曲速未來 :智能合約中最少的廣告費最精準的廣告推送案例分析區(qū)塊鏈
區(qū)塊鏈安全咨詢公司曲速未來消息:就在前幾天,許多以太坊錢包賬戶都收到了一種名為blockwell.aiKYCCasperToken代幣轉(zhuǎn)進/出賬消息。
事由
區(qū)塊鏈安全咨詢公司 曲速未來 消息:就在前幾天,許多以太坊錢包賬戶都收到了一種名為blockwell.ai KYC Casper Token代幣轉(zhuǎn)進/出賬消息:
令人奇怪的是這些賬號均表示之前對這個Token的“一無所知”,當這些收到消息用戶并沒有真正收到提示的那100個代幣,而那些提示有100代幣轉(zhuǎn)出的用戶在之前也并沒有擁有過這種代幣,這一切都顯得“莫名其妙”!更加讓一部分人奇怪和擔心的是,這些“轉(zhuǎn)進/出賬”的操作,都不需要錢包擁有者的的任何密碼私鑰輸入,于是很多不明真相的用戶擔心自己的錢包是不是被人惡意攻擊 ...
事件跟蹤
首先從blockwell.ai KYC Casper Token看
交易頁面,看到的交易記錄都是轉(zhuǎn)出100代幣的記錄,沒有任何轉(zhuǎn)入記錄。
再看看實際轉(zhuǎn)賬到賬戶的交易信息
可以看到通過調(diào)用這個合約,發(fā)起了一筆代幣轉(zhuǎn)賬,在event logs里可以看到實際的交易
然后具體的交易地址為
整筆交易花費了244w的gas,價值2.28美元,有針對的從500個用戶轉(zhuǎn)賬給了500個用戶。
繼續(xù)跟蹤到轉(zhuǎn)賬的from地址:
正如文章開頭提到的那樣:所有的來源賬戶本身都是不持有這種代幣的,跟蹤一下也可以發(fā)現(xiàn),無論是發(fā)起交易者還是接受交易者,都沒有發(fā)生實際代幣的變化。
但是這些交易記錄確實被保存在鏈上,那么這個事件的核心問題就在于:“這些記錄是怎么被產(chǎn)生并記錄的?”
事件原理
我們從合約分析入手
不出所料,這種事件型的合約代碼并不會直接給你開放源代碼,通過利用智能合約的逆向工具,反編譯后得到如下部分代碼:
部分源碼如下:
從代碼中可以很明顯的看到一個特殊的函數(shù)x_975ef7df,這是唯一一個涉及到數(shù)組操作,且會觸發(fā)Tranfser事件的函數(shù)。
從代碼中可以很清晰的看到, 在對地址列表的循環(huán)中,只觸發(fā)了Transfer事件,沒有任何其余的操作。
都知道遵守以太坊ERC20標準的合約代幣才會被承認為ERC20代幣,ERC20代幣會直接被交易所承認。而在ERC20標準中規(guī)定,transfer函數(shù)必須觸發(fā)Transfer事件,事件會被記錄在event log中,是不是說明平臺和交易所在獲取ERC20代幣交易信息,是通過event log事件獲取的呢?我們來測試一下。
事件復(fù)現(xiàn)
測試合約地址
這里需要強調(diào)的是:轉(zhuǎn)出/入賬的地址都是可以自定義的,這也就是為什么所有的來源賬戶本身都是不持有這種代幣的原因。
然后直接發(fā)起交易
然后就會提示了消息,注意收到的消息了包含在代碼里symbol=“RMB”的值
回看余額可以發(fā)現(xiàn)沒有實際轉(zhuǎn)賬誕生。
事件目的
通過上面分析,可以發(fā)現(xiàn)整個事件最后只說了一件事情就是偽照了大量的虛假交易記錄,并沒有其他“實質(zhì)”性的惡意操作,那么這個事件的目的是什么呢?
就來回顧一下整個事件的流程:
創(chuàng)建一個token ---> 偽造交易記錄 ---> 錢包或交易平臺獲取交易記錄 ---> 推送給用戶
如果能找到自定義的消息,那么這是一條完美的消息推廣鏈!!這個事件的始作俑者非常聰明的利用了token名這個自定義輸入點:blockwell.ai KYC Casper Token,blockwell.ai這個就是本次事件的主要目的,牛皮癬小廣告推廣這個網(wǎng)站。
看你有的人會說如果只是用來做廣告推廣的話,完全可以使用代幣的真實轉(zhuǎn)賬記錄來推廣,而不是利用偽造交易記錄。這里需要提醒大家的是“廣告費”的問題,這個“廣告費”也就是合約操作里的gas消耗,偽造交易記錄只需要Transfer操作的gas可以大大節(jié)省這個“廣告費”,本次事件整個過程的話費的“廣告費”約2.28美元的gas,就實現(xiàn)了對1000個用戶有針對的推送了精準廣告。
做個小解釋:Gas 是什么?
Gas翻譯成中文就是“燃氣”,是以太坊世界的燃料,它決定了以太坊網(wǎng)絡(luò)生態(tài)系統(tǒng)的正常運行。
Gas用來衡量執(zhí)行某些動作需要多少“工作量”,這些“工作量”就是為了執(zhí)行該動作支付給網(wǎng)絡(luò)的費用額。通俗理解,Gas 是給礦工的傭金,并以 ETH 支付,無論是交易、執(zhí)行智能合約并啟動 DApps,還是支付數(shù)據(jù)存儲費用,都需要用到 Gas。
總結(jié)
區(qū)塊鏈安全咨詢公司 曲速未來 表示:結(jié)合以往的各種事件,相比于區(qū)塊鏈的各種應(yīng)用場景里,在“惡意”攻擊或者利用的層面,攻擊者們都表現(xiàn)出了驚人的“小點子”,本次事件利用了“交易所平臺卻盲目信任符合ERC20標準的合約”的特點,使用了以太坊平臺本身實現(xiàn)的“bug”,達到了最少的“廣告費”實現(xiàn)了精準的用戶廣告的推送。
還有另外一個值得大家關(guān)注的點就是被用來做消息推送的點是可以自定義的,那么是非常值得思考一下可能導(dǎo)致的風險:比如推送釣魚網(wǎng)站信息,推送其他非法類型的小廣告及言論,都是會導(dǎo)致錢包等平臺應(yīng)用方的用戶有著不可以預(yù)期的風險!在這里 曲速未來 也提醒各大錢包、交易所等平臺警惕此類風險,必要時針對這些可自定義點進行相關(guān)識別及過濾。
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會明確標注作者和來源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請轉(zhuǎn)載時務(wù)必注明文章作者和"來源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為TMT觀察網(wǎng)或?qū)⒆肪控熑危?br>
3.作者投稿可能會經(jīng)TMT觀察網(wǎng)編輯修改或補充。
