前言
北京时间2022年6月5日,知道创宇区块链安全实验室监测到著名NFT项目的Discord社群再次遭受了网络钓鱼攻击,造成约200枚以太币的损失。在此之前,著名歌手周杰伦在愚人节当天就曾遭受网络钓鱼攻击,导致其库存中的无聊猿NFT被黑客转移。
近年来,我们发现在web3世界中网络钓鱼事件频发,导致项目方以及广大用户损失惨重,那么今天我们就来聊聊什么是网络钓鱼,以及该如何去防范。
什么是网络钓鱼
网络钓鱼是指黑客通过各种社交手段获取受害人的信任使其访问黑客伪造的与官方网站十分相似的钓鱼网站,或操控当钓鱼攻击成功后将受害人造成不可挽回的损失,轻则个人信息泄露、账号被盗,重则导致巨大的经济损失。
无聊猿新游戏门票Sewer Pass市值突破1亿美元,地板价超3 ETH创新高:金色财经报道,据NFTGo.io数据显示,无聊猿新游戏Dookey Dash门票SewerPass地板价已突破3ETH,截止目前为3.1ETH,创下新高,过去24小时涨幅达到14.82%。此外,当前Sewer Pass市值达到1.2137亿美元,交易总额接近5300万美元。[2023/1/28 11:32:54]
网络钓鱼本质上是一种社会工程学,越来越多的黑客使用网络钓鱼攻击是因为相较于侵入组织的计算机网络来说,人更加容易且成本更低。
同时其往往是利用人性的弱点,通过透露一些与受害人切身利益相关的信息,抓住受害者慌不择路,病急乱投医的心理,从而扰乱受害者的思考,达到钓鱼攻击的目的。
八月无聊猿买家仅263人,下降至16个月来低点:9月7日消息,整个 8 月,BAYC迎来了263位独立买家。这是2022年新买家的最低数量,也是16个月以来的最低点。在过去三个月中,独立买家的减少导致销量持续下降。据统计从 2022 年 5 月的 611 人减少到 6 月的 424 人,这导致销售额从 2.23 亿美元下降 63% 至 8200 万美元。?独立买家进一步下降至 7 月的 290 名和 8 月的 263 名,导致过去两个月销售额降至 6000 万美元以下。2022 年 8 月的交易量约为 5800 万美元。 (Beincrypto)[2022/9/7 13:14:27]
网络钓鱼的攻击方式
麦当娜:非常想要无聊猿BAYC #3756,“但太昂贵”:金色财经报道,麦当娜在接受《Variety》采访时表示,她一直在为“无聊猿BAYC #3756”烦恼,因为这个NFT 和她非常像,但价格太贵了。麦当娜说:“我一心想要得到这个猿,这就是我非常想要的东西,戴着摩托车皮帽、五彩牙齿,有人告诉我这个猿的灵感来自于我,以我为原型,而且已经被我的一个粉丝购买了,这个粉丝本来想卖给我,但是太贵了。”据OpenSea数据显示,BAYC #3756 在 OpenSea 上的售价高达 800.69 ETH,约合1,303,130.98美元。[2022/7/28 2:42:24]
网络钓鱼攻击的本质就是,本文总结了以下几种区块链中常见的网络钓鱼攻击手法。
新加坡高等法院冻结“无聊猿”BAYC#2162出售和转让:金色财经报道,新加坡高等法院已代表一名当地投资者发出专有禁令,旨在冻结“无聊猿”BAYC #2162 NFT出售和所有权转让,该禁令已在 5 月 13 日发出,预计将在相关案件审理后生效。根据流出的庭审名录显示,被告化名可能 chefpierre.eth,原告可能名为 Janesh Rajkumar,原告表示自己只是将BAYC #2162抵押给原告来获得贷款,但自己才是该 NFT 的合法所有者。根据代表 Janesh Rajkumar 的律师事务所 Withers KhattarWong 在 5 月 18 日新闻稿中称,新加坡高等法院发出的这份禁令表示已承认 NFT 是一种资产。(businesstimes)[2022/5/18 3:26:02]
克隆攻击
攻击者通过克隆创建项目方官网,克隆网站具有官网类似的名称域名和前端页面,让用户极难辨别真伪。并在网络中大肆进行项目广告宣传活动,诱用户访问其克隆地址并进行账户登录,以此来偷取受害者的登录凭证,私钥等,从而转移账户中的资产。
社交网络钓鱼
随着各类社交软件的流行,社交网络钓鱼攻击也变得十分普遍。在Twitter、Facebook、Discord、Telegram等项目方常用社交软件上这类攻击极为常见。黑客通过入侵知名人物的帐户并利用他们的账户发布包含网络钓鱼链接的帖子,或者创建克隆知名人物、社区等账户的首页发布空投、预售等钓鱼帖子,这些克隆账户的名称与项目方账户十分相似,足以以假乱真。
虚假的区块链应用
伴随着区块链网络的发展,各式各样的区块链应用也应运而生,钱包应用是我们最为常见的应用,攻击者往往会在网络中投放存在后台程序的恶意区块链应用,这类应用一旦用户下载安装并在应用中登录自己的账户,后台程序便会记录账户私钥和密码并发送给攻击者。
如何防范网络钓鱼
网络钓鱼攻击如此猖狂,我们该如何去防范呢?网络钓鱼攻击的核心就是,首先基于用户层面,作为一名普通的互联网使用者,我们应学习如何辨别钓鱼攻击,作为项目方,应该积极提示用户谨防网络钓鱼攻击。
警惕不明来信
警惕莫名发来的信息,这些信息看起来是发自于官方帐户,并在信息中提示你,你的账户存在一些问题,并催促你点击提供的链接来验证你的登录信息。又或是宣称你中奖了,需要在信息中提供的网站上进行登录验证等。
谨慎点击链接
通常我们会在收到钓鱼信息中会存在一个网络钓鱼链接,这种链接一般是生成的短链接或是仿冒的官网链接,看起来与官网链接十分相似,我们只需细心与官网链接比较就会发现端倪。
细心核对交易信息
警惕与资产相关的操作。网络钓鱼攻击的最终目的就是获取资产,钓鱼信息中会营造一种恐慌的情绪,宣称受害者资产将会受损,需要立即转移,会请求受害者转移资产到安全账户或是对交易请求进行授权操作。
保护敏感信息
警惕账户密码、助记词、私钥请求。钓鱼攻击会在无意中要求受害者在钓鱼网站中提供账户密码、私钥等敏感信息,受害者在看似与官网相似的网站中往往会被迷惑。
除了通过提高防范意识来进行网络钓鱼攻击防范,我们还可以通过使用一些工具对钓鱼地址进行识别拦截,以此更好的保护用户的利益。比如FishAlert插件,该插件自带网址安全检测,能够对存在安全问题的地址、网络钓鱼地址进行识别拦截,提示用户正在访问风险域名,不给网络钓鱼攻击可乘之机。
当我们访问钓鱼链接时,FishAlert自动弹出风险提示窗口:
当我们访问未知链接时,我们可主动打开该插件对网站进行检测:
安全建议
据统计,2021年区块链网络中因网络钓鱼攻击而导致的资产损失已超64亿美元,保护用户的资产不受损失是每个项目方乃至web3世界中每个成员共同的责任,除了使用防御网络钓鱼攻击的工具,我们每个人都应该提高防范意识,共同抵抗网络钓鱼攻击。在此知道创宇区块链安全实验室给出以下安全建议:
警惕资产转移、交易授权信息。
输入密码、私钥时观察网络环境,仔细确认官网地址。
避免从第三方下载区块链应用,选择从官网或官方应用商城下载
警惕陌生人的信息,请勿点击可疑电子邮件中的链接或下载附件。
据官方最新消息,在市场极端情况下,波场联合储备已增加7亿美元的USDC储备来捍卫USDD挂钩。目前,USDD储备金已有14040枚BTC,19亿枚TRX,1.4亿枚USDT与7亿枚USDC,加上销毁合约内的89.6亿枚TRX,共计总金.
1900/1/1 0:00:00Dear?Valued?Users,Huobi?Global?will?listUSDCtradingpairsofNEAR,SAND?andopenspottradingforthesepairsat07:30June9th.
1900/1/1 0:00:00过去两年中,MicroStrategy已累计持有近13万个比特币,共支出39.7亿美元。根据该公司向美国证券交易委员会(SEC)提交的最新季度文件,自2020年以来,该公司购买比特币的平均价格稳步上涨,截至3月31日为3.07万美元/.
1900/1/1 0:00:002022年6月9日,做市商Wintermute透露,Optimism发送给其做市的2000万个OP代币被黑客盗取.
1900/1/1 0:00:00亲爱的用户: 虎符币币区将于2022年06月15日16:00上线GHAFoundation(GHAF),并开放GHAF/USDT,交易对,邀您体验!GHAF充值通道现已开放GHAF提现请按照提现页面开放为准注:提现开放时间为预估时间.
1900/1/1 0:00:006月10日消息,由深圳市科学技术协会、深圳市互联网行业联合会、福田区工商业联合会三大协会联合指导,深圳市信息服务业区块链协会主办,开普勒总赞助.
1900/1/1 0:00:00