2022年6月5日,成都鏈安鏈必應-區塊鏈安全態勢感知平台輿情監測顯示,Bored Ape Yacht Club(無聊猿)的Discord社群遭受黑客釣魚攻擊,黑客獲利約142 ETH。成都鏈安安全團隊第一時間對事件進行了分析,結果如下。
#1 事件相關信息
國內外明星如麥當娜、史蒂芬·庫裡、周杰倫、林俊傑等都曾入手“無聊猿”系列NFT。今年1月,足球明星內馬爾宣布以超過100萬美元的價格購買了兩隻“無聊猿”NFT。而近期關於NFT的釣魚攻擊也逐漸增多,比如在“愚人節”當天周杰倫的無聊猿就曾遭遇釣魚攻擊。
在web3世界中,網絡釣魚主要通過twitter、discord、網站偽造等一系列手段實現,通常在過程中伴隨著假託、在線聊天、下餌、等價交換、同情心等社會工程學攻擊(詳見維基百科:社會工程學),讓人防不勝防。
6月5日,BAYC在官方推特表示,其Discord服務器今天被短暫攻擊,團隊很快發現並解決了這個問題,但仍有價值約200 ETH的NFT受到了影響,目前團隊正在調查,並建議受影響用戶發送電子郵件與官方聯繫。
#2 本次事件攻擊流程
攻擊者地址
0x1079061D37f7F3FD3295E4aAd02EcE4a3f20DE2d
第一步,攻擊者將釣魚網站鏈接發佈到官方社群。
第二步,攻擊者通過釣魚網站獲得32個NFT,其中包含2個BAYC。
第三步,攻擊者賣出釣魚獲得的NFT,通過外部地址,將142ETH發送到Tornado.cash。
#3 資金追踪
截止發文時,攻擊者地址累計轉出154(約275944.9美元)ETH,其中有142(約254442.7美元)ETH進入了Tornado.cash。
#4 總結
近期,官方discord遭遇攻擊的案例越來越多,經過成都鏈安安全團隊分析,其原因可能有:
-
項目方員工遭受釣魚攻擊,導致賬戶被盜;
-
項目方下載惡意軟件,導致賬戶被盜;
-
項目方未設置雙因素認證且使用弱密碼導致賬戶被盜;
-
項目方遭受釣魚攻擊,添加惡意書籤從而繞過瀏覽器同源策略,導致項目方Discord token被盜。
防騙技巧
1
作為項目方,應採用官方建議的使用雙因素認證、設置強密碼等安全操作來保護賬戶;項目方要警惕針對自己的各種傳統網絡攻擊和社會工程學攻擊,避免下載惡意軟件,避免訪問釣魚網站。
2
作為web3用戶,應首先具備這樣的意識:官方discord賬戶被盜越來越頻繁,官方發布的消息也可能是釣魚信息,官方不等於絕對安全。此外,在任何需要自己授權或交易的地方都需要謹慎,盡量從多個渠道進行信息交叉確認。
而如今在web3持續火爆的情況下,釣魚詐騙的方式層出不窮。用戶需謹記上述防騙技巧,盡全力保證自己不被釣魚詐騙。但是如果萬一已經被詐騙,則可以採取下列措施盡可能補救:
– 馬上進行資產隔離,盡快將剩餘資產轉移到安全位置,避免更大的損失;
– 主動發布聲明,告知大家被盜賬戶的相關信息,避免危及朋友和社區;
– 盡可能保留證據,尋求項目方或機構進行後續處理;
– 可尋求專業的安全公司進行資金追踪,如成都鏈安。
最後,建議記錄並分享被騙經歷,與大家共勉。反釣魚反詐騙,需要每個人都重視,也需要每個人都參與。
來源:成都鏈安