前言
北京時間2022年6月5日,知道創宇區塊鏈安全實驗室?監測到著名NFT項目的Discord社群再次遭受了網絡釣魚攻擊,造成約200枚以太幣的損失。在此之前,著名歌手周杰倫在愚人節當天就曾遭受網絡釣魚攻擊,導致其庫存中的無聊猿NFT被黑客轉移。
近年來,我們發現在web3世界中網絡釣魚事件頻發,導致項目方以及廣大用戶損失慘重,那么今天我們就來聊聊什么是網絡釣魚,以及該如何去防范。
什么是網絡釣魚
網絡釣魚是指黑客通過各種社交手段獲取受害人的信任使其訪問黑客偽造的與官方網站十分相似的釣魚網站,欺騙或操控當釣魚攻擊成功后將受害人造成不可挽回的損失,輕則個人信息泄露、賬號被盜,重則導致巨大的經濟損失。
Magic Eden比特幣NFT市場支持BRC-20小數位銘刻和交易:8月7日消息,NFT市場Magic Eden on Bitcoin宣布支持BRC-20小數位銘刻、購買和出售,不再局限于此前的整數功能,有助于解鎖更高價值BRC-20的細粒度收藏。[2023/8/7 21:28:36]
網絡釣魚本質上是一種社會工程學,越來越多的黑客使用網絡釣魚攻擊是因為相較于侵入組織的計算機網絡來說,欺騙人更加容易且成本更低。
同時其往往是利用人性的弱點,通過透露一些與受害人切身利益相關的信息,抓住受害者慌不擇路,病急亂投醫的心理,從而擾亂受害者的思考,達到釣魚攻擊的目的。
網絡釣魚的攻擊方式
加密倡導組織抨擊美國財政部對Tornado Cash的制裁:金色財經報道,美國加密倡導組織區塊鏈協會(Blockchain Association)和DeFi 教育基金( DeFi Education Fund )在一份法庭之友簡報中表示,美國財政部制裁Tornado Cash 的決定是“前所未有和非法的” 。
美國財政部去年制裁了 Tornado Cash,這是一種開源軟件,可用于匿名化以太坊區塊鏈上的交易。此舉遭到加密倡導者的反對,其中包括華盛頓特區政策非營利組織 Coin Center,該組織就制裁對財政部提起訴訟,區塊鏈協會和 DeFi 教育基金一起提交了這份法律簡報,以支持 Coin Center 的案件。文件表示:“認識到 Tornado Cash 只是一種工具至關重要——懲罰工具本身只是因為它可以被任何人使用,包括壞人,這與這個國家建立的價值觀背道而馳”。[2023/6/3 11:55:30]
網絡釣魚攻擊的本質就是欺騙,本文總結了以下幾種區塊鏈中常見的網絡釣魚攻擊手法。
Ideamarket將停止運行,可在3月1日前通過官網提取資金:2月14日消息,去中心化信息信譽市場Ideamarket宣布將停止項目運行,經過近6個月的財務斗爭,現在維護Ideamarket變得不可行。主網站將在2月份保持運行,以便用戶提取資金,3月1日之后則無法保證用戶能夠使用網站訪問鎖定的IMO,或可從早期版本的Ideamarket中提取資金(可追溯到2021年2月15日)。3月1日之后,用戶可能需要直接調用智能合約來取回資金。[2023/2/14 12:05:17]
克隆攻擊
攻擊者通過克隆創建項目方官網,克隆網站具有官網類似的名稱域名和前端頁面,讓用戶極難辨別真偽。并在網絡中大肆進行項目廣告宣傳活動,誘騙用戶訪問其克隆地址并進行賬戶登錄,以此來偷取受害者的登錄憑證,私鑰等,從而轉移賬戶中的資產。
V神:元宇宙仍處于能被廣泛認知的早期階段:金色財經報道,暢銷書《虛擬主義宣言》作者 MacaesBruno 在社交媒體發文表示,仍然不確定加密貨幣和元宇宙之間的聯系是什么。也許,虛擬世界需要一些不變性才能茁壯成長,而只有加密貨幣能夠提供這種不變性?
以太坊創始人 V 神對此回應稱,對元宇宙到底有沒有一個確定的定義呢?感覺它仍然處于能被廣泛認知的早期階段,任何人都可以借此來描述他們的產品,只要為了讓其聽上去足夠meta或足夠虛擬等。V 神補充說明到,加密和元宇宙似乎都在試圖在虛擬世界中復制真實性的各個方面。但他們關注的方面似乎完全不同,并且幾乎是截然相反的。[2022/6/12 4:19:37]
社交網絡釣魚
隨著各類社交軟件的流行,社交網絡釣魚攻擊也變得十分普遍。在Twitter、Facebook、Discord、Telegram等項目方常用社交軟件上這類攻擊極為常見。黑客通過入侵知名人物的帳戶并利用他們的賬戶發布包含網絡釣魚鏈接的帖子,或者創建克隆知名人物、社區等賬戶的首頁發布空投、預售等釣魚帖子,這些克隆賬戶的名稱與項目方賬戶十分相似,足以以假亂真。
虛假的區塊鏈應用
伴隨著區塊鏈網絡的發展,各式各樣的區塊鏈應用也應運而生,錢包應用是我們最為常見的應用,攻擊者往往會在網絡中投放存在后臺程序的惡意區塊鏈應用,這類應用一旦用戶下載安裝并在應用中登錄自己的賬戶,后臺程序便會記錄賬戶私鑰和密碼并發送給攻擊者。
如何防范網絡釣魚
網絡釣魚攻擊如此猖狂,我們該如何去防范呢?網絡釣魚攻擊的核心就是欺騙,首先基于用戶層面,作為一名普通的互聯網使用者,我們應學習如何辨別釣魚攻擊,作為項目方,應該積極提示用戶謹防網絡釣魚攻擊。
警惕不明來信
警惕莫名發來的信息,這些信息看起來是發自于官方帳戶,并在信息中提示你,你的賬戶存在一些問題,并催促你點擊提供的鏈接來驗證你的登錄信息。又或是宣稱你中獎了,需要在信息中提供的網站上進行登錄驗證等。
謹慎點擊鏈接
通常我們會在收到釣魚信息中會存在一個網絡釣魚鏈接,這種鏈接一般是生成的短鏈接或是仿冒的官網鏈接,看起來與官網鏈接十分相似,我們只需細心與官網鏈接比較就會發現端倪。
細心核對交易信息
警惕與資產相關的操作。網絡釣魚攻擊的最終目的就是獲取資產,釣魚信息中會營造一種恐慌的情緒,宣稱受害者資產將會受損,需要立即轉移,會請求受害者轉移資產到安全賬戶或是對交易請求進行授權操作。
保護敏感信息
警惕賬戶密碼、助記詞、私鑰請求。釣魚攻擊會在無意中要求受害者在釣魚網站中提供賬戶密碼、私鑰等敏感信息,受害者在看似與官網相似的網站中往往會被迷惑。
除了通過提高防范意識來進行網絡釣魚攻擊防范,我們還可以通過使用一些工具對釣魚地址進行識別攔截,以此更好的保護用戶的利益。比如FishAlert插件,該插件自帶網址安全檢測,能夠對存在安全問題的詐騙地址、網絡釣魚地址進行識別攔截,提示用戶正在訪問風險域名,不給網絡釣魚攻擊可乘之機。
當我們訪問釣魚鏈接時,FishAlert自動彈出風險提示窗口:
當我們訪問未知鏈接時,我們可主動打開該插件對網站進行檢測:
安全建議
據統計,2021年區塊鏈網絡中因網絡釣魚攻擊而導致的資產損失已超64億美元,保護用戶的資產不受損失是每個項目方乃至web3世界中每個成員共同的責任,除了使用防御網絡釣魚攻擊的工具,我們每個人都應該提高防范意識,共同抵抗網絡釣魚攻擊。在此?知道創宇區塊鏈安全實驗室?給出以下安全建議:
警惕資產轉移、交易授權信息。
輸入密碼、私鑰時觀察網絡環境,仔細確認官網地址。
避免從第三方下載區塊鏈應用,選擇從官網或官方應用商城下載
警惕陌生人的信息,請勿點擊可疑電子郵件中的鏈接或下載附件。
來源:金色財經
ETH領跌,BTC連陰5日,美聯儲6月份加息等一系列消息,市場情緒依舊恐慌,二次探底是否開啟?BTC日線級別,KDJ向下發散,MACD低位金叉,快線將要下穿慢線形成死叉,K線區間震蕩.
1900/1/1 0:00:00盡管元宇宙尚處不斷擴充定義的進程中,但市場對于虛擬人在其中扮演關鍵要素已達成一定共識。我們認為,從中短期視角看,虛擬人相關技術逐步落地,應用場景持續拓寬,或為元宇宙概念下技術、內容及產業融合升級.
1900/1/1 0:00:00想要創建一個充滿吸引力、真實的元宇宙,需要傾聽社區的聲音并從中學習,釋放想象力,在大眾的引導下創造新的沉浸式體驗.
1900/1/1 0:00:00FWB、BanklessDAO、GitcoinDAO、MirrorDAO等等頂流DAO,目前都在探索如何解決合規問題。為啥DAO要有個法律實體?2022年,各個DAO紛紛成立法律實體.
1900/1/1 0:00:00從歷史的進程看,每當世界發生重大技術革新時,經驗豐富的資本巨頭總能夠站在最前線。就在上個月區塊鏈行業明燈a16z高調重金進場鏈游:宣布推出6億美金的首個游戲基金一號.
1900/1/1 0:00:00近期,針對加密網絡的詐騙事件頻發。網絡釣魚是一種經典的詐騙類型,傳播速度快、成本低、利益巨大且難以檢測,花樣繁多.
1900/1/1 0:00:00