前言
北京時間2022年6月5日,知道創宇區塊鏈安全實驗室監測到著名NFT項目的Discord社群再次遭受了網絡釣魚攻擊,造成約200枚以太幣的損失。在此之前,著名歌手周杰倫在愚人節當天就曾遭受網絡釣魚攻擊,導致其庫存中的無聊猿NFT被黑客轉移。
近年來,我們發現在web3世界中網絡釣魚事件頻發,導致項目方以及廣大用戶損失慘重,那么今天我們就來聊聊什么是網絡釣魚,以及該如何去防范。
什么是網絡釣魚
網絡釣魚是指黑客通過各種社交手段獲取受害人的信任使其訪問黑客偽造的與官方網站十分相似的釣魚網站,欺騙或操控當釣魚攻擊成功后將受害人造成不可挽回的損失,輕則個人信息泄露、賬號被盜,重則導致巨大的經濟損失。
Yuga Labs贏得關于BAYC無聊猿知識產權訴訟案:金色財經報道,法庭文件顯示,BAYC 母公司 Yuga Labs 在知識產權訴訟中贏得對加利福尼亞藝術家 Ryder Ripps 及其 BAYC 仿盤項目 RR/BAYC 的簡易判決。
此前報道,Ryder Ripps 從 2021 年 12 月以來一直調查 BAYC 及其創建者 Yuga Labs,認為 BAYC 與互聯網納粹巨魔文化之間存在廣泛的聯系,并推出了 BAYC 仿盤 RR/BAYC 系列;去年 6 月 Yuga Labs 對 Ryder Ripps 提起訴訟,指控他們復制和銷售 Bored Ape Yacht Club (BAYC)系列 NFT 并貶低其原創產品。2 月 7 日,2 月 7 日,Yuga Labs 與為 Ryder Ripps 的 BAYC 仿盤 RR/BAYC 系列建立網站和智能合約的 Thomas Lehman 達成訴訟和解。[2023/4/22 14:19:51]
網絡釣魚本質上是一種社會工程學,越來越多的黑客使用網絡釣魚攻擊是因為相較于侵入組織的計算機網絡來說,欺騙人更加容易且成本更低。
“無聊猿”BAYC:蟾蜍模式1天后關閉,審核期持續到3月7日:金色財經報道,據“無聊猿”BAYC在社交媒體宣布,蟾蜍模式的“下水道”將于太平洋標準時間3月1日上午10:30(北京時間3月2日凌晨2:30)關閉,在游戲關閉之前,“N/A”持有者需要在蟾蜍模式下運行一次才有資格參與下一階段的“Summoning”。下水道關閉后,蟾蜍模式的分數將鎖定通行證,審核期將持續到2023年3月7日,之后蟾蜍模式的最終結果將更新并顯示在下水道通行證上。[2023/3/1 12:35:40]
同時其往往是利用人性的弱點,通過透露一些與受害人切身利益相關的信息,抓住受害者慌不擇路,病急亂投醫的心理,從而擾亂受害者的思考,達到釣魚攻擊的目的。
“無聊猿”BAYC交易總額突破14億美元:3月10日,據DappRader最新數據顯示,“無聊猿”Bored Ape Yacht Club(BAYC)交易總額已突破14億美元,創下歷史新高,本文撰寫時為1,401,975,300美元,交易總量為24,807筆。歷史數據顯示,BAYC交易總額在1月4日突破10億美元,1月30日突破12億美元,2月7日突破13億美元,這意味著該NFT系列在2022年一季度的交易額已超過4億美元。[2022/3/10 13:48:26]
網絡釣魚的攻擊方式
網絡釣魚攻擊的本質就是欺騙,本文總結了以下幾種區塊鏈中常見的網絡釣魚攻擊手法。
克隆攻擊
消息人士:“無聊猿”BAYC NFT母公司Yuga Labs正以50億美元估值募集資金:金色財經報道,1月25日,據theboredapegazette報道,隨著埃米納姆、內馬爾等知名人士購買“無聊猿”BAYC NFT之后,該項目母公司Yuga Labs已經開始啟動融資,據悉他們正在以50億美元的估值募集資金。按照相關報道稱,有知情人士稱他從一個接近這筆融資的消息源那里獲得了該消息,估值數字基本上確認是50億美元。實際上,BAYC融資并不是一個新傳言,此前就有消息稱,Yuga Labs已經向某些VC投資者出手了一些APE代幣,不過到目前為止,BAYC官方尚未對此事件給予回應。[2022/1/25 9:11:26]
攻擊者通過克隆創建項目方官網,克隆網站具有官網類似的名稱域名和前端頁面,讓用戶極難辨別真偽。并在網絡中大肆進行項目廣告宣傳活動,誘騙用戶訪問其克隆地址并進行賬戶登錄,以此來偷取受害者的登錄憑證,私鑰等,從而轉移賬戶中的資產。
社交網絡釣魚
隨著各類社交軟件的流行,社交網絡釣魚攻擊也變得十分普遍。在Twitter、Facebook、Discord、Telegram等項目方常用社交軟件上這類攻擊極為常見。黑客通過入侵知名人物的帳戶并利用他們的賬戶發布包含網絡釣魚鏈接的帖子,或者創建克隆知名人物、社區等賬戶的首頁發布空投、預售等釣魚帖子,這些克隆賬戶的名稱與項目方賬戶十分相似,足以以假亂真。
虛假的區塊鏈應用
伴隨著區塊鏈網絡的發展,各式各樣的區塊鏈應用也應運而生,錢包應用是我們最為常見的應用,攻擊者往往會在網絡中投放存在后臺程序的惡意區塊鏈應用,這類應用一旦用戶下載安裝并在應用中登錄自己的賬戶,后臺程序便會記錄賬戶私鑰和密碼并發送給攻擊者。
如何防范網絡釣魚
網絡釣魚攻擊如此猖狂,我們該如何去防范呢?網絡釣魚攻擊的核心就是欺騙,首先基于用戶層面,作為一名普通的互聯網使用者,我們應學習如何辨別釣魚攻擊,作為項目方,應該積極提示用戶謹防網絡釣魚攻擊。
警惕不明來信
警惕莫名發來的信息,這些信息看起來是發自于官方帳戶,并在信息中提示你,你的賬戶存在一些問題,并催促你點擊提供的鏈接來驗證你的登錄信息。又或是宣稱你中獎了,需要在信息中提供的網站上進行登錄驗證等。
謹慎點擊鏈接
通常我們會在收到釣魚信息中會存在一個網絡釣魚鏈接,這種鏈接一般是生成的短鏈接或是仿冒的官網鏈接,看起來與官網鏈接十分相似,我們只需細心與官網鏈接比較就會發現端倪。
細心核對交易信息
警惕與資產相關的操作。網絡釣魚攻擊的最終目的就是獲取資產,釣魚信息中會營造一種恐慌的情緒,宣稱受害者資產將會受損,需要立即轉移,會請求受害者轉移資產到安全賬戶或是對交易請求進行授權操作。
保護敏感信息
警惕賬戶密碼、助記詞、私鑰請求。釣魚攻擊會在無意中要求受害者在釣魚網站中提供賬戶密碼、私鑰等敏感信息,受害者在看似與官網相似的網站中往往會被迷惑。
除了通過提高防范意識來進行網絡釣魚攻擊防范,我們還可以通過使用一些工具對釣魚地址進行識別攔截,以此更好的保護用戶的利益。比如FishAlert插件,該插件自帶網址安全檢測,能夠對存在安全問題的詐騙地址、網絡釣魚地址進行識別攔截,提示用戶正在訪問風險域名,不給網絡釣魚攻擊可乘之機。
當我們訪問釣魚鏈接時,FishAlert自動彈出風險提示窗口:
當我們訪問未知鏈接時,我們可主動打開該插件對網站進行檢測:
安全建議
據統計,2021年區塊鏈網絡中因網絡釣魚攻擊而導致的資產損失已超64億美元,保護用戶的資產不受損失是每個項目方乃至web3世界中每個成員共同的責任,除了使用防御網絡釣魚攻擊的工具,我們每個人都應該提高防范意識,共同抵抗網絡釣魚攻擊。在此知道創宇區塊鏈安全實驗室給出以下安全建議:
警惕資產轉移、交易授權信息。
輸入密碼、私鑰時觀察網絡環境,仔細確認官網地址。
避免從第三方下載區塊鏈應用,選擇從官網或官方應用商城下載
警惕陌生人的信息,請勿點擊可疑電子郵件中的鏈接或下載附件。
親愛的CoinW用戶:?6月13日,全球領先的加密貨幣交易平臺CoinW幣贏非洲站團隊以及部分加密社區志愿者帶著一批愛心物資前往尼日利亞拉各斯的活泉孤兒院,為孩子們送去關懷和溫暖.
1900/1/1 0:00:00親愛的CoinW用戶: 幣贏CoinW將于2022/6/1015:00在Gamefi區上線WorldofMasters,開通WOFM/USDT交易對.
1900/1/1 0:00:00DearValuedUsers,HuobiGlobalwillbelaunchingdepositeventsfor?WWY.Makeyourdepositstoearnhigh-yieldin.
1900/1/1 0:00:00親愛的用戶: 近日市場行情持續下跌,而ETFS類做空產品持續上漲,為回饋廣大用戶對CoinWETF產品的支持,CoinW將開啟ETF交易空投活動,活動期間參與ETF產品交易即可獲得空投.
1900/1/1 0:00:00親愛的用戶: CoinW即將開啟ETF交易大獎賽活動,每日參與ETF交易即可根據活動規則獲得相應獎勵.
1900/1/1 0:00:00一、項目介紹 Hop是一種流行的跨鏈橋,將以太坊與其他與EVM兼容的區塊鏈連接起來。這座橋——就像AxieIfinity的Ronin——允許以太坊用戶在Polygon和Gnosis側鏈之間轉移資.
1900/1/1 0:00:00