DAI:慢霧：Discord私信釣魚手法分析_USDD

原文來源：慢霧安全團隊

機器人"(Captcha.bot)發來私信要我進行人機驗證。這一切看起來相當的合理。我也點擊了這個驗證鏈接進行查看。

機器人"(Captcha.bot)發來的鏈接后，是有讓我進行人機驗證的，但是當我驗證通過后，發現它要求喚起我的小狐貍(MetaMask)錢包，喚起的錢包界面挺真實的，如下圖所示，但是我看到了錢包的地址欄顯示"about:blank"這引起了我的警惕，如果是插件喚起的就不會有這個"about:blank"的地址欄了。

接下來我隨意輸入了密碼，并且通過審查元素查看，確定這個小狐貍(MetaMask)界面是由虛假網站"https://captcha.fm/"彈出的，并不是真實的錢包界面，于是我開始調試這個錢包。

慢霧：近期出現假冒UniSat的釣魚網站，請勿交互:5月13日消息，慢霧首席信息安全官 @IM_23pds 在社交媒體上發文表示，近期有假冒比特幣銘文錢包及交易市場平臺 UniSat 的釣魚網站出現，經慢霧分析，假網站有明顯的傳統針對 ETH、NFT 釣魚團伙的作案特征，或因近期 BRC-20 領域火熱故轉而制作有關該領域的釣魚網站，請用戶注意風險，謹慎辨別。[2023/5/13 15:01:11]

在隨意輸入密碼后，這個虛假的錢包界面進入到"SecurityCheck"界面，要求我輸入助記詞進行驗證。注意，輸入的密碼和和助記詞會被加密發送到惡意站點的服務端。

慢霧：仍有大部分錢包支持eth_sign，僅少部分錢包提供安全風險警告:金色財經報道，在加密貨幣NFT板塊，越來越多的釣魚網站濫用 eth_sign 簽名功能來進行盲簽欺詐，提醒或禁用這種低級的簽名方法對于保護用戶安全是至關重要的，不少 Web3 錢包已經采取相關措施來對這種危險的簽名方法進行安全提示和限制。仍有一大部分加密錢包支持 eth_sign，其中少部分錢包提供 eth_sign 安全風險警告。如果用戶仍想要使用 eth_sign，他們可以選擇支持該功能的加密錢包。但是，用戶在使用這些錢包時需要特別注意安全警告，以確保其交易的安全性。[2023/5/11 14:57:14]

通過分析域名可以發現，這惡意域名captcha.fm解析到了172.67.184.152和104.21.59.223，但是都是托管在cloudflare上，只能是反手一個舉報了。

慢霧：yearn攻擊者利用閃電貸通過若干步驟完成獲利:2021年02月05日，據慢霧區情報，知名的鏈上機槍池yearnfinance的DAI策略池遭受攻擊，慢霧安全團隊第一時間跟進分析，并以簡訊的形式給大家分享細節，供大家參考：

1.攻擊者首先從dYdX和AAVE中使用閃電貸借出大量的ETH；

2.攻擊者使用從第一步借出的ETH在Compound中借出DAI和USDC；

3.攻擊者將第二部中的所有USDC和大部分的DAI存入到CurveDAI/USDC/USDT池中，這個時候由于攻擊者存入流動性巨大，其實已經控制CruveDAI/USDC/USDT的大部分流動性；

4.攻擊者從Curve池中取出一定量的USDT，使DAI/USDT/USDC的比例失衡，及DAI/（USDT&USDC)貶值；

5.攻擊者第三步將剩余的DAI充值進yearnDAI策略池中，接著調用yearnDAI策略池的earn函數，將充值的DAI以失衡的比例轉入CurveDAI/USDT/USDC池中，同時yearnDAI策略池將獲得一定量的3CRV代幣；

6.攻擊者將第4步取走的USDT重新存入CurveDAI/USDT/USDC池中，使DAI/USDT/USDC的比例恢復；

7.攻擊者觸發yearnDAI策略池的withdraw函數，由于yearnDAI策略池存入時用的是失衡的比例，現在使用正常的比例體現，DAI在池中的占比提升，導致同等數量的3CRV代幣能取回的DAI的數量會變少。這部分少取回的代幣留在了CurveDAI/USDC/USDT池中；

8.由于第三步中攻擊者已經持有了CurveDAI/USDC/USDT池中大部分的流動性，導致yearnDAI策略池未能取回的DAI將大部分分給了攻擊者9.重復上述3-8步驟5次，并歸還閃電貸，完成獲利。參考攻擊交易見原文鏈接。[2021/2/5 18:58:47]

分析惡意賬號

下載保存好惡意站點的源碼后，我將情報發給了項目方團隊，并開始分析這次釣魚攻擊的賬號。由于我剛加入家人群，就收到了下面的這個地址發來的驗證消息。經過分析，這個賬號是一個偽裝成Captcha.bot機器人的普通賬號，當我加入到官方服務器后，這個假Captcha.bot機器人立刻從官方服務器私發我假的人機驗證鏈接，從而引導我輸入錢包密碼和助記詞。

我在相關頻道里面搜索了Captcha.bot，發現有好幾個假Captcha.bot，于是將這幾個賬號也一并同步給了項目方團隊，項目方團隊很給力，也很及時地進行了處理，把這幾個假Captcha.bot刪除了，并一起討論了可能的防范方式。

這次釣魚者講的故事是在鏈接中導入助記詞進行身份驗證，然而不是采用假小狐貍(MetaMask)的界面來欺騙用戶，而是直接在頁面上引導用戶輸入助記詞了，這個釣魚手法就沒這么真。

釣魚網站的域名和?IP是app.importvalidator.org47.250.129.219，用的是阿里云的服務，同樣反手一個舉報。

釣魚防范方式

各種釣魚手法和事件層出不窮，用戶要學會自己識別各種釣魚手法避免被騙，項目方也要加強對用戶安全意識的教育。

用戶在加入Discord后要在隱私功能中禁止服務器中的用戶進行私聊。同時用戶也需要提高自己的安全意識，學會識別偽裝MetaMask的攻擊手法，網頁喚起MetaMask請求進行簽名的時候要識別簽名的內容，如果不能識別簽名是否是惡意的就拒絕網頁的請求。在參與Web3項目的時候無論何時何地都不要在網頁上導入私鑰/助記詞。盡可能地使用硬件錢包，由于硬件錢包一般不能直接導出助記詞或私鑰，所以可以提高助記詞私鑰被盜門檻。

項目方團隊也要時刻關注社區用戶的反饋，及時在社區Discord服務器中刪除惡意賬戶，并在用戶剛加入Discord服務器時進行防釣魚的安全教育。

Discord隱私設置和安全配置參考鏈接：

https://discord.com/safety/360043857751-Four-steps-to-a-super-safe-account

https://support.discord.com/hc/en-us/articles/217916488-Blocking-Privacy-Settings-

Tags：DAIUSDSDTUSDCDAILYS幣USDDusdt幣交易違法嗎能投入嗎usdc幣圈最新消息

幣安app下載