慢雾：Discord私信钓鱼手法分析

事件背景

5月16日凌晨，当我在寻找家人的时候，从项目官网的邀请链接加入了官方的Discord服务器。在我加入服务器后立刻就有一个"机器人"(Captcha.bot)发来私信要我进行人机验证。这一切看起来相当的合理。我也点击了这个验证链接进行查看。

钓鱼手法分析

我访问"机器人"(Captcha.bot)发来的链接后，是有让我进行人机验证的，但是当我验证通过后，发现它要求唤起我的小狐狸(MetaMask)钱包，唤起的钱包界面挺真实的，如下图所示，但是我看到了钱包的地址栏显示"about:blank"这引起了我的警惕，如果是插件唤起的就不会有这个"about:blank"的地址栏了。接下来我随意输入了密码，并且通过审查元素查看，确定这个小狐狸(MetaMask)界面是由虚假网站"https://captcha.fm/"弹出的，并不是真实的钱包界面，于是我开始调试这个钱包。

慢雾：针对macOS系统恶意软件RustBucket窃取系统信息:金色财经报道，SlowMist发布安全警报，针对macOS 运行系统的 Rust 和 Objective-C 编写的恶意软件RustBucket，感染链由一个 macOS 安装程序组成，该安装程序安装了一个带后门但功能正常的 PDF 阅读器。然后伪造的 PDF 阅读器需要打开一个特定的 PDF 文件，该文件作为触发恶意活动的密钥。[2023/5/23 15:20:27]

在随意输入密码后，这个虚假的钱包界面进入到"SecurityCheck"界面，要求我输入助记词进行验证。注意，输入的密码和和助记词会被加密发送到恶意站点的服务端。

慢雾：Transit Swap事件中转移到Tornado Cash的资金超过600万美元:金色财经报道，慢雾 MistTrack 对 Transit Swap 事件资金转移进行跟进分析，以下将分析结论同步社区：

Hacker#1 攻击黑客（盗取最大资金黑客），获利金额：约 2410 万美元

1: 0x75F2...FFD46

2: 0xfa71...90fb

已归还超 1890 万美元的被盗资金；12,500 BNB 存款到 Tornado Cash；约 1400 万 MOONEY 代币和 67,709 DAI 代币转入 ShibaSwap: BONE Token 合约地址。

Hacker#2 套利机器人-1，获利金额：1,166,882.07 BUSD

0xcfb0...7ac7(BSC)

保留在获利地址中，未进一步转移。

Hacker#3 攻击模仿者-1，获利金额：356,690.71 USDT

0x87be...3c4c(BSC)

Hacker#4 套利机器人-2，获利金额：246,757.31 USDT

0x0000...4922(BSC)

已全部追回。

Hacker#5 套利机器人-3，获利金额：584,801.17 USDC

0xcc3d...ae7d(BSC)

USDC 全部转移至新地址 0x8960...8525，后无进一步转移。

Hacker#6 攻击模仿者-2，获利金额：2,348,967.9 USDT

0x6e60...c5ea(BSC)

Hacker#7 套利机器人-4，获利金额：5,974.52 UNI、1,667.36 MANA

0x6C6B...364e(ETH)

通过 Uniswap 兑换为 30.17 ETH，其中 0.71 支付给 Flashbots，剩余 ETH 未进一步转移。[2022/10/6 18:41:10]

慢雾：Transit Swap黑客攻击交易被抢跑，套利机器人获利超100万美元:10月1日消息，据慢雾安全团队情报，Transit Swap 黑客转移用户 BSC 链 BUSD 资产时被套利机器人抢跑，区块高度为21816885，获利107万BUSD。套利机器人相关地址列表如下：0xa957...70d2、0x90b5...8ff4、0xcfb0...7ac7、

截止到目前，在各方的共同努力下，黑客已将 70% 左右的被盗资产退还到Transit Swap开发者地址，建议套利机器人所属人同样通过service/img/20230508193122617454/4.jpg "/>

慢雾：攻击者系通过“supply()”函数重入Lendf.Me合约 实现重入攻击:慢雾安全团队发文跟进“DeFi平台Lendf.Me被黑”一事的具体原因及防御建议。文章分析称，通过将交易放在bloxy.info上查看完整交易流程，可发现攻击者对Lendf.Me进行了两次“supply()”函数的调用，但是这两次调用都是独立的，并不是在前一笔“supply()”函数中再次调用“supply()”函数。紧接着，在第二次“supply()”函数的调用过程中，攻击者在他自己的合约中对Lendf.Me的“withdraw()”函数发起调用，最终提现。慢雾安全团队表示，不难分析出，攻击者的“withdraw()”调用是发生在transferFrom函数中，也就是在Lendf.Me通过transferFrom调用用户的“tokensToSend()”钩子函数的时候调用的。很明显，攻击者通过“supply()”函数重入了Lendf.Me合约，造成了重入攻击。[2020/4/19]

分析恶意账号

下载保存好恶意站点的源码后，我将情报发给了项目方团队，并开始分析这次钓鱼攻击的账号。由于我刚加入家人群，就收到了下面的这个地址发来的验证消息。经过分析，这个账号是一个伪装成Captcha.bot机器人的普通账号，当我加入到官方服务器后，这个假Captcha.bot机器人立刻从官方服务器私发我假的人机验证链接，从而引导我输入钱包密码和助记词。

我在相关频道里面搜索了Captcha.bot，发现有好几个假Captcha.bot，于是将这几个账号也一并同步给了项目方团队，项目方团队很给力，也很及时地进行了处理，把这几个假Captcha.bot删除了，并一起讨论了可能的防范方式。

再次收到钓鱼链接

事情还没结束，第二天早上又一位慢雾的小伙伴加入到官方Discord服务器中，再次收到恶意账户发来的私信，里面包含着一个钓鱼链接，不同的是，这次的钓鱼者直接伪装成官方的账户发送私信。

这次钓鱼者讲的故事是在链接中导入助记词进行身份验证，然而不是采用假小狐狸(MetaMask)的界面来用户，而是直接在页面上引导用户输入助记词了，这个钓鱼手法就没这么真。钓鱼网站的域名和IP是app.importvalidator.org47.250.129.219，用的是阿里云的服务，同样反手一个举报。

钓鱼防范方式

各种钓鱼手法和事件层出不穷，用户要学会自己识别各种钓鱼手法避免被，项目方也要加强对用户安全意识的教育。用户在加入Discord后要在隐私功能中禁止服务器中的用户进行私聊。同时用户也需要提高自己的安全意识，学会识别伪装MetaMask的攻击手法，网页唤起MetaMask请求进行签名的时候要识别签名的内容，如果不能识别签名是否是恶意的就拒绝网页的请求。在参与Web3项目的时候无论何时何地都不要在网页上导入私钥/助记词。尽可能地使用硬件钱包，由于硬件钱包一般不能直接导出助记词或私钥，所以可以提高助记词私钥被盗门槛。项目方团队也要时刻关注社区用户的反馈，及时在社区Discord服务器中删除恶意账户，并在用户刚加入Discord服务器时进行防钓鱼的安全教育。Discord隐私设置和安全配置参考链接：https://discord.com/safety/360043857751-Four-steps-to-a-super-safe-accounthttps://support.discord.com/hc/en-us/articles/217916488-Blocking-Privacy-Settings-

标签：QUOACKDISSCORQUOTHJACKR价格dis币局SCORGI价格

火必交易所热门资讯