保护你的无聊猿 Web3又一起钓鱼攻击事件发生_DISC:Lord of Dragons

2022年6月5日,成都链安链必应-区块链安全态势感知平台舆情监测显示,BoredApeYachtClub的Discord社群遭受黑客钓鱼攻击,黑客获利约142ETH。成都链安安全团队第一时间对事件进行了分析,结果如下。

IOTA基金会正与walt.id合作开发隐私保护登录系统“Login With IOTA”:7月27日消息,IOTA 基金会正在与 walt.id 合作开发一种基于自我主权身份(SSI)的隐私保护登录系统“Login With IOTA”,在此系统中用户仍完全控制其数据,并能够自行决定安全地共享信息,例如电子邮件地址以及通常需要重复提供的任何其他信息(地址、电话号码、出生日期等),此外该系统将与 OpenID Connect(OIDC)等现有标准建立互操作性。

目前 walt.id 正和 IOTA 基金会合作开发,计划在未来几个月内实施该项目,并于 2022 年秋季正式推出第一个版本。[2022/7/27 2:41:18]

#1事件相关信息

国内外明星如麦当娜、史蒂芬·库里、周杰伦、林俊杰等都曾入手“无聊猿”系列NFT。今年1月,足球明星内马尔宣布以超过100万美元的价格购买了两只“无聊猿”NFT。而近期关于NFT的钓鱼攻击也逐渐增多,比如在“愚人节”当天周杰伦的无聊猿就曾遭遇钓鱼攻击。

KeeperDAO推出提供清算保护的kCompound等产品:官方消息,链上流动性承销商KeeperDAO集成Gelato推出提供清算保护的「HidingVault」、JITU和kCompound。kCompound将Compound的借款功能与KeeperDAO的独特清算保护相结合,利用及时承销工具JITU为用户提供临时缓冲区,让用户贷款不被立即清算从而有时间和选项对头寸采取行动。[2021/7/21 1:06:52]

在web3世界中,网络钓鱼主要通过twitter、discord、网站伪造等一系列手段实现,通常在过程中伴随着假托、在线聊天、下饵、等价交换、同情心等社会工程学攻击,让人防不胜防。

6月5日,BAYC在官方推特表示,其Discord服务器今天被短暂攻击,团队很快发现并解决了这个问题,但仍有价值约200ETH的NFT受到了影响,目前团队正在调查,并建议受影响用户发送电子邮件与官方联系。

动态 | 甘肃省:加强知识产权保护与运用,发挥区块链技术在知识产权领域的应用和影响:据《兰州日报》报道,日前,甘肃省委印发了《甘肃省委省政府关于支持兰州白银国家自主创新示范区建设的若干意见》,意见指出要加强知识产权保护与运用。发挥区块链技术在知识产权领域的应用和影响,加强特色产业集聚区和重点产业知识产权快速维权,营造良好的营商环境。[2019/6/25]

#2?本次事件攻击流程

攻击者地址

0x1079061D37f7F3FD3295E4aAd02EcE4a3f20DE2d

动态 | 加密货币安全保管公司Casa更新其隐私和数据保护政策:据The Block消息,加密货币安全保管公司Casa更新其隐私和数据保护政策。新隐私政策中包含不使用重定向或广告cookie、第三方数据跟踪机制和外部聊天应用程序等改进,旨在最大限度保证用户自主权和数据安全。[2019/4/17]

第一步,攻击者将钓鱼网站链接发布到官方社群。

第二步,攻击者通过钓鱼网站获得32个NFT,其中包含2个BAYC。

动态 | 韩国交易所Upbit获得信息保护管理体系认证:据韩联社消息,韩国加密货币交易所Upbit近日获得了韩国互联网振兴院(KISA)的信息保护管理体系(ISMS)认证。[2018/11/26]

第三步,攻击者卖出钓鱼获得的NFT,通过外部地址,将142ETH发送到Tornado.cash。

#3?资金追踪

截止发文时,攻击者地址累计转出154ETH,其中有142ETH进入了Tornado.cash。

#4?总结

近期,官方discord遭遇攻击的案例越来越多,经过成都链安安全团队分析,其原因可能有:

项目方员工遭受钓鱼攻击,导致账户被盗;

项目方下载恶意软件,导致账户被盗;

项目方未设置双因素认证且使用弱密码导致账户被盗;

项目方遭受钓鱼攻击,添加恶意书签从而绕过浏览器同源策略,导致项目方Discordtoken被盗。

防技巧

1

作为项目方,应采用官方建议的使用双因素认证、设置强密码等安全操作来保护账户;项目方要警惕针对自己的各种传统网络攻击和社会工程学攻击,避免下载恶意软件,避免访问钓鱼网站。 

2

作为web3用户,应首先具备这样的意识:官方discord账户被盗越来越频繁,官方发布的消息也可能是钓鱼信息,官方不等于绝对安全。此外,在任何需要自己授权或交易的地方都需要谨慎,尽量从多个渠道进行信息交叉确认。 

而如今在web3持续火爆的情况下,钓鱼的方式层出不穷。用户需谨记上述防技巧,尽全力保证自己不被钓鱼。但是如果万一已经被,则可以采取下列措施尽可能补救:

-?马上进行资产隔离,尽快将剩余资产转移到安全位置,避免更大的损失;

-?主动发布声明,告知大家被盗账户的相关信息,避免危及朋友和社区;

-?尽可能保留证据,寻求项目方或机构进行后续处理;

-?可寻求专业的安全公司进行资金追踪,如成都链安。

最后,建议记录并分享被经历,与大家共勉。反钓鱼反,需要每个人都重视,也需要每个人都参与。

来源:成都链安

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

水星链

[0:46ms0-0:979ms