釣魚網站“入侵”Web3，這些防騙技巧必須學會！_SCOR:KNFT價格

在維基百科定義中，網絡釣魚是一種企圖從電子通信中，透過偽裝成信譽卓著的法人媒體以獲得如用戶名、密碼和信用卡明細等個人敏感信息的犯罪詐騙過程。

這些通信都聲稱來自于風行的社交網站、拍賣網站、網絡銀行、電子支付網站、或網絡管理者，以此來誘騙受害人的輕信。

網釣通常是透過e-mail或者即時通信進行。它常常導引用戶到URL與接口外觀與真正網站幾無二致的假冒網站輸入個人資料。就算使用強式加密的SSL服務器認證，要偵測網站是否仿冒實際上仍很困難。網釣是一種利用社會工程技術來愚弄用戶的實例，它憑恃的是現行網絡安全技術的低親和度。

在web3世界中，網絡釣魚主要通過twitter、discord、網站偽造等一系列手段實現，通常在過程中伴隨著假托、在線聊天、下餌、等價交換、同情心等社會工程學攻擊，讓人防不勝防。

本文將揭露其中幾種web3世界里常見的釣魚方法，跟我們一起來看看吧。

01Phishing-官方Discord被盜，發布釣魚信息

2022年5月23日，MEE6官方Discord遭受攻擊，導致賬號被盜，官方discord群里發布mint的釣魚網站信息。

NFT票務解決方案GET Protocol完成450萬美元種子輪融資:7月12日消息，NFT票務解決方案GET Protocol完成450萬美元戰略輪融資，Flow Ventures領投，參投方包括Animoca Brands、Redbeard Ventures、Funfair Ventures，個人投資者包括The Sandbox聯合創始人Sebastien Borget。[2023/7/12 10:51:04]

2022年5月6日，NFT交易市場Opensea官方Discord遭受攻擊，黑客利用機器人賬號在頻道內發布虛假鏈接，并聲稱“OpenSea與YouTube達成合作，點擊鏈接可參與鑄造限量100枚的mintpassNFT”。

近期，官方discord遭遇攻擊的案例越來越多，經過成都鏈安安全團隊分析，其原因可能有：

項目方員工遭受釣魚攻擊，導致賬戶被盜；項目方下載惡意軟件，導致賬戶被盜；項目方未設置雙因素認證且使用弱密碼導致賬戶被盜；項目方遭受釣魚攻擊，添加惡意書簽從而繞過瀏覽器同源策略，導致項目方Discordtoken被盜。防騙技巧

Layer1區塊鏈ZetaChain針對驗證者的激勵測試網已上線并開放申請:3月18日消息，ZetaChain 宣布針對驗證者的激勵測試網已經上線并開放申請，并將獎勵積極為該測試網做出貢獻的經批準和合格的參與者。據悉，ZetaChain 是一種 L1 區塊鏈，通過支持 Omnichain 智能合約為加密帶來通用互操作性。[2023/3/18 13:11:59]

1作為項目方，應采用官方建議的使用雙因素認證、設置強密碼等安全操作來保護賬戶；項目方要警惕針對自己的各種傳統網絡攻擊和社會工程學攻擊，避免下載惡意軟件，避免訪問釣魚網站。2作為web3用戶，應首先具備這樣的意識：官方discord賬戶被盜越來越頻繁，官方發布的消息也可能是釣魚信息，官方不等于絕對安全。此外，在任何需要自己授權或交易的地方都需要謹慎，盡量從多個渠道進行信息交叉確認。

02Phishing-周杰倫遭遇釣魚攻擊，價值百萬NFT被盜

2022年4月1日愚人節，周杰倫在Instagram上發文稱持有的BAYC#3738NFT已被盜。

據了解，該NFT在今年1月由黃立成贈送。在成都鏈安安全團隊的查看之后，發現周杰倫其0x71de2開頭的錢包地址先去mint新項目后遭遇到釣魚鏈接，隨后在11點左右簽名了授權交易，將NFT的權限授予了0xe34f0開頭的攻擊者錢包，可能這時候杰倫還沒意識到自己的NFT，已經處于風險之中。

web3明星徐可：區塊鏈未來發展需要接受一定程度的中心化:金色財經報道，web3明星徐可出席“火幣鬧新春”Twitter space活動。徐可從技術安全，角色利益和未來展望三個角度對以太坊合并提出觀點。她指出以太坊合并后，中心化程度提高，安全性降低，會造成小型質押者的攻擊，比如短程重組、bouncing attack、balancing attack......POS機制也為以太坊巨鯨提供了作惡的機會。但同時，由于一定程度的中心化也使得鏈上資產不再是完全不可追溯的，黑錢，盜幣，涉及到非技術性安全問題在POS上是可以被解決的。從角色利益來看，以太坊的合并導致傳統的挖礦方式被替換，POW礦工利益受損，比特幣以外的POW項目已成歷史。由于合并后便捷性的提高，應用場景也會拓寬，這對于優秀創業者來說是做大項目的機會。

對于用戶而言，Gas費減少，進入門檻降低都是以太坊合并后帶來的福利。徐可對合并后的以太坊持樂觀態度，并表示區塊鏈生態要想向前發展，必然會擁抱一定程度的中心化，但也不會像web2一樣，陷入完全的中心化。[2023/1/19 11:21:10]

僅僅過去幾分鐘，攻擊者就在11:07將無聊猿BAYC#3738NFT轉移到自己的錢包地址中，隨后在LooksRare和OpenSea上將盜取的NFT賣掉，獲得約169.6ETH。

美國德州當局要求Voyager披露其加密資產公允價值的計算方法:10月15日消息，美國德克薩斯州證券委員會（SSB）和德克薩斯銀行部（DOB）在法庭上對Voyager Digital的披露聲明提出異議，質疑用于估算其加密資產公允市場價值的各種方法和計算過程。

Voyager Digital于2022年7月在紐約申請第11章破產，同時為投資者提出一項復蘇計劃。德克薩斯州政府辯稱，Voyager的披露聲明聲稱債權人可能獲得70%的資金退還，但未能解釋用于計算代幣平均價格的方法，并補充說，“債務人（Voyager）從未獲得SSB或DOB的許可，并且因無許可證經營而面臨巨額罰款和處罰。”

作為一項決議，SSB和DOB尋求否決Voyager當前形式的披露聲明，并要求Voyager披露用于確定其公允市場價值以退還資金的方法和計算信息。（Cointelegraph）[2022/10/15 14:28:37]

防騙技巧：

1作為用戶一定不要輕信私聊，攻擊者一般會通過私信或郵件來引誘你點擊釣魚網站鏈接。一切信息先以官網為準，輔助交叉驗證，多個渠道驗證多份保障。2周董這次中招是在mint新項目后，猜測騙子利用剛剛用戶mint新項目后心情好，警惕放松之后迅速推送釣魚鏈接進行攻擊，所以用戶在反詐上一定不能有任何放松，確保每一步都是安全的。

Trust Wallet宣布與Instagram NFT達成合作伙伴關系:金色財經報道，加密錢包服務Trust Wallet宣布已經與科技巨頭Meta合作，將在Instagram上支持以太坊和Polygon NFT。根據Trust Wallet錢包官方社交媒體披露，他們是本次Instagram NFT項目的“主合作伙伴錢包”（main partner wallet）。據此前消息，Meta已經宣布與Coinbase Wallet和Dapper Labs整合并將在100多個國家/地區推出NFT。（web3wire）[2022/8/7 12:07:37]

03Phishing-Google廣告漏洞置頂的釣魚網站

2022年5月10日，Discord和加密威脅緩解系統Sentinel創始人Serpent發推表示，NFT交易平臺X2Y2在Google搜索頁面的首個搜索結果是詐騙網站，它利用Google廣告的漏洞，使真實網站和詐騙URL看起來完全相同，已經有約100ETH被盜。

防騙技巧

1搜索引擎雖然方便，但不一定為真。搜索引擎的廣告系統是很容易被惡意網站利用的，用戶盡量通過官方twitter或者Google認證過的官方網站入口進入。確認官方信息時盡量進行交叉確認。2平常養成注意細節的好習慣，搜索引擎搜出來的結果，如果是廣告會有Ad字樣，避免入坑被釣魚。

04Phishing-假機器人偽裝成項目方私聊發送釣魚網站

最近，筆者在關注某一新項目時，從項目官網加入到了官方discord社群，加群后按照國際慣例先進行官方機器人身份驗證，然而這一條驗證消息卻是機器人私信發過來的，此時內心有些疑問，但是看到有“機器人”的提示標簽后，也沒多想。

但當我再打開鏈接的時候，發現它自動喚起了我的Metamask錢包，要求輸入密碼，此時基本確定網站有問題。后經過調試分析發現，該網站并非真正的Metamask彈出的，而是虛假網站仿冒的Metamask錢包界面。而如果你輸入密碼，就會要求助記詞驗證，最后密碼和助記詞都會發送到攻擊者的后臺服務器，自此，你的錢包就已經被盜了。

防騙技巧

1對于discord私信一定要提高警惕：官方機器人是不會私信要求驗證的，一定要先確認是官方機器人的消息。最好的方法是關閉私信消息。2驗證身份過程中，是不會要求連接錢包的。3相信直覺，覺得奇怪或者反常的操作一定要留個心眼，多進行信息的交叉驗證。

05Phishing-高仿域名和內容的釣魚網站

目前筆者在市場上發現了各種各樣的假冒網站，它們大多對官方網站進行域名、內容等超高程度的模仿。這種方式應該是網絡釣魚中最普遍的存在的，其歸納分析，其主要有以下幾種形式：

更換頂級域名，主名不變。例如下圖中官網頂級域名是.com，釣魚網站頂級域名為.fun。

主名添加單詞或符號進行混淆，比如opensea-office，cyber-kongz等。

添加二級域名進行混淆，進行釣魚欺騙。

防騙技巧

1進入網站時，找到官方twitter或discord，對鏈接進行對比，看是否正確。2時刻保持警惕：雖然這類釣魚網站最容易識別，但是量極其大，用戶稍不注意就容易上當受騙。3安裝反釣魚插件，可有效輔助識別一部分釣魚網站。但最重要還是需要用戶有謹慎的態度。

06Phishing-上線了opensea的釣魚項目

筆者前段時間在opensea遨游的時候，發現了一個官網還未開售的項目，卻在opensea上掛牌了10k，接近5.4kowner。一時間警惕心大起，仔細分析發現了釣魚的新套路。這個項目首先利用方式5制作了高仿的官網和相似域名，后在opensea上線了相似名字的項目，且加上freemint等字樣吸引眼球。

此外，還有些釣魚網站也會聯合釣魚twitter一起進行詐騙：

防騙技巧

1注意辨別twitter賬號。釣魚大號一般也會有大量的粉絲，但是評論大部分都是僵尸號評分，或者創建日期早，但是近期才活躍等。2Opensea上線的項目不一定都是官網正版項目，目前上面仍存在不少仿盤和釣魚的項目，需要用戶仔細甄別。3從多渠道獲取信息，保證官網、opensea項目、twitter、discord等多個信息的交叉驗證。也可直接與官方進行聯系，驗證真假。

07Phishing-真假合約地址

在今年3月出現了一種新騙局，也是讓人開了眼界。APEcoin項目的合約地址為：

0x4d224452801ACEd8B2F0aebE155379bb5D594381

而攻擊者偽造了前后幾位均相同的假合約，聯合釣魚宣傳一起進行釣魚詐騙，假合約為：

0x4D221B9c0EE56604186a33F4f2433A3961C94381

這種攻擊方式不多見，但是迷惑性很強。不少有安全意識的人會下意識看下合約地址前后幾位是否正常，卻幾乎不會有人全部記下來的。

防騙技巧

1對于直接對合約地址進行轉賬交易時，最好全文核對合約地址的正確性。2確認地址是從官方途徑正常獲取，避免中間被攻擊者截獲修改。

補救措施

上述只列舉了釣魚詐騙界常見的手段，而如今在web3持續火爆的情況下，釣魚詐騙的方式層出不窮。用戶需謹記上述防騙技巧，盡全力保證自己不被釣魚詐騙。但是如果萬一已經被詐騙，則可以采取下列措施盡可能補救：

-馬上進行資產隔離，盡快將剩余資產轉移到安全位置，避免更大的損失；

-主動發布聲明，告知大家被盜賬戶的相關信息，避免危及朋友和社區；

-盡可能保留證據，尋求項目方或機構進行后續處理；

-可尋求專業的安全公司進行資金追蹤，如成都鏈安。

最后，建議記錄并分享被騙經歷，與大家共勉。反釣魚反詐騙，需要每個人都重視，也需要每個人都參與。

Tags：NFTSCORDISSCOKNFT價格ScorumDisciplinaKrosscoin

SAND