SharkTeam丨铸币疑云-FinNexus被攻击事件分析

北京时间5月17日讯，链上期权 协议 FinNexus 疑似被攻击，FNX代币在短时间内在被大量铸造、转出或售出，涉及 BSC 和以太坊超过 3 亿个 FNX 代币（约 700 万美元），有用户反馈项目合约的所有者权限此前被修改，FinNexus 项目方表示目前正在针对该问题进行调查。

SharkTeam第一时间对此事件进行了分析，并总结了安全防范手段，希望后续的区块链项目可以引以为戒，共筑区块链行业的安全防线。

一、事件分析

通过分析以下交易，攻击者通过调用合约中的mint函数进行直接铸币，铸造了超过323M的FNX Token。

通过分析合约中的mint函数源码，发现调用mint函数需要owner账户。

从以上分析可知，发生攻击事件的交易是由FNX的owner账户发起的，因此，最大的可能性是owner账号的私钥已经泄露了或者是被攻击者盗取，由此导致 FinNexus 的代币 FNX 在短时间内在被大量铸造、转出或售出。

二、近期同类型事件

根据整个攻击过程的分析，根本原因在于攻击者窃取了owner账户私钥并进行大额数字资产的铸造和交易。

在之前《黑暗森林中的身份危机：透过Roll被攻击事件看区块链密钥保护的重要性》和《天机泄露-EasyFi密钥泄露事件分析》中，SharkTeam就向大家进行了风险提示并提醒大家进一步重视密钥保护，做好自身安全防护。

攻击画像：窃取用户密钥

第一步：攻击者窃取用户私钥（钓鱼或渗透钱包）

第二步：使用被攻击者账户部署攻击合约，攻击合约是整个自动化攻击的核心。

第三步：使用被攻击者账号进行交易，将所有资产转到攻击合约中。

第四步：攻击合约自动执行，通过Uniswap等去中心化交易所将资产转出，防止项目方启动应急机制锁定被盗资产。

第五步：被盗资产进一步被转移到匿名性更强的混币平台，对抗AML等安全机制。

攻击分为5步，却有极强的目的性，一旦私钥丢失将非常难以进行防范。

三、SharkTeam安全知识课堂

公钥和地址的生成都依赖于私钥，而私钥和助记词时互通的，所以私钥和助记词是黑客窃取的最为核心的目标。而钱包保存了账户地址及其私钥，因此，钱包也是黑客攻击的目标。而私钥通常面临“钓鱼攻击”和“私钥保护不当”等安全风险。

l 钓鱼攻击(Phishing)

所谓“网络钓鱼攻击(Phishing)”，指的是攻击者伪装成可以信任的人或机构，通过电子邮件、通讯软件、社交媒体等网络工具，从而获取收件人的用户名、密码、私钥等私密信息。随着技术的发展，网络钓鱼攻击不仅可以托管各种恶意软件和勒索软件攻击，而且更糟糕的是这些攻击正在呈现不断上升的趋势。

网络钓鱼攻击可以分为两种类型：社会工程和漏洞利用。社会工程是基于欺骗和随后受害者的错误行为，而漏洞利用则是利用漏洞以及软件架构缺陷实施攻击的专业技术。利用网络漏洞以及软件和基础架构的缺陷来实现攻击手段。

l DNS劫持

在此攻击中，攻击者最初会创建恶意访问点，并诱使客户端连接到运行假DNS服务器的访问点。该服务器将特定站点重定向到攻击者的网络钓鱼服务器。

l 会话劫持（cookie劫持）

该攻击基于使用有效会话（有时也称为会话密钥）来获得对计算机系统上信息或服务的未授权访问。特别是，它用于表示用于对远程服务器上的用户进行身份验证的cookie的盗窃。一种流行的方法是使用源路由的IP数据包。IP数据包通过B的计算机，这使得网络上B点的攻击者可以参与A和C之间的对话。攻击者可以在原始路由被禁用的情况下盲目捕获，发送命令但看不到响应来设置允许从网上其他地方访问的密码。攻击者还可以使用嗅探程序“监视” A和C之间的对话。这就是“中间人攻击”。

l 恶意软件

恶意软件被用来在被攻击者计算机上存储凭据并将其发送给攻击者，即发送给钓鱼者。例如，可以通过带有附件doc文件的恶意垃圾邮件来传递威胁，该文档文件包含下载恶意程序的Powershell脚本，然后，恶意程序找到存储的钱包和凭据并将其发送给钓鱼者。

四、安全建议

通过如上的分析可以看出，虽然不同于传统互联网的账号密码体系，但区块链账户同样面临私钥被盗的风险，由于通常私钥与数字资产紧密相关，其安全风险更高。保护私钥安全，既是用户的责任也是项目方的责任。

• 用户应提高私钥保护意识，对访问的网页或下载安装的钱包提高警惕，防止被钓鱼攻击。

• 项目方应以用户资产安全为核心，做好热钱包、冷钱包、系统服务、智能合约等相关模块的风险评估和安全审计，确保系统本身安全。

• 制定AML和应急方案，提高对抗黑客攻击的风险防范能力。

• 底层链平台可采用分组密码、环签名等技术，从区块链底层提高账户安全保护能力。

五、SharkTeam智能合约审计

智能合约安全关系用户的财产安全，至关重要！区块链项目开发者应与专业的安全审计公司合作，为用户的数字资产安全和项目本身安全提供保障。

SharkTeam 作为 领先的区块链安全服务团队，为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成，满足不同客户需求，独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面111项审计内容，全面保障智能合约安全。

SharkTeam为客户提供高级别的区块链安全服务，区块链安全专家团队7*24小时为智能合约提供全生命周期的安全保障，服务包括：VIP安全审计服务、VIP合规审计服务、安全事故应急响应等。

SharkTeam也提供自动化审计工具，自动化审计以云服务的方式为用户提供服务。运用符号执行、形式化验证等智能合约分析技术，满足开发者智能合约日常审计需求。

来源：SharkTeam