2022年6月5日,成都链安链必应-区块链安全态势感知平台舆情监测显示,BoredApeYachtClub的Discord社群遭受黑客钓鱼攻击,黑客获利约142ETH。成都链安安全团队第一时间对事件进行了分析,结果如下。
加利福尼亚州金融保护局下令加密交易平台CryptoFX停止运营:6月28日消息,加利福尼亚州金融保护局(DFPI)下令加密货币交易平台CryptoFX停止运营,称其违反了加利福尼亚证券法,并指控CryptoFX通过提供、销售未经合格的证券,并对投资者进行实质性的虚假陈述和发出遗漏信息。[2023/6/28 22:04:05]
#1事件相关信息
国内外明星如麦当娜、史蒂芬·库里、周杰伦、林俊杰等都曾入手“无聊猿”系列NFT。今年1月,足球明星内马尔宣布以超过100万美元的价格购买了两只“无聊猿”NFT。而近期关于NFT的钓鱼攻击也逐渐增多,比如在“愚人节”当天周杰伦的无聊猿就曾遭遇钓鱼攻击。
在web3世界中,网络钓鱼主要通过twitter、discord、网站伪造等一系列手段实现,通常在过程中伴随着假托、在线聊天、下饵、等价交换、同情心等社会工程学攻击,让人防不胜防。
美国SEC主席担心加密货币法案会破坏金融保护措施:金色财经消息,美国证券交易委员会(SEC)主席Gary Gensler表示,他担心一项为加密货币建立监管框架的法案会削弱对市场的投资者保护。在《华尔街日报》的首席财务官网络峰会上,Gensler被问及参议员Cynthia Lummis(R-WY)和Kirsten Gillibrand(D-NY)最近在6月7日提出的一项法案。
他回答说,\"我们不想破坏我们在100万亿美元的资本市场上的保护措施\"。(thebharatexpressnews)[2022/6/15 4:29:25]
6月5日,BAYC在官方推特表示,其Discord服务器今天被短暂攻击,团队很快发现并解决了这个问题,但仍有价值约200ETH的NFT受到了影响,目前团队正在调查,并建议受影响用户发送电子邮件与官方联系。
iExec 与微软 Azure达成合作,利用 SGX 来保护机器学习代码和数据:11月5日消息,分布式云计算平台 iExec 云算宝与微软云计算平台 Azure 就发展“机密计算”达成合作伙伴关系,iExec 利用英特尔软件防护扩展(SGX)来保护机器学习中的敏感代码和数据。iExec 信息安全总监 Zhang Lei 谈到:Azure 机密计算通过保护使用中的数据有效地解决了安全问题。iExec 利用英特尔 SGX,使珍贵数据在广泛共享和使用的同时,还能保护其隐私和所有权。iExec 将这些独特的功能结合在一起,使人工智能开发者能够保护他们的知识产权,同时为人工智能开发者创造新的经济机会。[2021/11/5 21:28:36]
#2?本次事件攻击流程
攻击者地址
0x1079061D37f7F3FD3295E4aAd02EcE4a3f20DE2d
Cordial联合创始人:Elastos将为个人数据和隐私提供真正的保护:近日, iPhone新应用通过扫描iCloud照片监控儿童性虐待问题,引起了大家对个人隐私问题的关注和讨论,纽约时报发布文章提醒大家不过度依赖某一公司的云服务,以免隐私受到侵犯。
对此,基于可信数字身份、区块链打造全球去中心化知识平台Cordial的联合创始人Chris MacGregor认为:这就是Elastos核心技术团队构建个人云计算的原因,PCC将和Elastos其他核心技术组件一起为个人的数据安全和隐私提供真正的保护。[2021/8/13 1:52:19]
第一步,攻击者将钓鱼网站链接发布到官方社群。
第二步,攻击者通过钓鱼网站获得32个NFT,其中包含2个BAYC。
Shapeshift创始人:一些机构或将保护比特币免受政府过度干预:金色财经报道,Shapeshift创始人兼首席执行官Erik Voorhees表示,机构投资者将在确保比特币等加密货币的未来中发挥重要作用。机构采用对生态系统是积极的,因为它确保了游戏规则永远不会改变,并且政府不会试图干预。Voorhees解释说,如果比特币主要由散户投资者使用,各国政府就会有更大的动力审查比特币。但在大型机构参与的情况下,可能会有一种天然的“壁垒”来防止政府过度扩张。[2020/12/8 14:31:11]
第三步,攻击者卖出钓鱼获得的NFT,通过外部地址,将142ETH发送到Tornado.cash。
#3?资金追踪
截止发文时,攻击者地址累计转出154ETH,其中有142ETH进入了Tornado.cash。
#4?总结
近期,官方discord遭遇攻击的案例越来越多,经过成都链安安全团队分析,其原因可能有:
项目方员工遭受钓鱼攻击,导致账户被盗;
项目方下载恶意软件,导致账户被盗;
项目方未设置双因素认证且使用弱密码导致账户被盗;
项目方遭受钓鱼攻击,添加恶意书签从而绕过浏览器同源策略,导致项目方Discordtoken被盗。
防技巧
1
作为项目方,应采用官方建议的使用双因素认证、设置强密码等安全操作来保护账户;项目方要警惕针对自己的各种传统网络攻击和社会工程学攻击,避免下载恶意软件,避免访问钓鱼网站。
2
作为web3用户,应首先具备这样的意识:官方discord账户被盗越来越频繁,官方发布的消息也可能是钓鱼信息,官方不等于绝对安全。此外,在任何需要自己授权或交易的地方都需要谨慎,尽量从多个渠道进行信息交叉确认。
而如今在web3持续火爆的情况下,钓鱼的方式层出不穷。用户需谨记上述防技巧,尽全力保证自己不被钓鱼。但是如果万一已经被,则可以采取下列措施尽可能补救:
-?马上进行资产隔离,尽快将剩余资产转移到安全位置,避免更大的损失;
-?主动发布声明,告知大家被盗账户的相关信息,避免危及朋友和社区;
-?尽可能保留证据,寻求项目方或机构进行后续处理;
-?可寻求专业的安全公司进行资金追踪,如成都链安。
最后,建议记录并分享被经历,与大家共勉。反钓鱼反,需要每个人都重视,也需要每个人都参与。
来源:成都链安
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。