区块链:创宇区块链｜无聊猿项目“又 双 叒 叕” 遭受钓鱼攻击 网络钓鱼究竟是何方神圣_EDGE

前言

北京时间2022年6月5日，知道创宇区块链安全实验室?监测到著名NFT项目的Discord社群再次遭受了网络钓鱼攻击，造成约200枚以太币的损失。在此之前，著名歌手周杰伦在愚人节当天就曾遭受网络钓鱼攻击，导致其库存中的无聊猿NFT被黑客转移。

近年来，我们发现在web3世界中网络钓鱼事件频发，导致项目方以及广大用户损失惨重，那么今天我们就来聊聊什么是网络钓鱼，以及该如何去防范。

什么是网络钓鱼

网络钓鱼是指黑客通过各种社交手段获取受害人的信任使其访问黑客伪造的与官方网站十分相似的钓鱼网站，或操控当钓鱼攻击成功后将受害人造成不可挽回的损失，轻则个人信息泄露、账号被盗，重则导致巨大的经济损失。

区块链债券平台LedgerEdge已被关闭:金色财经报道，区块链债券解决方案LedgerEdge联合创始人David Rutter表示，LedgerEdge已被关闭。Rutter也是企业区块链公司R3的联合创始人兼首席执行官。

2015年，他创办了另一家公司LiquidityEdge，为美国国债市场建立了一个数字交易生态系统。四年后，他以1.5亿美元的价格将其卖给了MarketAxess。2020年，Rutter决定瞄准公司债券市场，并因此创立LedgerEdge。[2023/8/2 16:14:29]

网络钓鱼本质上是一种社会工程学，越来越多的黑客使用网络钓鱼攻击是因为相较于侵入组织的计算机网络来说，人更加容易且成本更低。

Cream Finance黑客将365.7 ETH转入TradeOgre，1月迄今已转移超2000枚ETH:金色财经报道，据PeckShieldAlert披露数据显示，利用 Cream Finance 漏洞实施攻击的黑客再次转移资金，据该黑客标记地址显示，目前已将 365.7 ETH（约合 60 万美元）转入 TradeOgre。自 2023 年 1 月以来，这个黑客总计将 2070 枚 ETH 转入 TradeOgre，价值达到 326 万美元。[2023/1/30 11:36:04]

同时其往往是利用人性的弱点，通过透露一些与受害人切身利益相关的信息，抓住受害者慌不择路，病急乱投医的心理，从而扰乱受害者的思考，达到钓鱼攻击的目的。

投行Cowen：美国消费者金融保护局正扩大其在加密领域的监管权力，同时避免涉足SEC的领域:1月18日消息，美国投资银行Cowen的华盛顿团队在最近的一份时事通讯中表示，美国消费者金融保护局（CFPB）正在对为消费者带来金融产品的加密解决方案行使权力，尽管CFPB避免涉足SEC的领域，但它仍在试图找到一个立足点。

CFPB机构主管Rohit Chopra曾强调支付型稳定币可以作为该机构的前景。但报道称，CFPB在加密监管的其他潜在领域是《诚信借贷法》和《诚信储蓄法》的应用。Rohit Chopra曾表示，虽然加密货币不是他的机构监管的产品，但“某些电子消费交易”是。这是对加密货币的非投资用途的一个关键分拆。

据悉，CFPB于去年12月1日悄悄发布的一项法院命令驳回了加密货币贷款机构Nexo停止该机构正在进行的调查的请求，Nexo辩称美国证券交易委员会正在进行的调查意味着CFPB没有资格，但法院裁定CFPB有这样的权力。随后，Nexo宣布因监管“陷入死胡同”，该公司将退出美国市场。（The Block）[2023/1/18 11:18:13]

网络钓鱼的攻击方式

DCG旗下加密矿企Foundry收购同行Compute North部分资产:11月23日消息，DCG旗下加密矿企Foundry将收购比特币矿企Compute North两处矿场，分别位于南达科他州北苏城和德克萨斯州大斯普林斯，电力供应总计17MW。作为交易的一部分，Foundry还将有权完全建设和运营ComputeNorth位于内布拉斯加州明登的设施，交易还包括矿工拥有的一系列矿机的权利，及其知识产权。

此前报道，Compute North已于9月向联邦法院申请第11章破产保护，Foundry近日在推特上发表声明称，独立于Genesis Lending运营，日常运营不受Genesis最近公告的影响。（CoinDesk）[2022/11/23 7:59:22]

网络钓鱼攻击的本质就是，本文总结了以下几种区块链中常见的网络钓鱼攻击手法。

克隆攻击

攻击者通过克隆创建项目方官网，克隆网站具有官网类似的名称域名和前端页面，让用户极难辨别真伪。并在网络中大肆进行项目广告宣传活动，诱用户访问其克隆地址并进行账户登录，以此来偷取受害者的登录凭证，私钥等，从而转移账户中的资产。

社交网络钓鱼

随着各类社交软件的流行，社交网络钓鱼攻击也变得十分普遍。在Twitter、Facebook、Discord、Telegram等项目方常用社交软件上这类攻击极为常见。黑客通过入侵知名人物的帐户并利用他们的账户发布包含网络钓鱼链接的帖子，或者创建克隆知名人物、社区等账户的首页发布空投、预售等钓鱼帖子，这些克隆账户的名称与项目方账户十分相似，足以以假乱真。

虚假的区块链应用

伴随着区块链网络的发展，各式各样的区块链应用也应运而生，钱包应用是我们最为常见的应用，攻击者往往会在网络中投放存在后台程序的恶意区块链应用，这类应用一旦用户下载安装并在应用中登录自己的账户，后台程序便会记录账户私钥和密码并发送给攻击者。

如何防范网络钓鱼

网络钓鱼攻击如此猖狂，我们该如何去防范呢？网络钓鱼攻击的核心就是，首先基于用户层面，作为一名普通的互联网使用者，我们应学习如何辨别钓鱼攻击，作为项目方，应该积极提示用户谨防网络钓鱼攻击。

警惕不明来信

警惕莫名发来的信息，这些信息看起来是发自于官方帐户，并在信息中提示你，你的账户存在一些问题，并催促你点击提供的链接来验证你的登录信息。又或是宣称你中奖了，需要在信息中提供的网站上进行登录验证等。

谨慎点击链接

通常我们会在收到钓鱼信息中会存在一个网络钓鱼链接，这种链接一般是生成的短链接或是仿冒的官网链接，看起来与官网链接十分相似，我们只需细心与官网链接比较就会发现端倪。

细心核对交易信息

警惕与资产相关的操作。网络钓鱼攻击的最终目的就是获取资产，钓鱼信息中会营造一种恐慌的情绪，宣称受害者资产将会受损，需要立即转移，会请求受害者转移资产到安全账户或是对交易请求进行授权操作。

保护敏感信息

警惕账户密码、助记词、私钥请求。钓鱼攻击会在无意中要求受害者在钓鱼网站中提供账户密码、私钥等敏感信息，受害者在看似与官网相似的网站中往往会被迷惑。

除了通过提高防范意识来进行网络钓鱼攻击防范，我们还可以通过使用一些工具对钓鱼地址进行识别拦截，以此更好的保护用户的利益。比如FishAlert插件，该插件自带网址安全检测，能够对存在安全问题的地址、网络钓鱼地址进行识别拦截，提示用户正在访问风险域名，不给网络钓鱼攻击可乘之机。

当我们访问钓鱼链接时，FishAlert自动弹出风险提示窗口：

当我们访问未知链接时，我们可主动打开该插件对网站进行检测：

安全建议

据统计，2021年区块链网络中因网络钓鱼攻击而导致的资产损失已超64亿美元，保护用户的资产不受损失是每个项目方乃至web3世界中每个成员共同的责任，除了使用防御网络钓鱼攻击的工具，我们每个人都应该提高防范意识，共同抵抗网络钓鱼攻击。在此?知道创宇区块链安全实验室?给出以下安全建议：

警惕资产转移、交易授权信息。

输入密码、私钥时观察网络环境，仔细确认官网地址。

避免从第三方下载区块链应用，选择从官网或官方应用商城下载

警惕陌生人的信息，请勿点击可疑电子邮件中的链接或下载附件。

来源：金色财经

标签：区块链DGEEDGEEDG区块链技术发展现状和趋势HedgePayledger钱包官网下载ledger钱包官网地址

LTC热门资讯