保护你的无聊猿 Web3又一起钓鱼攻击事件发生

2022年6月5日,成都链安链必应-区块链安全态势感知平台舆情监测显示,Bored Ape Yacht Club(无聊猿)的Discord社群遭受黑客钓鱼攻击,黑客获利约142 ETH。成都链安安全团队第一时间对事件进行了分析,结果如下。

#1 事件相关信息

国内外明星如麦当娜、史蒂芬·库里、周杰伦、林俊杰等都曾入手“无聊猿”系列NFT。今年1月,足球明星内马尔宣布以超过100万美元的价格购买了两只“无聊猿”NFT。而近期关于NFT的钓鱼攻击也逐渐增多,比如在“愚人节”当天周杰伦的无聊猿就曾遭遇钓鱼攻击。

纽约州环境保护部拒绝比特币矿企Greenidge Generation的发电厂运营许可证申请:7月1日消息,纽约州环境保护部(NYSDEC)拒绝了比特币矿企Greenidge Generation申请继续在该地区运营所需的发电厂许可证。

NYSDEC表示,Greenidge的申请与该州《气候领导和社区保护法案》(CLCPA)制定的气候目标不一致,该法案旨在到2050年将纽约的温室气体排放量减少至少85%。

Greenidge一直受到环保人士的抨击,因为它使用化石燃料为其在纽约州北部Seneca Lake的PoW挖矿作业提供动力。NYSDEC在给Greenidge的拒绝信中指出,自气候法案生效以来,Greenidge位于Dresden的工厂的温室气体排放量“急剧”增加。该工厂由天然气提供动力,尽管它最初是一个燃煤设施,后来被Greenidge的母公司Atlas Holdings改造。(CoinDesk)[2022/7/1 1:44:03]

在web3世界中,网络钓鱼主要通过twitter、discord、网站伪造等一系列手段实现,通常在过程中伴随着假托、在线聊天、下饵、等价交换、同情心等社会工程学攻击(详见维基百科:社会工程学),让人防不胜防。

Brave将推出保护隐私的新闻聚合器Brave Today:金色财经报道,专注于隐私的Brave浏览器在其最近推出的Brave Today中提供新闻推荐,这是一个集成到浏览器中的新闻聚合器。[2021/6/11 23:29:05]

6月5日,BAYC在官方推特表示,其Discord服务器今天被短暂攻击,团队很快发现并解决了这个问题,但仍有价值约200 ETH的NFT受到了影响,目前团队正在调查,并建议受影响用户发送电子邮件与官方联系。

攻击者地址

动态 | 三星推出新硬件以保护智能手机的加密信息安全:2月25日,韩国电子巨头三星表示,正在改善其智能手机的安全性基础设施,以增强对用户加密信息的保护。三星将在新智能手机上安装Secure Element(SE)硬件,可更好保护加密信息的存储数据。(Bitcoinist)[2020/2/26]

0x1079061D37f7F3FD3295E4aAd02EcE4a3f20DE2d

第一步,攻击者将钓鱼网站链接发布到官方社群。

第二步,攻击者通过钓鱼网站获得32个NFT,其中包含2个BAYC。

印度马哈拉施特拉邦利用区块链技术保护线上公共数据安全:根据印度媒体《今日印度》报道称,印度马哈拉施特拉邦政府已经决定实施区块链技术,确保线上公共数据安全。S.V.R. Srinivas是马哈拉施特拉邦政府信息科技部门首席秘书长,他表示,区块链技术可以帮助政府机构确保多个部门的数据安全,比如公民收入、警务信息、土地记录、教育以及健康档案等。目前,班加罗尔和海德拉巴都是印度软件科技领域里较为领先的城市,而作为马哈拉施特拉邦的首府,Srinivas希望当地政府可以把孟买定位成孟买的“金融科技之都”。[2018/1/16]

第三步,攻击者卖出钓鱼获得的NFT,通过外部地址,将142ETH发送到Tornado.cash。

截止发文时,攻击者地址累计转出154(约275944.9美元)ETH,其中有142(约254442.7美元)ETH进入了Tornado.cash。

近期,官方discord遭遇攻击的案例越来越多,经过成都链安安全团队分析,其原因可能有:

项目方员工遭受钓鱼攻击,导致账户被盗;

项目方下载恶意软件,导致账户被盗;

项目方未设置双因素认证且使用弱密码导致账户被盗;

项目方遭受钓鱼攻击,添加恶意书签从而绕过浏览器同源策略,导致项目方Discord token被盗。

防技巧

作为项目方,应采用官方建议的使用双因素认证、设置强密码等安全操作来保护账户;项目方要警惕针对自己的各种传统网络攻击和社会工程学攻击,避免下载恶意软件,避免访问钓鱼网站。 

作为web3用户,应首先具备这样的意识:官方discord账户被盗越来越频繁,官方发布的消息也可能是钓鱼信息,官方不等于绝对安全。此外,在任何需要自己授权或交易的地方都需要谨慎,尽量从多个渠道进行信息交叉确认。 

-?马上进行资产隔离,尽快将剩余资产转移到安全位置,避免更大的损失;

-?主动发布声明,告知大家被盗账户的相关信息,避免危及朋友和社区;

-?尽可能保留证据,寻求项目方或机构进行后续处理;

-?可寻求专业的安全公司进行资金追踪,如成都链安。

最后,建议记录并分享被经历,与大家共勉。反钓鱼反,需要每个人都重视,也需要每个人都参与。

来源:成都链安

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

瑞波币横向流动性:加密资产的价值如何跨链

流动性的本质是价值交换。近年来,以太坊的市场占有率逐渐下降,越来越多的公链被广泛地使用。当一个新的公链 / L2 生态形成的时候,用户产生了将资产从原来的生态迁移到新的生态,以及跨链信息传递的需求,我将这些跨链行为称为横向流动性.

币安币更新 DAO 的操作系统

本文深入探讨了 DAO 的操作系统。作者认为所有的组织都需要操作系统,DAO 也不例外。文章首先分析了一个好的操作系统和槽糕的操作系统的特征是如何的,并将其类比到 DAO 组织中去.

[0:0ms0-1:503ms