详解PDF文档钓鱼攻击:警惕5亿美元的教训

原文作者:Serpent,Web3安全从业者

原文编译:0x711,BlockBeats

据TheBlock报道,今年3月AxieInfinity侧链Ronin跨链桥被攻击导致5.4亿美元资产被盗的起因,是AxieInfinity的员工接收并下载了一份PDF文档形式的招聘offer。文档内附有病,导致信息泄露。

随着加密世界资金量的加码,钓鱼攻击愈发常见。去年10月AnubisDAO也发生了疑似邮箱接收PDF文档格式的SAFT协议,导致6000万美元被盗。那么PDF文档钓鱼攻击要如何识破并预防呢?

今日夹击MEV机器人的恶意验证者已被Slash惩罚并踢出验证者队列:4月3日消息,Offchain Labs 开发者 terencechain 在社交媒体发文表示,链上数据显示,今日夹击 MEV 机器人的恶意验证者已经被 Slash 惩罚并踢出验证者队列。

此前报道,据推特用户 @punk3155 表示,部分 MEV 机器人遭黑客攻击,损失已达 2000 万美元。该用户表示,黑客通过替换 MEV 机器人的交易模块进行攻击,这可能成为整个 MEV 生态系统的主要转折点。[2023/4/4 13:42:44]

Web3安全从业者Serpent在其社交网站梳理了这种黑客攻击方式。黑客通过将可执行脚本伪装成PDF资料诱受害者点击,以此盗取资产。BlockBeats将其推文翻译整理如下。

0xD275开头地址从Bitfinex取出近12万枚ETH,并通过Aave借出8000万枚USDC:金色财经报道,Etherscan数据显示,0xD275开头地址收到标记为“Bitfinex热钱包”的地址转出的超过117,872枚ETH,随后该地址在Aave上借出8000万枚USDC。[2022/11/21 7:52:33]

TARSIUS收到一条委托消息,并收到一个压缩文件包,里面据称包含了「客户要求、示例以及草图等资料」。当该艺术家打开这个压缩包后,原本普通的委托就变味儿了。

The Block研究员:Delphi Digital一钱包地址上周末向Coinbase转入60万枚AXS,钱包清零:6月28日消息,据The Block研究员@Dogetoshi的推文,上周末, Delphi Digital向Coinbase转入了60万枚AXS(约900万美元),清空了他们的钱包。在高峰期,钱包中的全部资产价值9500万美元。

此外,@Dogetoshi发现,28天前,Delphi的一个AXS归属地址(0x9E7…)发送了15万枚AXS到0x820开头的地址,0x820开头的地址将这些资金送到了三箭资本的旗下场外交易公司TPS Capital。

此前5月份消息,Delphi Digital披露Delphi Ventures在Terra危机中损失1000万美元。[2022/6/29 1:38:02]

打开压缩包文件后,我们可以看到提供的示例,以及包含「客户」草图的PDF文件,但这不是普通的PDF文件。它实际上是一个屏幕保护程序(.scr)文件,它是一个可执行脚本,伪装成PDF文件。

艺术家打开PDF文件查看草图后,他的所有NFT都被上架并出售,他所有的ETH都被转移到了子的钱包。篇幅所限,本文只列举受害者部分交易。?

那么黑客是如何得手的呢?他更改了文件扩展名并在末尾添加了.pdf,然后将文件的图标更改为PDF图标。他还用垃圾代码填充了文件,超过了病文件本身的文件大小,以此加强迷惑性。

艺术家不是这个局的唯一目标。最近,KOL、推广者和项目方都被作为攻击目标,许多人失去了对钱包和账户的控制权,一切都被彻底抹去。??

这是一种古老的Web2策略,它适用于任何和所有文件类型。?

如何能避免这种情况??

1.不要随意下载或打开随机文件;

2.始终检查文件类型;

3.研究和学习基本的Web2安全常识。

如果您需要打开任何文件,请将它们放在GoogleDrive上并在那里查看,或使用虚拟机。我个人两者都用。

您可以通过单击文件资源管理器顶部的「查看」,然后启用「文件扩展名」来启用文件类型扩展名。这将显示所有文件的文件扩展名。

.scr文件是可执行文件,可以运行任何代码,它基本上是一个.exe文件。他们将如何通过这种方式损害您的钱包?好吧,从这一点开始,我们可以假设您的整个PC都受到了攻击。

你所有的cookies、密码、扩展数据,所有的东西,都被窃取了。例如,他们可以将您的MetaMask插件更改为经过修改的恶意版本,或者更简单地说,他们可以等待您登录并访问您的MetaMask,他们将拥有一切。

解决办法有很多,但如果你确实中招了,你可以假设你的电脑受到了损害。我建议重置它,创建一个新钱包,并更改所有密码。??

原文链接

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

波场Hotcoin關於開放CRTS交易的公告

尊敬的用戶:Hotcoin將於(GMT8)2022年6月30日18:00開放CRTS/USDT交易業務,2022年7月1日18:00開放CRTS提幣業務,充值業務開放時間將以公告另行通知.

加密货币XinBiPro 法律文件

第一条 本网站的宗旨是在不违反迪拜相关法律法规的前提下,尽可能地为全球广大数字资产爱好者及投资者提供专业的国际化水准的交易平台和金融产品.

[0:15ms0-2:314ms