盘点Web3.0中常见的七种网络钓鱼攻击

简要介绍

Web3的网络钓鱼日益增多，一些主要的网络钓鱼技术包括：使用不安全的Discord机器人在一些官方的Discord服务器上发布钓鱼链接；直接发送钓鱼链接；利用搜索引擎上的广告宣传虚假网站；通过假Discord机器人直接发送信息；与官方域名高度相似的域名及内容；利用Opensea等NFT交易平台推广虚假项目；使用虚假的合约地址。建议：

经常多渠道查看信息，不轻易信任「bot」或「官方链接」；警惕直接消息：官方机器人不会在DM中要求验证；仔细检查域名或合约地址；尽量减少Discord中的机器人数量；不要在浏览器中为一些敏感网站添加书签。网络钓鱼的定义

根据维基百科的定义，网络钓鱼是一种犯罪局，试图通过伪装成有信誉的法律实体的媒体，从电子通信中获取敏感的个人信息，如用户名、密码和信用卡详细信息。网络钓鱼通常是通过电子邮件或即时消息进行的。它通常会引导用户进入看起来与真实网站几乎相同的虚假网站，以输入个人信息。即使有强大的加密和SSL服务器身份验证，仍然很难检测一个网站是真是假。网络钓鱼是使用社会工程技术用户的一个例子。它依赖于当前Web安全技术的低亲和力。在Web3世界，网络钓鱼主要通过Discord、网站伪造等一系列手段实现。Web3典型的网络钓鱼案件

本文将揭示Web3世界中几种常见的网络钓鱼方法：1、Discord机器人

2022年5月23日，Discord的MEE6机器人遭到攻击，导致在一些Discord官方服务器中发布了有关铸币的钓鱼网站信息。

Cointelegraph盘点波场TRON 2022年度22大成就:1月8日消息，日前，区块链行业媒体Cointelegraph发布波场TRON 2022年度的22大成就， 主要包括：TRON DAO成为世界上最大的DAO、扩大与火必的合作、推出稳定币USDD、TRX和USDD获得更多应用场景、成为多米尼克国家公链、建成行业第二大稳定币生态系统、被评为最环保区块链、TVL规模仅次于币安以及用户帐户从6900万增长到1.32亿等。

Cointelegraph在文中称，2022年是波场TRON历史性增长的一年，全年累计新增用户6300万。作为加密行业的全球潮流引领者，波场TRON正在打造一个可以为每个人服务的生态系统基础设施。[2023/1/8 11:00:51]

在2022年5月6日，Opensea的官方Discord被黑客入侵，黑客使用机器人账户在频道上发布虚假链接，声称「Opensea与YouTube合作，点击链接制造100个限量版的mintpassNFT」。

最近，针对官方Discord服务器的攻击事件越来越多，原因可能如下：对项目方的员工进行钓鱼攻击，导致账户被盗；项目方下载恶意软件，导致账户被盗；项目方未设置双重认证，使用弱密码，导致账户被盗；项目方遭受钓鱼攻击，添加恶意书签绕过浏览器的登录规则，导致Discord代币被盗。小贴士：项目方应采用官方推荐的安全操作，如双重认证、设置强密码等，来保护自己的账户；警惕各种传统的网络攻击和社会工程攻击，避免下载恶意软件或访问钓鱼网站。Web3用户应该意识到Discord官方发布的版本可能也是钓鱼信息，官方并不保证绝对安全。此外，在任何需要我们自己授权或交易的地方，就更需要谨慎，并尽量交叉检查来自多个渠道的信息。2、周杰伦的NFT被一个Discord网络钓鱼攻击窃取

Cobo 链上安全团队盘点分析 1 月区块链安全事件:2月17日消息，Cobo安全研究团队近日盘点并解析了 1 月发生的典型区块链安全事件，对跨链桥、智能合约、钱包等多种类型的真实攻击案例和漏洞进行了技术解读，并为普通用户规避区块链中的安全风险提供了一些建议。建议普通用户及时撤销无限授权、留意未审计项目风险等。

Cobo 区块链安全研究团队成员来自知名安全实验室，有多年网络安全与漏洞挖掘经验，曾协助谷歌 、微软处理高危漏洞。团队目前重点关注智能合约安全、DeFi 安全等方面 ，研究并分享前沿区块链安全技术。[2022/2/17 9:57:31]

2022年4月1日，流行歌手周杰伦在Instagram上透露，他的BoredApeNFT被钓鱼网站窃取。

我们发现周杰伦在11点左右签署了以0x71de2开头的钱包地址来批准交易，从而将NFT批准授予给攻击者的钱包。在这个时候，周杰伦并不知道他的NFT，已经处于危险之中。

动态 | 2019年区块链十大事件盘点:1：中国拥抱区块链

2019年10月24日，中央局第十八次集体学习时强调，区块链技术的集成应用在新的技术革新和产业变革中起着重要作用。

2：央行数字货币试点

2014年中国央行开始研究法定数字货币（DCEP）。DCEP的完整字面意思就是数字货币电子支付。

3：Facebook发布Libra计划

2019年6月，Facebook发布Libra白皮书，Libra的使命是建立一套简单的、无国界的货币和为数十亿人服务的金融基础设施。

4：去中心化金融DeFi

去中心化金融（DeFi），解决传统金融行业中的痛点，被称作DeFi 是加密史上第二个突破。

5：IEO开始流行

IEO是ICO之后，币圈诞生的一种新筹集资金方式，项目方依托交易所进行资金筹集。

6：Bakkt 推出比特币期货

2019年9月23日， 号称币圈牛市的发动机的Bakkt上线。

7：嘉楠科技上市

美国东部时间11月21日嘉楠科技正式上市纳斯达克，IPO发行价最终锁定在每股9美元，总计募资9000万美元。

8：模式币走红币圈

模式币，使用类似模式的币种，通过拉人头、分红、合伙人等等推广营销模式，配合资金控盘，来吸引散户进场接盘。

9：以太坊伊斯坦布尔升级

以太坊网络在2019年12月8日， 9,069,000区块高度完成升级，代号：伊斯坦布尔（Istanbul）。

10：吴忌寒詹克团之争

吴忌寒夺权：10月29日全球最大的矿机生产商之一的比特大陆创始人吴忌寒以比特大陆集团董事会主席、北京比特大陆科技有限公司法定代表人、执行董事的身份，向全体员工发送邮件，宣布解除詹克团在比特大陆的一切职务，即刻生效。[2019/12/23]

过了几分钟后，攻击者在11:07时将BoredApebayc#3738NFT转移到他们自己的钱包地址，然后在LooksRare和OpenSea上以约169.6ETH的价格出售了被盗的NFT。

动态 | 老猫盘点2018年个人经历：披露“李笑来欠3万个比特币”事件进展:12月31日讯，硬币资本（INBlockchain）管理合伙人老猫发文回顾2018年个人经历。文章中，老猫透露2018年由经济下行个人资产也缩水一大半，但相对而言可能还说得过去，因为坚持3个投资方法：第一是不加杠杆，第二是主要持有主流品种，第三是配置。 文章中，老猫还就此前外界盛传的“李笑来欠了3万个比特币”事件进行回应，同时披露最近进展。老猫表示，该事件最初源于2013年面向熟人圈开展的代理投资，当时所有合同以人民币计价投资，每份10万人民币，但有的人当时给的是比特币，“这个事情被一些黑子刻意的改头换面，最后就变成笑来欠了30000个币”。老猫透露，此事在2018年8月26日画上了句号。[2018/12/31]

小贴士：不要轻易相信私信。攻击者通常会通过私信或电子邮件引诱我们点击钓鱼网站的链接。所有信息应首先在官网进行核实，用多种渠道验证其真实性。周杰伦被钓鱼的案例是在铸造了一个新项目之后，他当时可能对网络钓鱼攻击不那么警惕。所以用户必须时刻保持警惕，确保每一步都是安全的。3、谷歌广告上的钓鱼网站

2022年5月10日，/img/20230508192603709944/6.jpg "/>

小贴士：搜索引擎很方便，但不一定正确，搜索引擎广告系统很容易被恶意网站利用。尽量通过官方twitter或谷歌认证的官方网站入口进入，确认官方信息时进行交叉核对。注意细节。来自搜索引擎的结果，如果是广告，就会有广告这个词。避免点击带有「广告」字样的链接。4、通过假机器人发私信

最近，一个用户加入了官方的Discord社区，加入服务器后，一个bot直接发送消息要求进行验证。

然而，当点击链接时，它会自动弹出Metamask钱包并要求输入密码，这时用户几乎可以肯定网站出了问题。后来经过调试和分析，发现该网站弹出的不是一个真正的Metamask，而是一个伪造的Metamask钱包界面。如果有人输入了密码，它会要求助手验证，最后，密码和助手都将被发送到攻击者的后端服务器，钱包就会被窃取。小贴士：警惕Discord的私信：官方机器人不会要求在DM中进行验证。身份验证过程不需要连接钱包。一定要注意那些奇怪或不正常的操作，并一定要交叉验证更多的信息。5、域名与内容高度相似

目前，市场上存在各种各样的假冒网站，其中大部分是模仿域名和内容相似程度高的官方网站。这是最常见的网络钓鱼方式，其主要形式如下。更改顶级域名，主域名保持不变。例如，下图中官方网站的顶级域名为.com，钓鱼网站的顶级域名为.fun；

在主域名中添加一些词，如openesa-office,xxxmint等。

添加一个二级域名用于混淆和网络钓鱼：

小贴士：当进入一个网站时，首先找到官方推特或discord，并逐一比较链接，看看他们是否正确。始终保持警惕：虽然这类钓鱼网站最容易识别，但其数量非常大，如果不小心，用户很容易被。增加反网络钓鱼插件，有效协助识别部分恶意网站。6、Opensea上的钓鱼项目

前一段时间，我们在Opensea上发现了一个项目，这个项目还没有正式开放出售，但是这个项目已经列出了1万件物品。经过仔细分析，我们发现了一种新的网络钓鱼方式。该项目先是利用上述手法伪造了一个类似官网和类似域名，然后在Opensea上列出了一个类似项目，用「免费造币」等词语来吸引眼球。

此外，还有钓鱼网站和钓鱼推特一起宣传：

小贴士：仔细识别推特账户。有时钓鱼账号也有大量粉丝，但大多数评论都是假的。或帐户创建日期较早，但最近才活跃等。Opensea上的项目并不总是官方网站上的真实项目。网站上仍然有很多假冒和钓鱼项目，所以用户需要仔细筛选。始终从多个渠道获取信息。交叉检查来自官方网站、opensea项目、推特、discord等的信息。也可以直接与官方联系，核实真实性。7、假的合约地址

今年3月出现的新局也令人大开眼界。攻击者伪造一份前后相同位数的合约，利用网络钓鱼链接进行。真正的APEcoin合约地址是：0x4d224452801ACEd8B2F0aebE155379bb5D594381。虚假合约是：0x4D221B9c0EE56604186a33F4f2433A3961C94381这种类型的攻击并不常见，但令人困惑。通常人们会检查合约地址的前面和后面来判断是否正常，但很少有人会检查完整的地址。小贴士：对于直接转账交易，最好检查完整的合约地址是否正确。确保从官方通道获取地址，避免被中间攻击者修改。解决方法

以上仅列出了网络钓鱼常用的策略，然而随着Web3的不断流行，网络钓鱼的方式也越来越多。用户需要记住上述提示。然而，万一被了，可以采取以下步骤来尽可能进行补救：立即隔离资产，并尽快将剩余资产转移到安全的地方，以避免更大的损失。主动发布声明，告知他人有关账户的信息，以免危害朋友和社区。尽可能保存证据，并寻求项目方或机构的后续帮助。寻找专业公司进行资金追查。最后，如果不幸被或网络钓鱼，建议在社交媒体上记录并与他人分享自己的经历。

标签：SCORSCOISCCORDSCORPFIN币StartupersCoinCannabisCoinCORD价格

聚币热门资讯