李鬼,出自古典名著 《水浒传》 第四十三回,冒用“江湖上有名目,提起好汉大名,神鬼也怕”的黑旋风李逵名号,拦路抢劫,索要李逵买路钱。后遇到李逵,被杀。
01
故事起因
语音应该是EOS用户最近最关心的重量级应用。虽然测试版不能对美国以外的人开放,但是当你关注语音的时候,就有人开始考虑你的资产了,很快就会到来。
2月13日晚,距离公测开始还有一段时间。突然,一个朋友告诉我,语音发了一个令牌。你知道吗?我说什么了(看起来很蠢)!因为我清楚地记得我们在时事通讯中说过的话:用户在测试期间收到了Voice代币是不可转让的,之后会进行重置,但会有额外的奖励。此外,Token在测试网络上发布。所以我决定看看这个发行账户有什么猫腻。
02
整理线索
先看合同地址:eosvoicebeta,使用合同创建账户(增强匿名性);账号整齐的格式有点离谱,感觉外国人不能这样“命名”。继续看eospark浏览器里的账号编辑栏(下图),还是很整齐的,还配有语音图标,挺“有心”的。
在介绍里看到一个网址,https://eos-voice.io。和印象中有什么不同?如果你想了解Voice购买域名可是花费了3000w美元,请打开看看:
(假李鬼)
熟悉的配色,熟悉的预览,熟悉的底部通知,那么你发现有什么不同吗?让我们看看https://www.voice.com皇家李悝jy的网站是什么样子的:
(真李悝jy)
看起来像两种不同时态的官网(旧版本和新版本),所以我们来看看两个域名的服务器位置:
(假李鬼)
(真李悝jy)
“李鬼”的地址也用了“心脏”,直接用了得克萨斯州达拉斯的服务器(让我想起了达拉斯小牛队,不过已经改名了),我就不问是哪个运营商了。
在“李鬼”的网站右上角,有一个认领语音的入口,这是正版网站上没有的。我们来对比一下:
(真假对比)
在正版网站中,有一个专门为测试版用户提供的登录入口,另一个入口是申请测试版的入口。我们知道平时遇到的Claim命令都是执行如Airgrab糖果的抓取等,但是当你遇到恶意的代码时,你执行的就是很有可能是自己授权把钱包控制权主动交给了对方(既完成了权限的修改)。.
03
突发事件
这时,发生了一件事。
首先,我看到开发者社区有人提醒我要警惕这个语音令牌对应的链接。如果你通过Claim执行恶意命令,你会失去对钱包的控制,已经有人上当了!
(发现李鬼)
/p>没过多久,我们的客服也遇到了另一位用户反馈了同样的问题:
(惨遭中招)
ps:出于使用习惯与安全原因,桌面版钱包默认将权限变更加入防火墙(需密码解除),在未解除防火墙功能的情况下,都无法执行权限变更操作,对账号的安全有一个很好的保障。
04
深入“虎穴”
那么我们就来实际执行一下,会会这个恶意代码,防止让更多的人深受其害。为了防止EOS账号私钥被修改,我特地设置了多签账号(多签名账号,需要多人授权权重≥阈值方可执行),目的就是为了能比较深入了完成一次完整的Claim操作。下面看具体操作:
1、准备多签账号,防止恶意权限执行成功。
(准备多签账号)
2、打开“李鬼”网站并执行Claim,比较尴尬的是,我准备的账号白费了,因为账号没EOS资产(没资产就没有兑换代币的权利)。更换一个有资产账号后发现DApp浏览器打开后无法点击执行Claim命令(这个也是好事儿,最起码使用移动端操作的用户不会入坑),可能是还没有“优化”好的样子。
(无资产无获取权限)
3、既然移动端测试的方式走不通,那么就直接通过上面被坑的账号看下链上信息发生了什么吧。
(权限惨遭修改)
05
经验总结
经过测试发现,这是一个非常聪明的“钓鱼网站”,你持有的EOS越多就可以得到越多的假的voice代币(没钱都不带你玩儿),在你Claim的时候就把账号归为己有,而且还非常“贴心”帮你抵押资源来完成权限变更的操作。唯一值得庆幸的是该代币没有被钱包收录(意味着看不到代币显示在资产列表中)、自带的DApp浏览器不能执行Claim;当然了,即使可以执行,TP钱包自带恶意代码防火墙功能,遇到获取高级权限的时候会有明显的提示,以警示用户进行排查。在这里提示广大用户,不要随意执行不明来源的代码,保护自己的资产安全,备份好私钥并妥善保管,避免悲剧发生。
(恶意代码防火墙)
