本文 Hash ( SHA1 ): 9 d 28 ef 4 e 6 e 45 c 21121 d 4 e 6 fc 0 ef 7 c 011 f 4826 3d 8
編號: 鏈源科技PandaLY Security Knowledge No.025
區塊鏈技術作為數位經濟的核心驅動力,正推動全球金融和資料安全領域的革命。然而,去中心化和匿名性的特性也吸引了網路犯罪分子的目光,催生了一系列針對加密資產的攻擊事件。駭客永不眠,那些匯集資金的地方永遠是駭客的目標,根據各種區塊鏈分析和安全公司提供的數據,從 2020 年到 2024 年,Web3相關的駭客攻擊造成的損失已超過 30 億美元。我們鏈源安全團隊將深入剖析幾大著名的區塊鏈駭客團夥及其知名案例,揭示他們的作案手段,並提供個人防範駭客攻擊的實用策略。
知名駭客團體手法以及竊盜案例
北韓駭客 Lazarus Group
背景:
根據維基百科的資料,Lazarus Group 成立於2007 年,隸屬於北韓人民軍總參謀部偵察總局旗下的110 號研究中心,專門從事網路戰。該組織分為兩個部門:第一個部門被稱為BlueNorOff(又稱APT 38),約有1700 名成員,主要透過偽造SWIFT 訂單進行非法轉賬,專注於利用網路漏洞獲取經濟利益或控制系統實施金融網路犯罪,目標主要是金融機構和加密貨幣交易所。第二部門是AndAriel,約有1600 名成員,主要針對韓國進行攻擊。
作案手法:
Lazarus 早期主要透過殭屍網路進行DDoS 攻擊,而如今它們的攻擊手段已轉向魚叉攻擊、水坑攻擊、供應鏈攻擊等,並針對不同目標實施定向的社會工程學攻擊。 Lazarus 採用郵件中的魚叉攻擊和網站水坑攻擊來實現入侵,並可能利用系統破壞或勒索應用乾擾事件的分析,此外,還會利用SMB 協議漏洞或相關蠕蟲工具進行橫向移動和載荷投放,甚至針對銀行SWIFT 系統實施攻擊以實現資金竊取。其技術特徵包括使用多種加密演算法(如RC 4、AES、Spritz)以及自訂字元變換演算法,偽裝TLS 協定透過SNI record 中的白域名來繞過IDS,也使用IRC 和HTTP 協定。
此外,Lazarus 透過破壞MBR、分割表或向磁區寫入垃圾資料來損壞系統,並使用自刪除腳本來隱藏攻擊痕跡。其攻擊手段包括將木馬程式作為電子郵件附件進行魚叉攻擊,透過惡意文件和巨集實現入侵;在水坑攻擊中,Lazarus 分析目標的上網活動,攻擊其常訪問的網站並植入惡意程式碼,大規模盜取資金;在社工攻擊中,透過偽裝招募加密貨幣工作人員或網路安全人員來取得憑證,從而實施攻擊。 Lazarus 的武器庫包含大量自訂工具,顯示背後有規模較大的開發團隊,其攻擊能力和工具包括DDoS botnets、keyloggers、RATs、wiper malware,使用的惡意程式碼如Destover、Duuzer 和Hangman 等。
案列:
2017 年Bangladesh Bank 劫案
Lazarus 駭客小組透過攻擊SWIFT 系統,盜取了8,100 萬美元的資金。雖然這個事件主要涉及傳統銀行系統,但其影響也波及到區塊鏈領域,因為駭客透過這種方式獲得的資金常用於購買加密貨幣進行洗錢。
2020 年KuCoin 駭客事件
2020 年9 月,KuCoin 交易所遭遇大規模駭客攻擊,損失金額高達2 億美元。儘管直接責任未完全確認,但分析師認為與Lazarus 相關。駭客利用合約漏洞和系統弱點,竊取了大量加密貨幣,並試圖透過多個管道轉移和洗錢。
2021 年Ronin 網路攻擊
Ronin 是Axie Infinity 遊戲的區塊鏈網絡,在2021 年3 月遭到攻擊,損失超過6 億美元。駭客透過攻擊開發者的節點和系統漏洞實施了攻擊。雖然直接責任尚未確認,但許多分析師將其與Lazarus 或其他國家支持的駭客組織聯繫起來。
2022 年Harmony 網路攻擊
Harmony 區塊鏈的跨鏈橋在2022 年6 月遭到攻擊,損失約1 億美元。這次攻擊顯示了區塊鏈跨鏈橋的安全漏洞,儘管攻擊者身份未明確,但一些專家將其與北韓駭客組織的策略相聯繫,認為他們可能透過類似手法實施了攻擊。
Drainer 犯罪集團
區塊鏈中的「drainer」通常指一種惡意智能合約或腳本,其目的是透過欺詐手段從用戶的加密錢包或帳戶中竊取資金。這類攻擊通常發生在使用者與假冒或被入侵的去中心化應用程式(dApp)或網站互動時,使用者可能會在不知情的情況下授權該惡意合約對其資金的控制權限,比較知名的drainer 犯罪團夥有以下:
背景:
Inferno Drainer ,是最受歡迎的加密錢包詐騙工具之一,它是一個「釣魚即服務」(Phishing-as-a-Service,PaaS)的平台,專門為詐騙者提供即用型的網路釣魚工具,透過這些平台,攻擊者可以輕鬆地創建偽裝成合法去中心化應用程式(dApp)的釣魚網站,從而竊取使用者的加密資產。根據Web3 安全公司Blockaid 數據,截至2024 年7 月,使用Inferno Drainer 的DApp 數量已增加至40, 000 個。使用該工具的新惡意DApp 數量增加了三倍,使用量上升 300%
作案手法:
該團體透過電報頻道推廣其服務,以「詐騙即服務」的模式運營,由開發者提供釣魚網站給詐騙分子,幫助他們實施詐騙活動。當受害者掃描釣魚網站上的二維碼並連接他們的錢包時,Inferno Drainer 會自動檢查並定位錢包中最有價值且易於轉移的資產,並發起惡意交易。一旦受害者確認交易,資產就會轉移到犯罪分子的帳戶。被竊資產中, 20% 會分給Inferno Drainer 的開發者,其餘80% 則歸詐騙分子所有。
他們主要瞄準那些與加密貨幣相關的用戶和平台,如去中心化金融(DeFi)應用程式、NFT 市場、加密錢包等。利用社會工程學手段,如假冒官方公告或空投活動,透過偽裝成合法的應用或服務,誘導用戶授權存取他們的錢包,從而盜取資金。這種工具的出現大大降低了實施網路詐騙的門檻,導致相關詐騙活動增加。
案列:
OpenSea 釣魚攻擊
駭客利用Inferno Drainer 平台針對OpenSea 用戶實施釣魚攻擊。 OpenSea 是一個流行的NFT 市場,許多用戶的加密錢包與其帳戶相關聯。攻擊者創建了一個偽裝成OpenSea 網站的釣魚頁面,並透過電子郵件和社群媒體廣告吸引用戶造訪。當用戶在該頁面上連接錢包並進行交易授權時,Inferno Drainer 會自動發起惡意交易,將用戶錢包中的NFT 和加密貨幣轉移到駭客控制的位址。這次攻擊導致數十位用戶損失了他們的珍貴NFT 及大量以太坊,總損失金額達數百萬美元。
Uniswap 釣魚攻擊
Uniswap 是去中心化金融(DeFi)領域最受歡迎的去中心化交易所之一。 Inferno Drainer 被用於偽裝成Uniswap 的釣魚攻擊。攻擊者創建了一個偽造的Uniswap 網站,並透過Google廣告、社群媒體連結等手段引導用戶造訪。受害者在該網站上授權惡意合約後,Inferno Drainer 會迅速掃描他們的帳戶,並發起一筆轉移代幣的交易,以竊取用戶的資產。多名用戶在此攻擊中損失了大量代幣和穩定幣,總價值達數十萬至數百萬美元不等。
黑客團體常用的攻擊手段形式大同小異
釣魚攻擊(Phishing)
駭客偽裝成可信賴的機構或個人,誘騙受害者點擊惡意連結或洩漏私鑰,從而獲取其加密資產。例如,Lazarus Group 就曾透過偽造政府官員身份,發動精準釣魚攻擊,成功竊取了加密貨幣交易所的巨額資金。
惡意軟體(Malware)
駭客利用惡意軟體感染受害者的設備,從而竊取其加密貨幣或取得設備的遠端控制權。 FIN 6 常使用客製化惡意軟體,專門針對金融機構和加密貨幣交易所進行攻擊。
智能合約漏洞利用
駭客透過識別和利用智能合約中的漏洞,非法轉移或竊取資金。由於智能合約一旦部署在區塊鏈上,其程式碼不可更改,因此漏洞的危害可能極為嚴重。
51% 攻擊
駭客透過掌控區塊鏈網路中超過 50% 的算力,進行雙花攻擊或篡改交易記錄。此類攻擊尤其針對小型或新興區塊鏈網絡,因其算力相對集中,容易被惡意操縱。
個人客戶的防範措施
加強安全意識
隨時保持警惕,不隨意點擊陌生連結或下載不明來源的軟體。特別是在涉及加密貨幣的操作中,更需謹慎,以免落入陷阱。
啟用雙重認證
對所有加密貨幣帳戶啟用雙重認證(2FA),為帳戶增加額外的安全防護層,防止未經授權的登入。
使用硬體錢包
將大部分加密貨幣儲存在硬體錢包中,而非線上錢包或交易所。這種離線儲存方式能夠有效降低被駭客遠端攻擊的風險。
審查智能合約
在與智能合約互動前,盡量了解合約代碼或選擇經過專業審核的合約,避免與未經驗證的智能合約互動,降低資金被盜的風險。
定期更新設備和軟體
確保所有使用的設備和相關軟體處於最新版本,定期進行安全性更新,以防止因舊漏洞而被攻擊。
結語
在區塊鏈領域,安全始終是至關重要的議題。了解並識別著名駭客團夥,工具,以及其作案手段,結合有效的個人防範措施,可以大大降低成為攻擊目標的風險。隨著技術的不斷發展,駭客手段也在升級,鏈源安全團隊建議使用者需要不斷提升自身的安全意識,時時保持警惕,才能在這個快速變化的數位時代中立於不敗之地。
鏈源科技是一家專注於區塊鏈安全的公司。我們的核心工作包括區塊鏈安全研究、鏈上資料分析,以及資產和合約漏洞救援,已成功為個人和機構追回多起被盜數位資產。同時,我們致力於為產業機構提供專案安全分析報告、鏈上溯源和技術諮詢/支援服務。
感謝各位的閱讀,我們將持續專注分享區塊鏈安全內容。
