Encontramos um novo tipo de método de phishing que está se tornando popular. Em vez de implantar contratos de phishing (que poderiam ser identificados por fornecedores de segurança), os golpistas estão abusando de alguns contratos legítimos para realizar o ataque.
Neste blog, mostraremos a maneira como os golpistas agem e forneceremos sugestões de como evitar ser vítima de phishing.
Visão Geral
Normalmente, os golpistas implantam contratos de phishing para roubar tokens das vítimas. Especificamente, seus contratos de phishing contêm funções payable e multi-call suspeitas. Usuários que visitam sites de phishing enviam ETH ou aprovam tokens para esses contratos. No entanto, fornecedores de segurança e carteiras podem detectar e sinalizar esses contratos de phishing, levando à proibição de transações direcionadas a eles.
No entanto, descobrimos que os golpistas abusam de contratos legítimos implantados por projetos Web3 respeitáveis para seus fins de phishing. E esses contratos legítimos não podem ser rotulados como phishing e bloqueados. Chamamos isso de "ROP" em sites de phishing Web3, pois eles NÃO implantam novos contratos, mas reutilizam contratos existentes e legítimos para phishing. Isso é semelhante ao ataque ROP (ou ataque de reutilização de código) nas áreas tradicionais de segurança de software.
Especificamente, a programação orientada a retorno (ROP) é uma técnica de exploração de segurança computacional que permite a um atacante utilizar trechos de código em bibliotecas existentes. No phishing Web3, "ROP" refere-se ao aproveitamento de contratos implantados por projetos legítimos para fins fraudulentos. Este fenômeno foi reportado pela primeira vez pela conta do Twitter @MevRefund em uma publicação.
Como Funcionam os Contratos Tradicionais de Phishing Web3
Nas fases iniciais do Phishing Web3, os golpistas configuravam uma Conta de Propriedade Externa (EOA) e atraíam usuários para transferir ETH ou aprovar outros tokens para essa conta. No entanto, esse comportamento agora é facilmente detectado por carteiras e descoberto pelos usuários. Como resultado, os golpistas passaram a implantar contratos de phishing. Para phishing de ETH, os golpistas tipicamente empregam uma função payable com nomes suspeitos como 'Claim' ou 'Security Update.' Esses nomes de funções atraentes levam os usuários a assinar transações de phishing e transferir ETH.
Para phishing de tokens ERC20 e ERC721, os golpistas atraem usuários para aprovar seus tokens ao contrato de phishing. Subsequentemente, a função Multicall nos contratos de phishing é invocada para transferir os tokens dos usuários. Em particular, a função Multicall é projetada para executar múltiplas transações internas específicas em uma única chamada. Diferentes esquemas de phishing, como compra NFT de ordem zero, phishing de aprovação ERC20 ou phishing de permissão ERC20, utilizam diferentes transações de phishing. Isso permite que configurem os parâmetros da transação e aproveitem o Multicall para lançar transações de phishing específicas com base nos esquemas de phishing correspondentes.
Atualmente, muitas carteiras Web3 populares construíram suas listas negras de contas de phishing. Elas informam ativamente os usuários e impedem transações direcionadas a essas contas fraudulentas.
"ROP" no Phishing Web3
Para contornar os mecanismos de lista negra de contas de phishing, os golpistas recorrem a algumas contas que não podem ser adicionadas à lista negra. Especificamente, eles abusam de contratos Multicall implantados por projetos legítimos, aproveitando sua funcionalidade para executar transações complexas. Dado que esses contratos legítimos não podem ser rotulados como contas de phishing, os golpistas induzem os usuários a aprovar tokens para esses contratos. Como esses contratos legítimos podem ser invocados por qualquer pessoa (sem controle de acesso), os golpistas podem imediatamente utilizá-los para transferir os tokens dos usuários. A figura a seguir mostra todo o processo.
Por exemplo, o Angel Drainer, uma conhecida organização criminosa de phishing, aproveitou o Uniswap V3: Multicall 2 para lançar 89 transações de phishing. Note que o contrato multi-call legítimo não foi projetado para guardar quaisquer ativos. Portanto, é aceitável que qualquer pessoa o invoque em seu design. No entanto, o golpista abusou desse contrato para realizar o ataque de phishing sem implantar seus próprios contratos de phishing.
Sugestões
Incentivamos os usuários a serem cautelosos e examinarem cuidadosamente os detalhes das transações antes de prosseguir com qualquer ação, especialmente as transações de aprovação. Sempre verifique suas aprovações e revogue quaisquer que sejam suspeitas.
