簡要介紹
Web3的網絡釣魚日益增多,一些主要的網絡釣魚技術包括:使用不安全的Discord機器人在一些官方的Discord服務器上發布釣魚鏈接;直接發送釣魚鏈接;利用搜索引擎上的廣告宣傳虛假網站;通過假Discord機器人直接發送信息;與官方域名高度相似的域名及內容;利用Opensea等NFT交易平臺推廣虛假項目;使用虛假的合約地址。建議:
經常多渠道查看信息,不輕易信任「bot」或「官方鏈接」;警惕直接消息:官方機器人不會在DM中要求驗證;仔細檢查域名或合約地址;盡量減少Discord中的機器人數量;不要在瀏覽器中為一些敏感網站添加書簽。網絡釣魚的定義
根據維基百科的定義,網絡釣魚是一種犯罪騙局,試圖通過偽裝成有信譽的法律實體的媒體,從電子通信中獲取敏感的個人信息,如用戶名、密碼和信用卡詳細信息。網絡釣魚通常是通過電子郵件或即時消息進行的。它通常會引導用戶進入看起來與真實網站幾乎相同的虛假網站,以輸入個人信息。即使有強大的加密和SSL服務器身份驗證,仍然很難檢測一個網站是真是假。網絡釣魚是使用社會工程技術欺騙用戶的一個例子。它依賴于當前Web安全技術的低親和力。在Web3世界,網絡釣魚主要通過Discord、網站偽造等一系列手段實現。Web3典型的網絡釣魚案件
投資盤點公司Deal Box成立風投公司以投資Web3技術:金色財經報道,基于區塊鏈的數字證券和投資盤點公司 Deal Box 成立 Deal Box Ventures,將向新興增長領域、房地產、FinTech、FunTech 和社會影響五個方面的 Web3 技術投資 1.25 億美元。 Deal Box 已經完成了對 Total Network Services、 Rypplzz 和 Forward-Edge AI 的初步戰略投資。[2023/1/18 11:19:29]
本文將揭示Web3世界中幾種常見的網絡釣魚方法:1、Discord機器人
2022年5月23日,Discord的MEE6機器人遭到攻擊,導致在一些Discord官方服務器中發布了有關鑄幣的釣魚網站信息。
在2022年5月6日,Opensea的官方Discord被黑客入侵,黑客使用機器人賬戶在頻道上發布虛假鏈接,聲稱「Opensea與YouTube合作,點擊鏈接制造100個限量版的mintpassNFT」。
Cobo 鏈上安全團隊盤點分析 1 月區塊鏈安全事件:2月17日消息,Cobo安全研究團隊近日盤點并解析了 1 月發生的典型區塊鏈安全事件,對跨鏈橋、智能合約、錢包等多種類型的真實攻擊案例和漏洞進行了技術解讀,并為普通用戶規避區塊鏈中的安全風險提供了一些建議。建議普通用戶及時撤銷無限授權、留意未審計項目風險等。
Cobo 區塊鏈安全研究團隊成員來自知名安全實驗室,有多年網絡安全與漏洞挖掘經驗,曾協助谷歌 、微軟處理高危漏洞。團隊目前重點關注智能合約安全、DeFi 安全等方面 ,研究并分享前沿區塊鏈安全技術。[2022/2/17 9:57:31]
最近,針對官方Discord服務器的攻擊事件越來越多,原因可能如下:對項目方的員工進行釣魚攻擊,導致賬戶被盜;項目方下載惡意軟件,導致賬戶被盜;項目方未設置雙重認證,使用弱密碼,導致賬戶被盜;項目方遭受釣魚攻擊,添加惡意書簽繞過瀏覽器的登錄規則,導致Discord代幣被盜。小貼士:項目方應采用官方推薦的安全操作,如雙重認證、設置強密碼等,來保護自己的賬戶;警惕各種傳統的網絡攻擊和社會工程攻擊,避免下載惡意軟件或訪問釣魚網站。Web3用戶應該意識到Discord官方發布的版本可能也是釣魚信息,官方并不保證絕對安全。此外,在任何需要我們自己授權或交易的地方,就更需要謹慎,并盡量交叉檢查來自多個渠道的信息。2、周杰倫的NFT被一個Discord網絡釣魚攻擊竊取
V神盤點以太坊2020年進步,包括PoS測試網及MakerDAO等:V神在推文中列出以太坊在2017年沒有、但是在2020年擁有的東西: Uniswap;http://Tornado.cash;Status;MakerDAO;ZK Rollups(如Loopring),吞吐量超過2000 TPS;PoS測試網;叔塊率< 10%,區塊Gas上限為1000萬;Gitcoin贈款。[2020/3/28]
2022年4月1日,流行歌手周杰倫在Instagram上透露,他的BoredApeNFT被釣魚網站竊取。
我們發現周杰倫在11點左右簽署了以0x71de2開頭的錢包地址來批準交易,從而將NFT批準授予給攻擊者的錢包。在這個時候,周杰倫并不知道他的NFT,已經處于危險之中。
過了幾分鐘后,攻擊者在11:07時將BoredApebayc#3738NFT轉移到他們自己的錢包地址,然后在LooksRare和OpenSea上以約169.6ETH的價格出售了被盜的NFT。
動態 | 2019年區塊鏈十大事件盤點:1:中國擁抱區塊鏈
2019年10月24日,中央局第十八次集體學習時強調,區塊鏈技術的集成應用在新的技術革新和產業變革中起著重要作用。
2:央行數字貨幣試點
2014年中國央行開始研究法定數字貨幣(DCEP)。DCEP的完整字面意思就是數字貨幣電子支付。
3:Facebook發布Libra計劃
2019年6月,Facebook發布Libra白皮書,Libra的使命是建立一套簡單的、無國界的貨幣和為數十億人服務的金融基礎設施。
4:去中心化金融DeFi
去中心化金融(DeFi),解決傳統金融行業中的痛點,被稱作DeFi 是加密史上第二個突破。
5:IEO開始流行
IEO是ICO之后,幣圈誕生的一種新籌集資金方式,項目方依托交易所進行資金籌集。
6:Bakkt 推出比特幣期貨
2019年9月23日, 號稱幣圈牛市的發動機的Bakkt上線。
7:嘉楠科技上市
美國東部時間11月21日嘉楠科技正式上市納斯達克,IPO發行價最終鎖定在每股9美元,總計募資9000萬美元。
8:模式幣走紅幣圈
模式幣,使用類似模式的幣種,通過拉人頭、分紅、合伙人等等推廣營銷模式,配合資金控盤,來吸引散戶進場接盤。
9:以太坊伊斯坦布爾升級
以太坊網絡在2019年12月8日, 9,069,000區塊高度完成升級,代號:伊斯坦布爾(Istanbul)。
10:吳忌寒詹克團之爭
吳忌寒奪權:10月29日全球最大的礦機生產商之一的比特大陸創始人吳忌寒以比特大陸集團董事會主席、北京比特大陸科技有限公司法定代表人、執行董事的身份,向全體員工發送郵件,宣布解除詹克團在比特大陸的一切職務,即刻生效。[2019/12/23]
區塊鏈概念股漲跌盤點:
四方精創(300468):現價42.80元,漲幅6.28%,成交額3.52億,流通市值28.62億;
飛天誠信(300386):現價17.81元,漲幅1.77%;成交額4.60億,流通市值35.28億;
贏時勝(300377):現價13.37元,漲幅1.67%;成交額7.64億,流通市值68.15億;
第一創業(002797):現價9.87元,漲幅0.82%;成交額8.99億,流通市值189.35億;
廣電運通(002152):現價7.52元,漲幅0.82%,成交額3.56億,流通市值146.99億;
北大荒(600598):現價11.30元,漲幅0.53%;成交額1.54億,流通市值20.88億;
新國都(300130):現價25.61元,跌幅0.27%;成交額1.08億,流通市值40.25億;[2017/12/20]
小貼士:不要輕易相信私信。攻擊者通常會通過私信或電子郵件引誘我們點擊釣魚網站的鏈接。所有信息應首先在官網進行核實,用多種渠道驗證其真實性。周杰倫被釣魚的案例是在鑄造了一個新項目之后,他當時可能對網絡釣魚攻擊不那么警惕。所以用戶必須時刻保持警惕,確保每一步都是安全的。3、谷歌廣告上的釣魚網站
2022年5月10日,@Serpent發推文稱NFT交易平臺X2Y2在Google搜索頁面上的第一個搜索結果是一個欺詐網站,該網站利用谷歌廣告中的漏洞使真實網站和欺詐URL看起來相同,大約100ETH已經被盜。
小貼士:搜索引擎很方便,但不一定正確,搜索引擎廣告系統很容易被惡意網站利用。盡量通過官方twitter或谷歌認證的官方網站入口進入,確認官方信息時進行交叉核對。注意細節。來自搜索引擎的結果,如果是廣告,就會有廣告這個詞。避免點擊帶有「廣告」字樣的鏈接。4、通過假機器人發私信
最近,一個用戶加入了官方的Discord社區,加入服務器后,一個bot直接發送消息要求進行驗證。
然而,當點擊鏈接時,它會自動彈出Metamask錢包并要求輸入密碼,這時用戶幾乎可以肯定網站出了問題。后來經過調試和分析,發現該網站彈出的不是一個真正的Metamask,而是一個偽造的Metamask錢包界面。如果有人輸入了密碼,它會要求助手驗證,最后,密碼和助手都將被發送到攻擊者的后端服務器,錢包就會被竊取。小貼士:警惕Discord的私信:官方機器人不會要求在DM中進行驗證。身份驗證過程不需要連接錢包。一定要注意那些奇怪或不正常的操作,并一定要交叉驗證更多的信息。5、域名與內容高度相似
目前,市場上存在各種各樣的假冒網站,其中大部分是模仿域名和內容相似程度高的官方網站。這是最常見的網絡釣魚方式,其主要形式如下。更改頂級域名,主域名保持不變。例如,下圖中官方網站的頂級域名為.com,釣魚網站的頂級域名為.fun;
在主域名中添加一些詞,如openesa-office,xxxmint等。
添加一個二級域名用于混淆和網絡釣魚:
小貼士:當進入一個網站時,首先找到官方推特或discord,并逐一比較鏈接,看看他們是否正確。始終保持警惕:雖然這類釣魚網站最容易識別,但其數量非常大,如果不小心,用戶很容易被騙。增加反網絡釣魚插件,有效協助識別部分惡意網站。6、Opensea上的釣魚項目
前一段時間,我們在Opensea上發現了一個項目,這個項目還沒有正式開放出售,但是這個項目已經列出了1萬件物品。經過仔細分析,我們發現了一種新的網絡釣魚方式。該項目先是利用上述手法偽造了一個類似官網和類似域名,然后在Opensea上列出了一個類似項目,用「免費造幣」等詞語來吸引眼球。
此外,還有釣魚網站和釣魚推特一起宣傳詐騙:
小貼士:仔細識別推特賬戶。有時釣魚賬號也有大量粉絲,但大多數評論都是假的。或帳戶創建日期較早,但最近才活躍等。Opensea上的項目并不總是官方網站上的真實項目。網站上仍然有很多假冒和釣魚項目,所以用戶需要仔細篩選。始終從多個渠道獲取信息。交叉檢查來自官方網站、opensea項目、推特、discord等的信息。也可以直接與官方聯系,核實真實性。7、假的合約地址
今年3月出現的新騙局也令人大開眼界。攻擊者偽造一份前后相同位數的合約,利用網絡釣魚鏈接進行詐騙。真正的APEcoin合約地址是:0x4d224452801ACEd8B2F0aebE155379bb5D594381。虛假合約是:0x4D221B9c0EE56604186a33F4f2433A3961C94381這種類型的攻擊并不常見,但令人困惑。通常人們會檢查合約地址的前面和后面來判斷是否正常,但很少有人會檢查完整的地址。小貼士:對于直接轉賬交易,最好檢查完整的合約地址是否正確。確保從官方通道獲取地址,避免被中間攻擊者修改。解決方法
以上僅列出了網絡釣魚詐騙常用的策略,然而隨著Web3的不斷流行,網絡釣魚詐騙的方式也越來越多。用戶需要記住上述提示。然而,萬一被騙了,可以采取以下步驟來盡可能進行補救:立即隔離資產,并盡快將剩余資產轉移到安全的地方,以避免更大的損失。主動發布聲明,告知他人有關詐騙賬戶的信息,以免危害朋友和社區。盡可能保存證據,并尋求項目方或機構的后續幫助。尋找專業公司進行資金追查。最后,如果不幸被詐騙或網絡釣魚,建議在社交媒體上記錄并與他人分享自己的經歷。
作者|秦曉峰編輯|郝方舟出品|Odaily星球日報 一、整體概述 據以太坊基金會官方博客,以太坊Ropsten測試網合并終端總難度已經定為50000000000000000.
1900/1/1 0:00:00今天,一個名為「WeAreAllGoingtoDie」的NFT項目突然爆火。數據顯示,「wagdie」過去24小時交易量高達1454ETH,位列Opensea日榜第二;地板價上升至1.15ETH.
1900/1/1 0:00:00原文作者:siddhearta原文標題:UpdatingtheDAOOperatingSystem本文深入探討了DAO的操作系統。作者認為所有的組織都需要操作系統,DAO也不例外.
1900/1/1 0:00:00開源軟件開發激勵平臺Gitcoin第14輪捐贈活動已于6月8日啟動,將于6月23日結束,因其曾捐贈過Uniswap、1inch、MaskNetwork、Tornado.cash、DefiLlam.
1900/1/1 0:00:00什么是身份? 我將身份廣義地定義為自主代理的一組特征或屬性。將在此基礎上構建更詳細的定義,而其中的區別,在很大程度上取決于我們希望從中獲取哪些信息。也就是人們更愿意接受:自己所相信的信息.
1900/1/1 0:00:00OpenSea是最受矚目的加密貨幣初創企業之一,它正面臨對NFT盜用和剽竊的指控。無聊猿游艇俱樂部發展成為一種現象級的數字收藏品。Chapman在去年購買這枚NFT.
1900/1/1 0:00:00