By:Thinking@慢霧安全團隊
事件背景
5月16日凌晨,當我在尋找家人的時候,從項目官網的邀請鏈接加入了官方的?Discord?服務器。在我加入服務器后立刻就有一個"機器人"(Captcha.bot)發來私信要我進行人機驗證。這一切看起來相當的合理。我也點擊了這個驗證鏈接進行查看。
釣魚手法分析
我訪問"機器人"(Captcha.bot)發來的鏈接后,是有讓我進行人機驗證的,但是當我驗證通過后,發現它要求喚起我的小狐貍(MetaMask)錢包,喚起的錢包界面挺真實的,如下圖所示,但是我看到了錢包的地址欄顯示"about:blank"這引起了我的警惕,如果是插件喚起的就不會有這個"about:blank"的地址欄了。
CZ:此前媒體報道裁員人數與實際相去甚遠:金色財經報道,加密交易平臺Binance創始人CZ于社交平臺表示,此前媒體所報道的公司裁員人數與實際“相去甚遠”;公司仍在招聘員工。
此前據華爾街報道,一位知情人士透露,近幾周幣安已有逾1000人被解雇。[2023/7/15 10:56:20]
接下來我隨意輸入了密碼,并且通過審查元素查看,確定這個小狐貍(MetaMask)界面是由虛假網站"https://captcha.fm/"彈出的,并不是真實的錢包界面,于是我開始調試這個錢包。
在隨意輸入密碼后,這個虛假的錢包界面進入到"SecurityCheck"界面,要求我輸入助記詞進行驗證。注意,輸入的密碼和和助記詞會被加密發送到惡意站點的服務端。
一巨鯨地址于兩小時前向幣安轉入1500枚比特幣:7月5日消息,據The Data Nerd監測,一巨鯨地址于兩小時前向幣安轉入1500枚比特幣,價值約4800萬美元。該地址在比特幣價格為25500美元左右時接收了大量比特幣。[2023/7/6 22:20:07]
通過分析域名可以發現,這惡意域名captcha.fm解析到了172.67.184.152和104.21.59.223,但是都是托管在cloudflare上,只能是反手一個舉報了。
分析惡意賬號
下載保存好惡意站點的源碼后,我將情報發給了項目方團隊,并開始分析這次釣魚攻擊的賬號。由于我剛加入家人群,就收到了下面的這個地址發來的驗證消息。經過分析,這個賬號是一個偽裝成Captcha.bot機器人的普通賬號,當我加入到官方服務器后,這個假Captcha.bot機器人立刻從官方服務器私發我假的人機驗證鏈接,從而引導我輸入錢包密碼和助記詞。
比特幣全網未確認交易數量為53625筆:金色財經報道,BTC.com數據顯示,目前比特幣全網未確認交易數量為53625筆,全網算力為325.34 EH/s,24小時交易速率為3.58交易/s,目前全網難度為43.55 T,預測下次難度上調3.86%至45.23 T,距離調整還剩1天10小時。[2023/3/23 13:20:24]
我在相關頻道里面搜索了Captcha.bot,發現有好幾個假Captcha.bot,于是將這幾個賬號也一并同步給了項目方團隊,項目方團隊很給力,也很及時地進行了處理,把這幾個假Captcha.bot刪除了,并一起討論了可能的防范方式。
以太坊L2網絡總鎖倉量為42.3億美元:金色財經報道,L2BEAT數據顯示,截至12月24日,以太坊Layer2上總鎖倉量為42.3億美元。其中鎖倉量最高的為擴容方案Arbitrum,約22.9億美元,占比54.28%;其次是Optimism,鎖倉量為11.3億美元,占比26.79%;第三為dYdX,鎖倉量為3.92億美元,占比9.27%[2022/12/25 22:06:02]
再次收到釣魚鏈接
事情還沒結束,第二天早上又一位慢霧的小伙伴加入到官方Discord服務器中,再次收到惡意賬戶發來的私信,里面包含著一個釣魚鏈接,不同的是,這次的釣魚者直接偽裝成官方的賬戶發送私信。
這次釣魚者講的故事是在鏈接中導入助記詞進行身份驗證,然而不是采用假小狐貍(MetaMask)的界面來欺騙用戶,而是直接在頁面上引導用戶輸入助記詞了,這個釣魚手法就沒這么真。
釣魚網站的域名和?IP?是app.importvalidator.org47.250.129.219,用的是阿里云的服務,同樣反手一個舉報。
釣魚防范方式
各種釣魚手法和事件層出不窮,用戶要學會自己識別各種釣魚手法避免被騙,項目方也要加強對用戶安全意識的教育。
用戶在加入Discord后要在隱私功能中禁止服務器中的用戶進行私聊。同時用戶也需要提高自己的安全意識,學會識別偽裝MetaMask的攻擊手法,網頁喚起MetaMask請求進行簽名的時候要識別簽名的內容,如果不能識別簽名是否是惡意的就拒絕網頁的請求。在參與Web3項目的時候無論何時何地都不要在網頁上導入私鑰/助記詞。盡可能地使用硬件錢包,由于硬件錢包一般不能直接導出助記詞或私鑰,所以可以提高助記詞私鑰被盜門檻。
項目方團隊也要時刻關注社區用戶的反饋,及時在社區Discord服務器中刪除惡意賬戶,并在用戶剛加入Discord服務器時進行防釣魚的安全教育。
Discord隱私設置和安全配置參考鏈接:
https://discord.com/safety/360043857751-Four-steps-to-a-super-safe-account
https://support.discord.com/hc/en-us/articles/217916488-Blocking-Privacy-Settings-
Tags:CHATCHTCHAPTCThe Whale of BlockchainFWATCH價格rivetchainMPTC價格
美國司法部可能會對一名涉嫌通過加密貨幣違反制裁的美國公民提起刑事訴訟。根據周五提交給美國哥倫比亞特區地方法院的意見書,作為司法部刑事調查對象的這位不愿透露姓名的個人,涉嫌從一家位于美國的加密貨幣.
1900/1/1 0:00:00TL;DR 1、ZK的技術具有隱私和擴容兩個最主要的使用場景,當我們討論隱私的時候,我們利用ZK技術保護鏈下數據,不被獲取;而當我們討論擴容的時候,我們則是利用ZK節省鏈上計算空間.
1900/1/1 0:00:00在萬維網發展的30年里,少數幾家公司控制著大部分用戶注意力和廣告收入,封閉的生態系統阻礙了獨立開發者的創新。最大互聯網平臺的經濟利益與它們最有價值的貢獻者--它們的用戶--之間的關系很不協調.
1900/1/1 0:00:00本文我們將深入研究Apes的世界,了解它們的全部內容,以及通過鏈上數據來了解其炒作是否屬實。 介紹 NFT?已經占領了世界.
1900/1/1 0:00:00HeroofSparta,以用戶體驗為核心,基于幣安智能鏈底層公鏈創建,充分利用BSC相對于以太坊的區塊時間與gaslimits的優勢進行快速、低成本的交易,并可訪問包裹代幣和流動性的深度網絡.
1900/1/1 0:00:00聲譽分數的未來與社區息息相關現實世界中,我們可以用駕照來證明自己的身份,但它無法顯示足夠的個人信息或是聲譽.
1900/1/1 0:00:00