保護你的無聊猿 Web3又一起釣魚攻擊事件發生_ORD:SCORPFIN

2022年6月5日，成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，Bored Ape Yacht Club（無聊猿）的Discord社群遭受黑客釣魚攻擊，黑客獲利約142 ETH。成都鏈安安全團隊第一時間對事件進行了分析，結果如下。

#1 事件相關信息

國內外明星如麥當娜、史蒂芬·庫里、周杰倫、林俊杰等都曾入手“無聊猿”系列NFT。今年1月，足球明星內馬爾宣布以超過100萬美元的價格購買了兩只“無聊猿”NFT。而近期關于NFT的釣魚攻擊也逐漸增多，比如在“愚人節”當天周杰倫的無聊猿就曾遭遇釣魚攻擊。

Messari創始人：加密行業應該全力保護和推廣USDC:金色財經報道，Messari創始人Ryan Selkis發推特表示，在不到一周的時間里，Crypto銀行業務實際上已經關閉。來自華盛頓的信息很明確，即銀行業務不歡迎加密貨幣。從現在開始，加密行業應該全力保護和推廣USDC。[2023/3/13 12:59:47]

在web3世界中，網絡釣魚主要通過twitter、discord、網站偽造等一系列手段實現，通常在過程中伴隨著假托、在線聊天、下餌、等價交換、同情心等社會工程學攻擊（詳見維基百科：社會工程學），讓人防不勝防。

6月5日，BAYC在官方推特表示，其Discord服務器今天被短暫攻擊，團隊很快發現并解決了這個問題，但仍有價值約200 ETH的NFT受到了影響，目前團隊正在調查，并建議受影響用戶發送電子郵件與官方聯系。

投行Cowen：美國消費者金融保護局正擴大其在加密領域的監管權力，同時避免涉足SEC的領域:1月18日消息，美國投資銀行Cowen的華盛頓團隊在最近的一份時事通訊中表示，美國消費者金融保護局（CFPB）正在對為消費者帶來金融產品的加密解決方案行使權力，盡管CFPB避免涉足SEC的領域，但它仍在試圖找到一個立足點。

CFPB機構主管Rohit Chopra曾強調支付型穩定幣可以作為該機構的前景。但報道稱，CFPB在加密監管的其他潛在領域是《誠信借貸法》和《誠信儲蓄法》的應用。Rohit Chopra曾表示，雖然加密貨幣不是他的機構監管的產品，但“某些電子消費交易”是。這是對加密貨幣的非投資用途的一個關鍵分拆。

據悉，CFPB于去年12月1日悄悄發布的一項法院命令駁回了加密貨幣貸款機構Nexo停止該機構正在進行的調查的請求，Nexo辯稱美國證券交易委員會正在進行的調查意味著CFPB沒有資格，但法院裁定CFPB有這樣的權力。隨后，Nexo宣布因監管“陷入死胡同”，該公司將退出美國市場。（The Block）[2023/1/18 11:18:13]

廣州提醒：虛擬貨幣交易不受我國法律保護 財產損失難維權:近年來，各種騙局打著“高額回報”的幌子陸續出現，在網上引誘市民投資所謂的數字貨幣，以此詐騙錢財。近日，增城在開展“颶風2020”專項行動中，先后抓獲兩名以投資虛擬貨幣名義實施詐騙的犯罪嫌疑人。

根據日前通報：今年以來，廣州市App投資理財類詐騙警情頻發，10月警情數占電信網絡詐騙總警情數的9.4%，同比上升1.4倍，平均每起警情的受騙金額均超過20萬元。成為繼冒充客服、代辦貸款、刷單兼職和購物交易之后的第五大類電詐手法。

提醒，虛擬貨幣交易不受我國法律保護，虛擬貨幣交易平臺大多使用境外服務器，交易操控機構真實情況不明。同時，作為互聯網時代的新生事物，普通群眾對虛擬貨幣缺乏專業深度了解，極易被不法分子利用投資虛擬貨幣的名義，實施詐騙、非法集資、傳銷等違法犯罪。而投資者一旦遭受財產損失，難以有效維權或挽回經濟損失。提醒投資者，應當理性、謹慎對待涉及虛擬貨幣的投資，提高風險防范意識，謹防被騙。（信息時報）[2020/11/25 22:03:48]

攻擊者地址

現場 | FBG Capital投資主管：投資者應該注重保護自身利益，共同控制項目風險:金色財經現場報道，今日在第二屆世界數字資產峰會上，FBG Capital投資主管Nathan Li在“全球視角看加密資產投資”圓桌討論中表示，區塊鏈項目融資將繼續，因為對于初創公司，資本往往都是一個非常關鍵的因素。當前熊市下，很多加密基金受挫也反映出很多“bad players”存在于行業中。此前牛市之下容易導致許多投資者看項目不認真，又因市場變化太快經受了損失。Li認為，2019年投資者應該放慢腳步，注重投資策略的研究和改變，專注投資高質量項目。他認為監管的同時，投資者需要更多的保護，也應該聯合在一起保護自身利益，共同控制項目風險。而投資者不應被熊市所困惑，區塊鏈項目投資總體仍然較為樂觀，只要選好高質量的項目還是可以得到相應的回報。[2018/12/11]

0x1079061D37f7F3FD3295E4aAd02EcE4a3f20DE2d

第一步，攻擊者將釣魚網站鏈接發布到官方社群。

第二步，攻擊者通過釣魚網站獲得32個NFT，其中包含2個BAYC。

第三步，攻擊者賣出釣魚獲得的NFT，通過外部地址，將142ETH發送到Tornado.cash。

截止發文時，攻擊者地址累計轉出154（約275944.9美元）ETH，其中有142（約254442.7美元）ETH進入了Tornado.cash。

近期，官方discord遭遇攻擊的案例越來越多，經過成都鏈安安全團隊分析，其原因可能有：

項目方員工遭受釣魚攻擊，導致賬戶被盜；

項目方下載惡意軟件，導致賬戶被盜；

項目方未設置雙因素認證且使用弱密碼導致賬戶被盜；

項目方遭受釣魚攻擊，添加惡意書簽從而繞過瀏覽器同源策略，導致項目方Discord token被盜。

防騙技巧

作為項目方，應采用官方建議的使用雙因素認證、設置強密碼等安全操作來保護賬戶；項目方要警惕針對自己的各種傳統網絡攻擊和社會工程學攻擊，避免下載惡意軟件，避免訪問釣魚網站。　

作為web3用戶，應首先具備這樣的意識：官方discord賬戶被盜越來越頻繁，官方發布的消息也可能是釣魚信息，官方不等于絕對安全。此外，在任何需要自己授權或交易的地方都需要謹慎，盡量從多個渠道進行信息交叉確認。　

-?馬上進行資產隔離，盡快將剩余資產轉移到安全位置，避免更大的損失；

-?主動發布聲明，告知大家被盜賬戶的相關信息，避免危及朋友和社區；

-?盡可能保留證據，尋求項目方或機構進行后續處理；

-?可尋求專業的安全公司進行資金追蹤，如成都鏈安。

最后，建議記錄并分享被騙經歷，與大家共勉。反釣魚反詐騙，需要每個人都重視，也需要每個人都參與。

來源：成都鏈安

Tags：CORDNFTSCORORDCORD幣NFT幣SCORPFINNew Order

SHIB最新價格