ISC:钓鱼网站“入侵”Web3，这些防技巧必须学会！_Disbalancer

在维基百科定义中，网络钓鱼是一种企图从电子通信中，透过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪过程。

这些通信都声称来自于风行的社交网站、拍卖网站、网络银行、电子支付网站、或网络管理者，以此来诱受害人的轻信。

网钓通常是透过e-mail或者即时通信进行。它常常导引用户到URL与接口外观与真正网站几无二致的假冒网站输入个人资料。就算使用强式加密的SSL服务器认证，要侦测网站是否仿冒实际上仍很困难。网钓是一种利用社会工程技术来愚弄用户的实例，它凭恃的是现行网络安全技术的低亲和度。

在web3世界中，网络钓鱼主要通过twitter、discord、网站伪造等一系列手段实现，通常在过程中伴随着假托、在线聊天、下饵、等价交换、同情心等社会工程学攻击，让人防不胜防。

本文将揭露其中几种web3世界里常见的钓鱼方法，跟我们一起来看看吧。

01Phishing-官方Discord被盗，发布钓鱼信息

2022年5月23日，MEE6官方Discord遭受攻击，导致账号被盗，官方discord群里发布mint的钓鱼网站信息。

OKX选择加密存储公司Komainu作为托管商:金色财经报道，加密货币交易所 OKX 选择野村证券支持的加密存储公司 Komainu 作为托管商，允许机构用户在使用这些资金在交易所进行交易的同时将其加密货币保存在野村证券支持的托管商中。OKX 是第一个使用 Komainu Connect 的客户，Komainu Connect 是一个受监管的机构客户结算和托管系统，提供 24/7 交易，混合了冷存储、多方计算 (MPC) 和硬件安全模块 (HSM)。[2023/6/6 21:19:03]

2022年5月6日，NFT交易市场Opensea官方Discord遭受攻击，黑客利用机器人账号在频道内发布虚假链接，并声称“OpenSea与YouTube达成合作，点击链接可参与铸造限量100枚的mintpassNFT”。

近期，官方discord遭遇攻击的案例越来越多，经过成都链安安全团队分析，其原因可能有：

项目方员工遭受钓鱼攻击，导致账户被盗；项目方下载恶意软件，导致账户被盗；项目方未设置双因素认证且使用弱密码导致账户被盗；项目方遭受钓鱼攻击，添加恶意书签从而绕过浏览器同源策略，导致项目方Discordtoken被盗。防技巧

欧洲央行希望银行在加密立法前遵守巴塞尔规则:金色财经报道，欧洲中央银行?(ECB) 发布了巴塞尔委员会 (BCBS)?于 2022 年 12 月发布的加密资产规则摘要。此外，上周欧盟委员会发布了巴塞尔规则的草案文本?，称银行应对待加密资产风险权重为 1250% 的资产作为临时措施，直到实施详细的立法。欧洲央行的声明暗示银行不应等待立法通过。

欧洲央行表示，在欧盟进行转换之前，BCBS标准尚不具有法律约束力。然而，如果银行希望进入这个市场，他们应该遵守该标准，并在其业务和资本规划中考虑到这一点。巴塞尔委员会为各司法管辖区采用加密资产规则设定了 2025 年 1 月的最后期限。

同时，欧盟规则的当前草案版本预计将进行修订，因为 1250% 的风险权重参考并未区分合规安全令牌（常规风险权重）与加密货币的加密资产。[2023/2/16 12:11:22]

1作为项目方，应采用官方建议的使用双因素认证、设置强密码等安全操作来保护账户；项目方要警惕针对自己的各种传统网络攻击和社会工程学攻击，避免下载恶意软件，避免访问钓鱼网站。2作为web3用户，应首先具备这样的意识：官方discord账户被盗越来越频繁，官方发布的消息也可能是钓鱼信息，官方不等于绝对安全。此外，在任何需要自己授权或交易的地方都需要谨慎，尽量从多个渠道进行信息交叉确认。

基于Cardano的稳定币USDA计划于明年第一季度推出:金色财经报道，Cardano的开发公司实体Emurgo计划在2023年第一季度推出与美国挂钩的稳定币USDA，该稳定币将完全由法币支持并符合监管要求。USDA是Emurgo旗下产品Anzens的一部分，该产品计划为用户提供多种金融服务和基于Cardano资产的产品，包括借贷服务、基于加密货币的卡支付以及传统市场和DApp之间的桥梁。

USDA将在Anzens平台上推出，用户将能够通过信用卡/借记卡、电汇或将ADA交易为美元后将美元代币化为USDA。[2022/11/18 13:21:43]

02Phishing-周杰伦遭遇钓鱼攻击，价值百万NFT被盗

2022年4月1日愚人节，周杰伦在Instagram上发文称持有的BAYC#3738NFT已被盗。

据了解，该NFT在今年1月由黄立成赠送。在成都链安安全团队的查看之后，发现周杰伦其0x71de2开头的钱包地址先去mint新项目后遭遇到钓鱼链接，随后在11点左右签名了授权交易，将NFT的权限授予了0xe34f0开头的攻击者钱包，可能这时候杰伦还没意识到自己的NFT，已经处于风险之中。

被标记为孙宇晨的地址再度从Aave撤回5000万枚USDT，Aave中USDT存量已减半:10月21日消息，被Etherscan标记为孙宇晨的地址再度从Aave中撤回5000万枚USDT，并交易为USDC后转至Circle地址。近五日内孙宇晨相关地址已从Aave内撤回1.5亿枚USDT，使得Aave内USDT存量几乎减半。[2022/10/21 16:34:48]

仅仅过去几分钟，攻击者就在11:07将无聊猿BAYC#3738NFT转移到自己的钱包地址中，随后在LooksRare和OpenSea上将盗取的NFT卖掉，获得约169.6ETH。

防技巧：

1作为用户一定不要轻信私聊，攻击者一般会通过私信或邮件来引诱你点击钓鱼网站链接。一切信息先以官网为准，辅助交叉验证，多个渠道验证多份保障。2周董这次中招是在mint新项目后，猜测子利用刚刚用户mint新项目后心情好，警惕放松之后迅速推送钓鱼链接进行攻击，所以用户在反诈上一定不能有任何放松，确保每一步都是安全的。

03Phishing-Google广告漏洞置顶的钓鱼网站

Venom Foundation成为第一个获得ADGM许可证的加密实体:10月6日消息，Venom Foundation成为第一个在阿布扎比全球市场 (ADGM) 获得许可证的加密货币实体，这是一个位于阿联酋首都阿布扎比的国际金融中心和自由区。（Khaleej Times）[2022/10/6 18:41:09]

2022年5月10日，Discord和加密威胁缓解系统Sentinel创始人Serpent发推表示，NFT交易平台X2Y2在Google搜索页面的首个搜索结果是网站，它利用Google广告的漏洞，使真实网站和URL看起来完全相同，已经有约100ETH被盗。

防技巧

1搜索引擎虽然方便，但不一定为真。搜索引擎的广告系统是很容易被恶意网站利用的，用户尽量通过官方twitter或者Google认证过的官方网站入口进入。确认官方信息时尽量进行交叉确认。2平常养成注意细节的好习惯，搜索引擎搜出来的结果，如果是广告会有Ad字样，避免入坑被钓鱼。

04Phishing-假机器人伪装成项目方私聊发送钓鱼网站

最近，笔者在关注某一新项目时，从项目官网加入到了官方discord社群，加群后按照国际惯例先进行官方机器人身份验证，然而这一条验证消息却是机器人私信发过来的，此时内心有些疑问，但是看到有“机器人”的提示标签后，也没多想。

但当我再打开链接的时候，发现它自动唤起了我的Metamask钱包，要求输入密码，此时基本确定网站有问题。后经过调试分析发现，该网站并非真正的Metamask弹出的，而是虚假网站仿冒的Metamask钱包界面。而如果你输入密码，就会要求助记词验证，最后密码和助记词都会发送到攻击者的后台服务器，自此，你的钱包就已经被盗了。

防技巧

1对于discord私信一定要提高警惕：官方机器人是不会私信要求验证的，一定要先确认是官方机器人的消息。最好的方法是关闭私信消息。2验证身份过程中，是不会要求连接钱包的。3相信直觉，觉得奇怪或者反常的操作一定要留个心眼，多进行信息的交叉验证。

05Phishing-高仿域名和内容的钓鱼网站

目前笔者在市场上发现了各种各样的假冒网站，它们大多对官方网站进行域名、内容等超高程度的模仿。这种方式应该是网络钓鱼中最普遍的存在的，其归纳分析，其主要有以下几种形式：

更换顶级域名，主名不变。例如下图中官网顶级域名是.com，钓鱼网站顶级域名为.fun。

主名添加单词或符号进行混淆，比如opensea-office，cyber-kongz等。

添加二级域名进行混淆，进行钓鱼。

防技巧

1进入网站时，找到官方twitter或discord，对链接进行对比，看是否正确。2时刻保持警惕：虽然这类钓鱼网站最容易识别，但是量极其大，用户稍不注意就容易上当受。3安装反钓鱼插件，可有效辅助识别一部分钓鱼网站。但最重要还是需要用户有谨慎的态度。

06Phishing-上线了opensea的钓鱼项目

笔者前段时间在opensea遨游的时候，发现了一个官网还未开售的项目，却在opensea上挂牌了10k，接近5.4kowner。一时间警惕心大起，仔细分析发现了钓鱼的新套路。这个项目首先利用方式5制作了高仿的官网和相似域名，后在opensea上线了相似名字的项目，且加上freemint等字样吸引眼球。

此外，还有些钓鱼网站也会联合钓鱼twitter一起进行：

防技巧

1注意辨别twitter账号。钓鱼大号一般也会有大量的粉丝，但是评论大部分都是僵尸号评分，或者创建日期早，但是近期才活跃等。2Opensea上线的项目不一定都是官网正版项目，目前上面仍存在不少仿盘和钓鱼的项目，需要用户仔细甄别。3从多渠道获取信息，保证官网、opensea项目、twitter、discord等多个信息的交叉验证。也可直接与官方进行联系，验证真假。

07Phishing-真假合约地址

在今年3月出现了一种新局，也是让人开了眼界。APEcoin项目的合约地址为：

0x4d224452801ACEd8B2F0aebE155379bb5D594381

而攻击者伪造了前后几位均相同的假合约，联合钓鱼宣传一起进行钓鱼，假合约为：

0x4D221B9c0EE56604186a33F4f2433A3961C94381

这种攻击方式不多见，但是迷惑性很强。不少有安全意识的人会下意识看下合约地址前后几位是否正常，却几乎不会有人全部记下来的。

防技巧

1对于直接对合约地址进行转账交易时，最好全文核对合约地址的正确性。2确认地址是从官方途径正常获取，避免中间被攻击者截获修改。

补救措施

上述只列举了钓鱼界常见的手段，而如今在web3持续火爆的情况下，钓鱼的方式层出不穷。用户需谨记上述防技巧，尽全力保证自己不被钓鱼。但是如果万一已经被，则可以采取下列措施尽可能补救：

-马上进行资产隔离，尽快将剩余资产转移到安全位置，避免更大的损失；

-主动发布声明，告知大家被盗账户的相关信息，避免危及朋友和社区；

-尽可能保留证据，寻求项目方或机构进行后续处理；

-可寻求专业的安全公司进行资金追踪，如成都链安。

最后，建议记录并分享被经历，与大家共勉。反钓鱼反，需要每个人都重视，也需要每个人都参与。

标签：ISCSCORDISORDBISC价格Scorpion FinanceDisbalancer加密的pdf怎么转换成word文档

酷币热门资讯