當(dāng)前位置：第一POS網(wǎng) > 刷卡機(jī)知識點(diǎn)2 >

pos刷卡機(jī)來出現(xiàn)no

瀏覽：94 發(fā)布日期：2023-06-15 00:00:00 投稿人：佚名投稿

網(wǎng)上關(guān)于pos刷卡機(jī)來出現(xiàn)no的刷卡知識比較多，也有關(guān)于pos刷卡機(jī)來出現(xiàn)no的問題，今天第一pos網(wǎng)(www.yadikedp.com)為大家整理刷卡常見知識，未來的我們終成一代卡神。

本文目錄一覽：

1、pos刷卡機(jī)來出現(xiàn)no

pos刷卡機(jī)來出現(xiàn)no

0x1 事件背景

2022年7月12日早6時(shí)，幣安交易平臺CEO趙長鵬發(fā)推表示，通過威脅情報(bào)在 ETH 區(qū)塊鏈上檢測到 Uniswap V3 潛在漏洞，到目前為止，黑客已經(jīng)竊取了 4295 ETH。并給出了黑客轉(zhuǎn)移資金的相關(guān)地址。

https://etherscan.io/address/0x09b5027ef3a3b7332ee90321e558bad9c4447afa#internaltx

隨后的幾個小時(shí)內(nèi)，多個推特用戶發(fā)文稱此次黑客攻擊中，轉(zhuǎn)出資金的交易并無異常，并表示這是網(wǎng)絡(luò)釣魚攻擊，也就是說漏洞并不是Uniswap本身風(fēng)險(xiǎn)。

隨后趙長鵬再次聲明，通過與Uniswap團(tuán)隊(duì)溝通，Uniswap協(xié)議本身未發(fā)現(xiàn)安全風(fēng)險(xiǎn)，該攻擊事件可能為釣魚攻擊。

0x2 攻擊信息攻擊者地址

0x3cafc86a98b77eedcd3db0ee0ae562d7fe1897a2

0x09b5027ef3a3b7332ee90321e558bad9c4447afa

攻擊者合約（$UniswapLP.com (UniswapLP.com)）

0xCf39B7793512F03f2893C16459fd72E65D2Ed00c

受害者地址

0xecc6b71b294cd4e1baf87e95fb1086b835bb4eba

0x15c853bdafc9132544a10ed222aeab1f239414fe

0xc8c9771b59f9f217e8285889b9cdd7b9ddce0e86

Uniswap V3: Positions NFT

0xc36442b4a4522e871399cd717abdd847ab11fe88

0x3 攻擊分析

1、攻擊者提前部署攻擊合約（$ UniswapLP.com (UniswapLP.com)），注意這里的名稱，里面有的關(guān)鍵信息包含了 UniswapLP 和 UniswapLP.com網(wǎng)址，而該網(wǎng)址仔細(xì)看并不是Uniswap官方網(wǎng)址，訪問之后會發(fā)現(xiàn)官方網(wǎng)站及其相似。

2、通過攻擊合約調(diào)用Uniswap V3: Positions NFT (UNI-V3-POS)合約給受害者地址發(fā)送名為（$ UniswapLP.com (UniswapLP.com)）的資金。這一步在交易信息中顯示如下：

該步驟也是釣魚攻擊的關(guān)鍵，通過發(fā)送名為（$ UniswapLP.com (UniswapLP.com)）的Token資金，會給資金接收者一種錯覺，Uniswap V3發(fā)送了UniswapLP.com給接收者地址，這個時(shí)候攻擊者可能會訪問UniswapLP.com網(wǎng)站，進(jìn)行下一步操作。

3、受害者點(diǎn)擊該網(wǎng)址，將自己的資金授權(quán)給攻擊者事先寫好的地址。

下面來看其中一個受害者的具體操作。

受害者執(zhí)行多次setApprovalForAll授權(quán)。

查看任意一筆交易的詳情

可以明顯看出，受害者調(diào)用Uniswap V3: Positions NFT合約的setApprovalForAll方法，將自己的NFT資產(chǎn)授權(quán)給攻擊者地址。

4、授權(quán)成功后，攻擊者利用授權(quán)賬戶將受害者NFT資產(chǎn)轉(zhuǎn)出。

5、攻擊者通過Uniswap V3: Positions NFT合約將NFT資產(chǎn)轉(zhuǎn)換為ETH。

6、最終攻擊者將獲取的 7500 枚 ETH 轉(zhuǎn)移至 Tornado.Cash 混幣平臺。

0x4 總結(jié)及建議

通過以上事件可以發(fā)現(xiàn)，攻擊者主要利用社工釣魚方式來誘導(dǎo)用戶點(diǎn)擊釣魚網(wǎng)站及授權(quán)自己的NFT，不過與之前大多數(shù)釣魚不同的是，此次釣魚攻擊事件的初始階段是在區(qū)塊鏈瀏覽器展開，通過偽造合約名稱和發(fā)幣來混淆用戶的視線，最終誘導(dǎo)用戶授權(quán)自身NFT資產(chǎn)。

安全建議訪問未明確網(wǎng)站時(shí)，需要仔細(xì)確認(rèn)是否為預(yù)期官方網(wǎng)站；使用網(wǎng)站 mint 功能及其他敏感功能時(shí)，需要注意錢包簽名是否與預(yù)期功能相符，避免簽名 setApprovalForAll 方法；如果發(fā)現(xiàn)已經(jīng)進(jìn)行setApprovalForAll 方法授權(quán)，建議盡快取消授權(quán)及轉(zhuǎn)移該錢包的資金。

以上就是關(guān)于pos刷卡機(jī)來出現(xiàn)no的知識，后面我們會繼續(xù)為大家整理關(guān)于pos刷卡機(jī)來出現(xiàn)no的知識，希望能夠幫助到大家！