什么是加密货币蜜罐?为何使用它?
在以太坊等现代区块链上,智能合约程序可在去中心化节点网络中执行。智能合约日益普及且价值提升,使其成为更具吸引力的攻击目标。近年来,多个智能合约已成为黑客的目标。
然而,一种新趋势似乎正在兴起:攻击者不再寻找易受攻击的合约,而是采取更主动的策略。他们旨在通过发送看似存在漏洞但内含隐藏陷阱的合约,诱骗受害者落入陷阱。这种特殊类型的合约被称为蜜罐。但加密货币蜜罐陷阱究竟是什么?
蜜罐是看似存在设计缺陷的智能合约,该缺陷允许任意用户在向合约发送特定数量的以太币后,从合约中抽走以太币(以太坊原生货币)。然而,当用户试图利用这个明显漏洞时,一个隐藏的后门会打开,阻止以太币被抽走。那么,蜜罐的作用是什么?
其目的是让用户完全关注可见的弱点,而忽略合约存在第二个漏洞的任何迹象。蜜罐攻击之所以有效,是因为人们常常容易受骗,正如其他类型的欺诈一样。因此,人们在贪婪和假设面前,往往无法量化风险。那么,蜜罐是否非法?
蜜罐骗局如何运作?
在蜜罐等加密网络攻击中,用户的资金将被锁定,只有蜜罐创建者(攻击者)才能取回它们。蜜罐通常分三个阶段运作:
在以太坊智能合约中设置蜜罐,攻击者无需任何特殊技能。实际上,攻击者具备与普通以太坊用户相同的技能。他们只需资金来设置智能合约并设置诱饵。通常,蜜罐操作由一台计算机、程序和数据组成,这些数据模拟可能对攻击者有吸引力的真实系统行为,例如物联网设备、银行系统或公共事业或交通网络。
尽管它看起来像是网络的一部分,但它是隔离的并受到监控。由于合法用户没有动机访问蜜罐,所有与之通信的尝试都被视为恶意。蜜罐通常部署在网络的非军事区(DMZ)。此策略将其与主要生产网络分离,同时保持连接。DMZ中的蜜罐可以在攻击者访问时从远处进行监控,从而降低主网络被入侵的风险。
为了检测试图渗透内部网络的尝试,蜜罐可以放置在面向互联网的外部防火墙之外。蜜罐的实际位置取决于其复杂程度、它希望吸引的流量类型以及它与关键业务资源的接近程度。无论放置在何处,它始终与生产环境隔离。
记录和查看蜜罐活动可以深入了解网络基础设施面临的威胁程度和类型,同时转移攻击者对真实资产的注意力。蜜罐可能被网络犯罪分子接管并用于攻击设置它们的公司。网络犯罪分子还利用蜜罐获取有关研究人员或组织的信息,作为诱饵并传播错误信息。
蜜罐通常托管在虚拟机上。例如,如果蜜罐被恶意软件感染,可以快速恢复。例如,蜜网由网络上的两个或多个蜜罐组成,而蜜场是蜜罐和分析工具的集中集合。
开源和商业解决方案都可以帮助蜜罐的部署和管理。有单独销售的蜜罐系统,也有与其他安全软件结合并作为欺骗技术宣传的蜜罐。GitHub上可以找到蜜罐软件,这可以帮助新手学习如何使用蜜罐。
蜜罐的类型
根据智能合约的设计和部署,蜜罐有两种类型:研究型蜜罐和生产型蜜罐。研究型蜜罐收集有关攻击的信息,用于分析野外的恶意行为。
通过观察您的环境和外部世界,它们获取有关攻击者倾向、漏洞和对手当前针对的恶意软件变种的信息。这些信息可以帮助您决定预防性防御、补丁优先级和未来投资。
另一方面,生产型蜜罐旨在检测活跃的网络渗透并欺骗攻击者。蜜罐提供额外的监控机会,并填补识别网络扫描和横向移动方面的常见检测空白;因此,获取数据仍然是首要职责。
生产型蜜罐运行通常在您的环境中与其余生产服务器一起运行的服务。研究型蜜罐比生产型蜜罐更复杂,存储的数据类型也更多。
在生产型和研究型蜜罐内部,根据您公司所需的复杂程度,还有多个层级:
- 高交互蜜罐:这类似于纯蜜罐,因为它运行大量服务,但复杂度较低,存储的数据较少。虽然高交互蜜罐并非旨在复制完整的生产系统,但它们运行(或看似运行)与生产系统通常相关的所有服务,包括功能操作系统。
部署公司可以使用这种蜜罐形式观察攻击者的习惯和策略。高交互蜜罐需要大量资源且难以维护,但结果可能是值得的。
- 中交互蜜罐:这些模仿应用层的特性,但缺乏操作系统。它们试图干扰或迷惑攻击者,以便企业有更多时间弄清楚如何适当地应对攻击。
- 低交互蜜罐:这是生产环境中最常用的蜜罐。低交互蜜罐运行少量服务,主要用作早期预警检测工具。由于设置和维护简单,许多安全团队在其网络的不同部分安装多个蜜罐。
- 纯蜜罐:这种大规模、类似生产的系统运行在多个服务器上。它充满了传感器,并包含“机密”数据和用户信息。它们提供的信息非常宝贵,尽管可能复杂且难以管理。
几种蜜罐技术
以下是正在使用的一些蜜罐技术:
-
客户端蜜罐:大多数蜜罐是监听连接的服务器。客户端蜜罐主动搜索针对客户端的恶意服务器,并监视蜜罐是否有任何可疑或意外的变化。这些系统通常是虚拟化的,并有遏制计划以保护研究团队的安全。
-
恶意软件蜜罐:这些通过使用既定的复制和攻击渠道来识别恶意软件。蜜罐(如Ghost)被设计成看起来像USB存储设备。例如,如果一台机器感染了通过USB传播的恶意软件,蜜罐会欺骗恶意软件感染模拟设备。
-
蜜网:蜜网是由多个蜜罐组成的网络,而不是单个系统。蜜网旨在跟踪攻击者的行为和动机,同时控制所有入站和出站通信。
-
垃圾邮件蜜罐:模拟开放邮件中继和开放代理。垃圾邮件发送者首先会给自己发送一封电子邮件来测试可用的邮件中继。如果成功,他们将发送大量垃圾邮件。这种形式的蜜罐可以检测并识别测试,并成功阻止随后的大量垃圾邮件。
-
数据库蜜罐:由于结构化查询语言注入通常可以绕过防火墙检测,一些组织会部署数据库防火墙来创建诱饵数据库并提供蜜罐支持。
如何识别加密货币蜜罐?
检查交易历史是识别蜜罐骗局的一种方法。加密货币通常应允许您在需要时买卖它。在蜜罐骗局中,该代币会有很多购买记录,但人们很难卖出它。这表明它不是一个合法的代币,您应该避免它。
此外,可以使用基于合约交易行为的数据科学方法将合约分类为蜜罐或非蜜罐。
蜜罐可能出现在以太坊智能合约的哪些地方?
蜜罐可能出现在以太坊智能合约实现的三个不同领域。这三个层面是:
- 以太坊虚拟机(EVM)- 尽管EVM遵循一套既定的标准和规则,但智能合约编写者可以以具有误导性或初看不清晰的方式呈现他们的代码。这些策略可能对毫无戒心的黑客代价高昂。
- Solidity编译器- 编译器是智能合约开发者可以利用的第二个领域。虽然某些编译器级别的错误有详细记录,但其他错误可能没有。除非合约在真实环境中进行过测试,否则这些蜜罐可能很难发现。
- Etherscan区块链浏览器- 第三种蜜罐基于这样一个事实:区块链浏览器上显示的数据是不完整的。虽然许多人默认相信Etherscan的数据,但它不一定显示全貌。另一方面,狡猾的智能合约开发者可以利用浏览器的一些特性。
如何防范蜜罐合约骗局?
本节指导如何从蜜罐骗局中脱身以避免损失资金。有工具可以帮助您发现危险信号并避免这些代币。例如,如果您购买的代币在以太坊网络上,请使用Etherscan;如果代币在币安智能链上,请使用BscScan。
找到您的代币ID并将其输入相应的网站。转到下一页的“代币追踪器”。会出现一个标记为“持有者”的标签。在那里,您可以查看所有持有代币的钱包和流动性池。不幸的是,有许多组合需要警惕。以下是一些您应该了解的危险信号,以防范蜜罐加密骗局:
- 无销毁代币:如果超过50%的代币处于销毁钱包(通常标识为0x000000000000000000000000000000000000dead),项目相对免受地毯式拉盘(但不是蜜罐)的影响。如果销毁代币少于一半或没有销毁代币,请保持警惕。
- 无审计:如果由可信公司审计,蜜罐的可能性几乎总是被消除。
- 大钱包持有者:避免只有一个或少数几个钱包持有的加密货币。
- 仔细检查其网站:这应该相当简单;但是,如果网站看起来仓促且开发质量差,这是一个警告信号!一个技巧是访问whois.domaintools.com并输入域名,查看网站的注册时间。如果域名在项目启动后24小时或更短时间内注册,您可能相当确定这是骗局。
- 检查其社交媒体:骗局项目通常使用被盗和低质量的图片、语法问题和不吸引人的“垃圾信息”(例如“在下方留下您的ETH地址!”),没有指向相关项目信息的链接等等。
Token Sniffer是另一个识别蜜罐加密货币的绝佳资源。在右上角输入代币ID,查找“自动合约审计”结果。如果有任何警报,请远离该项目。由于许多项目现在使用合约模板,“无先前类似代币合约”指示可能是误报。
如果您的代币在币安智能链上,请访问PooCoin,再次输入代币ID并监控图表。如果没有钱包在卖出,或者只有一两个钱包在卖出您选择的代币,请远离。很可能,这是一个蜜罐。如果许多钱包在卖出所选代币,则不是蜜罐。最后,在购买加密货币时,您应该在花掉辛苦赚来的钱之前进行彻底的研究。
蜜罐与蜜网有何不同?
蜜网是由两个或多个蜜罐组成的网络。拥有一个连接的蜜罐网络可能是有益的。它允许企业跟踪攻击者如何与单个资源或网络点交互,以及入侵者如何在网络点之间移动并与多个点同时交互。
其目的是说服黑客他们已成功入侵网络;因此,添加更多虚假网络位置以增加设置的真实性。具有更高级实现(如下一代防火墙、入侵检测系统(IDS)和安全Web网关)的蜜罐和蜜网被称为欺骗技术。入侵检测系统是指监视网络上的恶意活动或策略违规的设备或软件程序。欺骗技术的自动功能允许蜜罐实时响应潜在攻击者。
随着网络威胁的出现,蜜罐可以帮助企业跟上不断变化的风险格局。尽管不可能预测和防止每一次攻击,但蜜罐提供了至关重要的信息,以确保组织做好准备,并且可能是捕捉攻击者行为的最佳手段。它们也是网络安全专业人员的知识来源。
蜜罐的优缺点是什么?
蜜罐从真实攻击和其他非法活动中收集数据,为分析人员提供了丰富的知识。此外,误报较少。例如,普通的网络安全检测系统可能产生大量误报,但蜜罐减少了误报数量,因为真实用户没有动机联系蜜罐。
此外,蜜罐是值得的投资,因为它们只与有害行为交互,不需要高性能资源来处理大量网络数据以寻找攻击。最后,即使攻击者使用加密,蜜罐也能检测到恶意活动。
尽管蜜罐提供了许多优势,但它们也有许多缺点和风险。例如,蜜罐仅在攻击发生时收集数据。没有尝试访问蜜罐;因此,没有数据可用于分析攻击。
此外,蜜罐网络获取的恶意流量仅在攻击发起时被收集;如果攻击者怀疑网络是蜜罐,他们会避开它。
蜜罐通常可以从合法的生产系统中识别出来,这意味着熟练的黑客可以使用系统指纹技术轻松区分生产系统和蜜罐系统。
尽管蜜罐与真实网络隔离,但它们最终会以某种方式连接,以便管理员可以访问它们存储的数据。由于它试图诱骗黑客获取root访问权限,高交互蜜罐通常被认为比低交互蜜罐风险更大。
总的来说,蜜罐帮助研究人员了解网络系统中的风险,但它们不应取代标准的IDS。例如,如果蜜罐设置不正确,它可能被利用来获取对真实系统的访问权限或作为攻击其他系统的跳板。