇。此次事件暴露了加密貨幣行業在安全管理和技術架構上的深層次問題。行業需從設備安全、交易驗證和風控機制等多方面全面提升防護能力,以應對日益復雜的威脅。前端開發應對訪問DApp、連接錢包、消息籤名、交易籤名、交易後處理等環節進行反復驗證,實現從"被動修補"到"主動免疫"的跨越。只有這樣,才能在Web3的開放世界中守護每一筆交易的價值與信任。

當然,鏈上合約的安全審計對每個Dapp來說都是不可或缺的。AI輔助安全掃描工具能夠通過形式驗證和人工智能輔助安全規範生成確保代碼正確性,提供對大量部署合約進行代碼相似性和知識產權風險分析,全天候監控並即時通知可能影響項目的零日漏洞和安全事件。一些工具還擁有基於大規模漏洞數據庫優化的AI模型,用於檢測智能合約中各種實際漏洞。