Honeypot 攻擊在過去一週內增長 6 倍，瞄準初到去中心化世界的新新人類

作者：GoPlus Security

受FTX事件影響，近期大量用戶將數字資產從中心化交易所向去中心化錢包轉移，導致鏈上活躍用戶激增，DEX用戶數及交易量均達到六個月內高點。

同時活躍的還有Honeypot攻擊者。截至2022年11月21日，GoPlus Security近一周監測到的新增攻擊方式超過120種，攻擊次數增長6倍。這些數據表明，近期鏈上用戶數量增長的同時，攻擊者也更加活躍。初到去中心化"黑暗森林"的新增用戶對陌生環境的安全意識、攻擊手段缺乏認知，被攻擊者屢屢得手。

GoPlus Security對Honeypot新增攻擊方式的分析表明，隨著資產發行合約攻防的加劇，攻擊方式愈加呈現複雜化和動態化的趨勢，我們梳理了幾種常用的攻擊方式：

混淆代碼

透過降低代碼可讀性，增加無效邏輯或混亂的調用關係，透過複雜的實現邏輯，增加安全引擎的分析難度。

偽造知名合約

把攻擊合約偽造成知名項目的合約，透過偽造合約名稱、偽造合約實現過程，誤導引擎，增加誤判概率。

隱蔽的觸發方式

把觸發條件隱藏在用戶交易行為裡，交易行為再做複雜化處理，往往透過嵌套幾層判斷條件，才觸發交易中斷、增發或轉移等風險行為，達到即時修改合約狀態，盜取用戶資產的目的。

偽造交易數據

為了讓交易看起來更真實，攻擊者還會隨機觸發空投、對敲等行為，這樣一是可以引誘更多用戶上鉤，二是可以讓交易行為看起來更自然。

代碼示例

此示例中攻擊者使用多種方式掩蓋自己的攻擊意圖，最終達到兩個主要目標：

交易暫停

241 行返回的 lpTotalSupply 不能減少，否則不滿足 245行的 require 判斷導致交易失敗，達到交易暫停的目的。

_uniswapV2Pair不一定是 Uniswap Pair 合約，也有可能是項方自己部署的其他實現了 totalSupply 方法的合約，只要這個方法的返回值小於上次交易的值（removeLiquidity 或者其他方式改這個值），就能暫停交易。

先增發再轉帳

滿足257行的判斷條件 from 為特定地址，並且 amount 大於 totalSupply，則會憑空給 from增加大於 totalSupply 的餘額，實現先增發再轉帳的效果。

GoPlus Security提醒用戶，Honeypot攻擊往往還會設計前置場景，比如透過錢包空投、在行情網站上線交易數據，或在社群散布虛假信息、碰瓷知名項目等方式引導用戶上鉤。市場恐慌情緒甚囂塵上、假信息橫飛、用戶操作變形等都會給攻擊者更多可趁之機。GoPlus Security會實時關注攻擊者動向，並對新型攻擊方式進行及時播報。

GoPlus Security API 提供實時、準確的Honeypot識別。用戶可以在 GoPlus 合作夥伴的產品中使用安全檢測功能，調取 GoPlus 實時更新的安全數據，規避風險。

去中心化錢包：

TokenPocket--- 內置Token安全檢測及授權合約安全檢測功能。

ONTO Wallet--- 內置Token安全檢測功能。

HyperPay --- 內置Token安全檢測功能。

BitKeep--- 內置Token安全檢測功能。

插件錢包：

Mask Network --- 可查詢Token及NFT的安全信息，同時具備授權合約安全檢測功能。

行情軟體：

AVE --- 可查詢Token的安全信息。

ApeSpace --- 可查詢Token的安全信息。

瀏覽器：

GoPlusEco --- 可直接輸入安全相關問題，搜索解決方案。