作者:Box | 826.eth 來源:X,@BoxMrChen
最近越來越多的朋友找我說自己莫名其妙私鑰被盜,說實話我是不信的。不過我們經過多方面調查,發現他們其實有一個很明顯的特徵,都是土狗玩家,經過調查和總結,我們終於總結出來一套完整的流程鏈。希望對大家能有一些啟發。
1.自動撒網
隨著 Sol 的生態極速增長,現在有非常多的自動化監控機器人所做的非常完善,能獲取大量資訊進行分析,而攻擊者首先利用了這一點。
我們用一個例子來展示。
注意看紅線標記的地方,出現了一個 Telegram 群組,這裡剛好就是被偷的主要入口。
Sol 的代幣比較獨特,可以透過上傳 Metadata 來自動設定許多數據,例如頭像,社群連結等。
可以看到,這裡的數據剛好就是監控機器人展示的數據,也就是說,攻擊者利用了大家會相信監控機器人這種可信度高的管道,散播他們的釣魚連結。
而觸發這種監控,只需要做一些機器人進行拉動即可,他們只需要把數據做的好看,很多人就很容易上當。此時進行下一步。
2.虛假驗證
如果你不小心點了這個 TG,想進入這些 TG 群組的時候,恭喜你,你離被盜更近了一步。由於 TG 最新的小程式功能,攻擊者有了一個完美的以假亂真的辦法。當你進入這些群組的時候,會看到有一個驗證請求,這很常見,因為很多 TG 群要防機器人,所以也是一個非常可信的需求。當你點開的時候,你就需要小心了。
此時,他會利用 TG 小程式彈出一個以假亂真的 TG 登陸窗口,此時只要你一個不小心掃了碼,很抱歉,你的 TG 已經被攻擊者登陸控制了。
3.記錄掃描
這個階段,攻擊者會極快的掃描你的聊天記錄和你的各種TG Bot,眾所周知,現在的TG Bot 基本上就是裸奔,攻擊者可以很輕鬆的從你的Bot 裡面拿走你的資產,而他們攻擊的目標使用者恰好就是這些土狗玩家,屬於是目標使用者明確。此時非常多高價值 meme 幣就成為駭客的盤中餐了。
到此,攻擊結束,為什麼這個案例值得說?因為很多用戶他甚至無法辨別這是黑客攻擊,在諮詢我們的時候,他們不會提供任何 TG 有關的信息,他們始終堅信是有電腦木馬或者釣魚鏈接。整個流程在一般使用者看來非常可信,從可信的監控 Bot,到可信的 TG 驗證,其中沒有一個地方是具有可疑操作的。
挽救措施
當你掃碼後,你的資訊資料應該會立刻同步,我們推薦你做以下操作。
1. 立刻轉移所有 Bot 裡面的資產,依照從大資金到小資金的順序。
2. 查看 TG 中已經登陸的設備,立刻退出可疑設備。
3. 聯絡 TG 常用人,聲明自己 TG 帳號已經被盜,防止繼續可信傳播。