SCOR:盤點Web3.0中常見的七種網絡釣魚攻擊_CORD

簡要介紹

Web3的網絡釣魚日益增多，一些主要的網絡釣魚技術包括：使用不安全的Discord機器人在一些官方的Discord服務器上發布釣魚鏈接；直接發送釣魚鏈接；利用搜索引擎上的廣告宣傳虛假網站；通過假Discord機器人直接發送信息；與官方域名高度相似的域名及內容；利用Opensea等NFT交易平臺推廣虛假項目；使用虛假的合約地址。建議：

經常多渠道查看信息，不輕易信任「bot」或「官方鏈接」；警惕直接消息：官方機器人不會在DM中要求驗證；仔細檢查域名或合約地址；盡量減少Discord中的機器人數量；不要在瀏覽器中為一些敏感網站添加書簽。網絡釣魚的定義

根據維基百科的定義，網絡釣魚是一種犯罪騙局，試圖通過偽裝成有信譽的法律實體的媒體，從電子通信中獲取敏感的個人信息，如用戶名、密碼和信用卡詳細信息。網絡釣魚通常是通過電子郵件或即時消息進行的。它通常會引導用戶進入看起來與真實網站幾乎相同的虛假網站，以輸入個人信息。即使有強大的加密和SSL服務器身份驗證，仍然很難檢測一個網站是真是假。網絡釣魚是使用社會工程技術欺騙用戶的一個例子。它依賴于當前Web安全技術的低親和力。在Web3世界，網絡釣魚主要通過Discord、網站偽造等一系列手段實現。Web3典型的網絡釣魚案件

Cointelegraph盤點波場TRON 2022年度22大成就:1月8日消息，日前，區塊鏈行業媒體Cointelegraph發布波場TRON 2022年度的22大成就， 主要包括：TRON DAO成為世界上最大的DAO、擴大與火必的合作、推出穩定幣USDD、TRX和USDD獲得更多應用場景、成為多米尼克國家公鏈、建成行業第二大穩定幣生態系統、被評為最環保區塊鏈、TVL規模僅次于幣安以及用戶帳戶從6900萬增長到1.32億等。

Cointelegraph在文中稱，2022年是波場TRON歷史性增長的一年，全年累計新增用戶6300萬。作為加密行業的全球潮流引領者，波場TRON正在打造一個可以為每個人服務的生態系統基礎設施。[2023/1/8 11:00:51]

本文將揭示Web3世界中幾種常見的網絡釣魚方法：1、Discord機器人

2022年5月23日，Discord的MEE6機器人遭到攻擊，導致在一些Discord官方服務器中發布了有關鑄幣的釣魚網站信息。

在2022年5月6日，Opensea的官方Discord被黑客入侵，黑客使用機器人賬戶在頻道上發布虛假鏈接，聲稱「Opensea與YouTube合作，點擊鏈接制造100個限量版的mintpassNFT」。

動態 | 封面盤點2019十大酷科技 區塊鏈上榜:1月5日，由封面新聞最新盤點的2019十大酷科技出爐，其中包括區塊鏈，代表企業：支付寶。過去一年，支付寶區塊鏈技術落地超過40多個場景，也從不同的場景給用戶帶來便利和安全。據公開信息顯示，支付寶與阿里巴巴已經蟬聯兩年全球區塊鏈技術專利申請量最多的互聯網公司，其在共識機制、智能合約、可信計算、隱私保護、跨鏈交互上都取得了突破。[2020/1/6]

最近，針對官方Discord服務器的攻擊事件越來越多，原因可能如下：對項目方的員工進行釣魚攻擊，導致賬戶被盜；項目方下載惡意軟件，導致賬戶被盜；項目方未設置雙重認證，使用弱密碼，導致賬戶被盜；項目方遭受釣魚攻擊，添加惡意書簽繞過瀏覽器的登錄規則，導致Discord代幣被盜。小貼士：項目方應采用官方推薦的安全操作，如雙重認證、設置強密碼等，來保護自己的賬戶；警惕各種傳統的網絡攻擊和社會工程攻擊，避免下載惡意軟件或訪問釣魚網站。Web3用戶應該意識到Discord官方發布的版本可能也是釣魚信息，官方并不保證絕對安全。此外，在任何需要我們自己授權或交易的地方，就更需要謹慎，并盡量交叉檢查來自多個渠道的信息。2、周杰倫的NFT被一個Discord網絡釣魚攻擊竊取

動態 | 區塊鏈未能上榜漢語盤點2019年度國際詞:漢語盤點2019年度候選字詞中，巴黎圣母院、區塊鏈、貿易摩擦、黑洞照片、脫歐上榜國際詞。12月20日，國家語言資源監測與研究中心、商務印書館、央視新聞等單位聯合舉辦的“漢語盤點2018”揭曉儀式在北京舉行。最終，“奮”“改革開放四十年”“退”“貿易摩擦”分別當選年度國內字、國內詞、國際字、國際詞。（央視新聞）[2019/12/21]

2022年4月1日，流行歌手周杰倫在Instagram上透露，他的BoredApeNFT被釣魚網站竊取。

我們發現周杰倫在11點左右簽署了以0x71de2開頭的錢包地址來批準交易，從而將NFT批準授予給攻擊者的錢包。在這個時候，周杰倫并不知道他的NFT，已經處于危險之中。

過了幾分鐘后，攻擊者在11:07時將BoredApebayc#3738NFT轉移到他們自己的錢包地址，然后在LooksRare和OpenSea上以約169.6ETH的價格出售了被盜的NFT。

盤點：紅杉資本曾投資火幣、Filecoin、Orchid Protocol、IOSToken、Ontology等加密數字貨幣項目:今日幣安趙長鵬在推特宣布，未來所有在幣安上幣的項目都需要披露是否與紅杉資本有直接或間接的關聯。消息一出，多個與紅杉資本的項目在幣安的價格大幅下跌，業內人士認為這是趙長鵬對紅杉資本起訴幣安的一次強力反擊。早在2014年，紅杉資本投資火幣，是火幣第一大機構股東，目前火幣是全球排名前三的交易所。紅杉資本還曾投資過Filecoin、Orchid Protocol、IOSToken、Ontology等加密數字貨幣。[2018/5/7]

小貼士：不要輕易相信私信。攻擊者通常會通過私信或電子郵件引誘我們點擊釣魚網站的鏈接。所有信息應首先在官網進行核實，用多種渠道驗證其真實性。周杰倫被釣魚的案例是在鑄造了一個新項目之后，他當時可能對網絡釣魚攻擊不那么警惕。所以用戶必須時刻保持警惕，確保每一步都是安全的。3、谷歌廣告上的釣魚網站

2022年5月10日，@Serpent發推文稱NFT交易平臺X2Y2在Google搜索頁面上的第一個搜索結果是一個欺詐網站，該網站利用谷歌廣告中的漏洞使真實網站和欺詐URL看起來相同，大約100ETH已經被盜。

區塊鏈概念股漲跌盤點:

贏時勝（300377）：現價13.15元，漲幅10.04%；

御銀股份（002177）：現價5.26元，漲幅10.04%；

高偉達（300465）：現價9.98元，漲幅10.03%；

新晨科技（300542）：現價32.29元，漲幅10.2%；

易見股份（600093）：現價11.33元，漲幅10.00%；

四方精創（300468）：現價40.27元，漲幅10.00%；

飛天誠信（300386）：現價17.50元，漲幅9.99%；

博彥科技（002649）：現價13.5元，漲幅9.76%；

海聯金匯（002537）：現價10.53元，漲幅5.30%；

信雅達（600571）：現價11.49元，漲幅4.93%。[2017/12/19]

小貼士：搜索引擎很方便，但不一定正確，搜索引擎廣告系統很容易被惡意網站利用。盡量通過官方twitter或谷歌認證的官方網站入口進入，確認官方信息時進行交叉核對。注意細節。來自搜索引擎的結果，如果是廣告，就會有廣告這個詞。避免點擊帶有「廣告」字樣的鏈接。4、通過假機器人發私信

最近，一個用戶加入了官方的Discord社區，加入服務器后，一個bot直接發送消息要求進行驗證。

然而，當點擊鏈接時，它會自動彈出Metamask錢包并要求輸入密碼，這時用戶幾乎可以肯定網站出了問題。后來經過調試和分析，發現該網站彈出的不是一個真正的Metamask，而是一個偽造的Metamask錢包界面。如果有人輸入了密碼，它會要求助手驗證，最后，密碼和助手都將被發送到攻擊者的后端服務器，錢包就會被竊取。小貼士：警惕Discord的私信：官方機器人不會要求在DM中進行驗證。身份驗證過程不需要連接錢包。一定要注意那些奇怪或不正常的操作，并一定要交叉驗證更多的信息。5、域名與內容高度相似

目前，市場上存在各種各樣的假冒網站，其中大部分是模仿域名和內容相似程度高的官方網站。這是最常見的網絡釣魚方式，其主要形式如下。更改頂級域名，主域名保持不變。例如，下圖中官方網站的頂級域名為.com，釣魚網站的頂級域名為.fun；

在主域名中添加一些詞，如openesa-office,xxxmint等。

添加一個二級域名用于混淆和網絡釣魚：

小貼士：當進入一個網站時，首先找到官方推特或discord，并逐一比較鏈接，看看他們是否正確。始終保持警惕：雖然這類釣魚網站最容易識別，但其數量非常大，如果不小心，用戶很容易被騙。增加反網絡釣魚插件，有效協助識別部分惡意網站。6、Opensea上的釣魚項目

前一段時間，我們在Opensea上發現了一個項目，這個項目還沒有正式開放出售，但是這個項目已經列出了1萬件物品。經過仔細分析，我們發現了一種新的網絡釣魚方式。該項目先是利用上述手法偽造了一個類似官網和類似域名，然后在Opensea上列出了一個類似項目，用「免費造幣」等詞語來吸引眼球。

此外，還有釣魚網站和釣魚推特一起宣傳詐騙：

小貼士：仔細識別推特賬戶。有時釣魚賬號也有大量粉絲，但大多數評論都是假的。或帳戶創建日期較早，但最近才活躍等。Opensea上的項目并不總是官方網站上的真實項目。網站上仍然有很多假冒和釣魚項目，所以用戶需要仔細篩選。始終從多個渠道獲取信息。交叉檢查來自官方網站、opensea項目、推特、discord等的信息。也可以直接與官方聯系，核實真實性。7、假的合約地址

今年3月出現的新騙局也令人大開眼界。攻擊者偽造一份前后相同位數的合約，利用網絡釣魚鏈接進行詐騙。真正的APEcoin合約地址是：0x4d224452801ACEd8B2F0aebE155379bb5D594381。虛假合約是：0x4D221B9c0EE56604186a33F4f2433A3961C94381這種類型的攻擊并不常見，但令人困惑。通常人們會檢查合約地址的前面和后面來判斷是否正常，但很少有人會檢查完整的地址。小貼士：對于直接轉賬交易，最好檢查完整的合約地址是否正確。確保從官方通道獲取地址，避免被中間攻擊者修改。解決方法

以上僅列出了網絡釣魚詐騙常用的策略，然而隨著Web3的不斷流行，網絡釣魚詐騙的方式也越來越多。用戶需要記住上述提示。然而，萬一被騙了，可以采取以下步驟來盡可能進行補救：立即隔離資產，并盡快將剩余資產轉移到安全的地方，以避免更大的損失。主動發布聲明，告知他人有關詐騙賬戶的信息，以免危害朋友和社區。盡可能保存證據，并尋求項目方或機構的后續幫助。尋找專業公司進行資金追查。最后，如果不幸被詐騙或網絡釣魚，建議在社交媒體上記錄并與他人分享自己的經歷。

Tags：DISCCORDORDSCORDISC幣ConcordiumLord of DragonsSCOR價格

UNI