全世界最大的加密貨幣交易所幣安在昨天中了俗稱為 ZeroTransfer 的釣魚攻擊,向錯誤的
地址轉了 2000 萬美金的 USDT,大約是台幣 6 億元
先來解釋一下什麼是 ZeroTransfer,在轉帳加密貨幣的時候,一般來說你只能從自己的帳
號轉給其他人,畢竟你沒有其他帳號的私鑰或是權限嘛,合理
但如果你想轉的是 0 元呢?答案是「你可以用任何人的帳號轉帳」,我可以用小明的帳號
轉 0 元給小華,也可以用小華的帳號轉 0 元給我,這些都是合法而且被允許的操作
只是這樣做有什麼好處?小明跟小華的餘額不會有任何影響,而交易手續費要我來付,這種
虧本生意到底誰得利了?
這就要談到區塊鏈的帳號了,鏈上的帳號(地址)都是很長一串,像這樣:0xa7B4BAC8f0f9
692e56750aEFB5f6cB5516E90570
所以在介面上顯示的時候,因為長度的關係可能只會顯示 0xa7B.....0570 這樣前後幾碼而
已,中間都用 ... 來代替。雖然說地址都是隨機產生的,要產生的相同的地址幾乎是不可
能,但如果只是前面跟後面幾位數相同的話,只要多花一些時間就可以產出來
舉例來說,我可以產出這個地址:0xa7Bf48749D2E4aA29e3209879956b9bAa9E90570
有沒有注意到前後幾位數都一樣?因此這個地址在介面上顯示時,也會顯示 0xa7B....0570
,跟前面的地址是一模一樣的
前面我們有提到可以用任意帳號轉 0 元給其他人,雖然是 0 元,但它也是一筆交易,因此
會在錢包的交易紀錄中顯示出來,而 ZeroTransfer 就是結合了這個外加剛剛講的地址顯示
,我用幣安的錢包轉帳給一個精心偽造的地址,轉了超多筆交易,這些交易就會顯示在紀錄
中
而幣安在轉帳的時候如果沒有注意到這件事,直接從交易紀錄中複製以前轉過的地址貼上,
這筆交易的錢就會轉到我的釣魚帳號裡面了,這就是 ZeroTrasnfer 攻擊,是相對來說比較
新的攻擊方式
而幣安就是中了這個攻擊,直接把 2000 萬美金轉到一個釣魚帳號去了,不過轉完之後有立
刻發覺,因此通知 USDT 凍結帳戶。不過身為一個有看過交易所裡面各個內控規範的人,還
是覺得會發生這種事很扯... 我以為這些內部轉帳都會經過層層驗證,有幾個 approver
確認地址跟錢都沒問題之類的,或是這些地址應該早就輸入在系統內,你只是從選單選擇而
已,不需要自己複製,不過看起來可能沒這回事,或是根本不夠嚴謹
這件事情從技術上的角度來看也很有趣,如果單看「用別人的帳號向其他人轉帳 0 元」
的話,雖然奇怪但不會覺得有任何傷害,我幫其他人轉 0 元然後自己還要付手續費,誰會
做這種事?
但是結合地址在 UI 上的呈現以及使用者的操作習慣(直接複製以前的地址,懶得重新輸
入),就可以變成一個創新且特殊的釣魚攻擊,